Выпуск системы глубокого инспектирования пакетов nDPI 5.0

21.11.2025 15:34

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал инструментарий для глубокого инспектирования пакетов nDPI 5.0, продолжающий развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложений, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Поддерживается определение 56 типов сетевых угроз (flow risk) и более 450 протоколов и приложений (от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube). Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

Реализован универсальный механизм для идентификации трафика, комбинирующий в одном маркере трафика (fingerprint) метаданные о слепках TCP, хэшах TLS-сертификата и JA4 (идентификаторы для определения сетевых протоколов и приложений). Новый механизм позволяет более точно определять и сопоставлять шифрованный или обфусцированный трафик.
Добавлена возможность определения потоков TLS, QUIC и HTTP, в которых фигурируют имена хостов (например, в SNI для TLS/QUIC и в заголовке Host для HTTP), для которых ранее не выполнялся резолвинг через DNS. Подобная активность может применяться для выявления аномалий, скрытых каналов передачи данных и методов обхода фильтрации.
До 2^16 поднято ограничение на число определяемых протоколов и категорий трафика, что позволяет выявлять практически неограниченное число протоколов при инспектировании трафика. Все доступные протоколы теперь включены по умолчанию.
В правила добавлены новые опции для классификации трафика по слепкам (fingerprint), JA4-идентификаторам приложений и протоколов, HTTP URL и категориям.
Улучшена поддержка технологии FPC (First Packet Classification), нацеленной на определение протоколов, приложений и сервисов по первому пакету, отправляемому при установке соединения. FPC позволяет существенно снизить нагрузку на CPU при инспектировании трафика.
Удалена поддержка псевдопротоколов, таких как ADULT_CONTENT, LLM и ADS_ANALYTICS_TRACK, вместо которых теперь используется классификация на основе категорий.
Добавлена поддержка и возможность разбора новых протоколов, среди которых Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN и Akamai.
Добавлены новые подкатегории и расширена классификация сервисов Amazon/AWS.
Добавлено около 30 новых категорий и повышена детализация при анализе трафика.
Добавлен анализатор размера блоков данных для TLS-соединений.
Добавлена возможность создания стеков протоколов, охватывающих два и более протокола при классификации трафика.
Добавлены новые API для ранжирования трафика и кодирования/декодирования шестнадцатеричных последовательностей.
Обновлены списки ботов, сетевых сканеров и пулов майнинга.
Обновлён код для разбора протоколов HTTP, TLS и STUN.
Ускорена инициализация и повышена эффективность управления памятью.

исправить +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/64299-ndpi

Ключевые слова: ndpi, dpi, firewall

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (19)

1.2, Аноним (2), 16:04, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Код выглядит так будто писался в одном известном всем ведомстве. Табы вперемешку с пробелами, коммит месседжи оформлены как попало.

2.16, Аноним (-), 17:08, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
> Код выглядит так будто писался в одном известном всем ведомстве. Код писался методом вайбкодинга. Инфа почти сотка.

1.7, Аноним (7), 16:27, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>для захвата и анализа трафика Предлагают поставить "сертификат безопасности": - https://opennet.ru/56830-tls - https://habr.com/ru/articles/968218/

1.8, warlock (??), 16:33, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+5 +/–
Я в целом не склонен осуждать то, как люди зарабатывают и вообще проводят время, но мне всё же интересно, что чувствуют те, кто разрабатывает инструмент, _единственное_ назначение которого -- совершать преступления против человечества.

2.9, Аноним (7), 16:39, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
Сравнивайте это с инструментами/приборами. Важно кто и как его будет использовать, как кухонный нож или молоток.

2.10, Аноним (10), 16:58, 21/11/2025 Скрыто ботом-модератором [к модератору]	+4 +/–

3.13, Аноним (7), 17:03, 21/11/2025 Скрыто ботом-модератором [к модератору]	+/–

4.15, Аноним (10), 17:05, 21/11/2025 Скрыто ботом-модератором [к модератору]	–1 +/–

5.17, Аноним (7), 17:08, 21/11/2025 Скрыто ботом-модератором [к модератору]	+/–

6.18, Аноним (10), 17:29, 21/11/2025 Скрыто ботом-модератором [к модератору]	+/–

2.11, Аноним (-), 17:00, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
> _единственное_ назначение которого -- совершать преступления против человечества. Чего это вдруг единственно? А если я его использую для на работе, чтобы сотрудник случайно не совершил преступление? И напр. не отправил внутренние документы разведке недружественной страны? Что тогда? Или ты защищаешь преступников?

3.14, Аноним (10), 17:03, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
> не отправил внутренние документы разведке недружественной страны? А кто ты, если допустил такую возможность? Провокатор из контрразведки? Халатность?

2.12, Аноним (10), 17:00, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
дьявол ведь плохой чувак, который в аду жгет грешников, а грешники это хорошие люди, достойные райя. Л - логика.

2.19, mrdzharoff (?), 17:38, 21/11/2025 [^] [^^] [^^^] [ответить]	+/–
да лан тебе. тут да на лоре основной контингент - это чуваки так или иначе связанные со всякими органами и оборонками и ничё: вечером придут с работы, включат вопыэн и давай ругать такой сякой ркн бггг. так и живём

2.21, freehck (ok), 17:44, 21/11/2025 [^] [^^] [^^^] [ответить]

+/–

> что чувствуют те, кто разрабатывает инструмент, _единственное_ назначение которого -- совершать преступления против человечества

Нормально себя чувствуют.

Есть люди, которые боятся мира Оруэлла. Есть люди, которые боятся мира Хаксли. Вы из первых. Они -- из вторых.
И каждый из вас уверен, что делает мир лучше, а оппонент на всех парах мчится в бездну. А истина как всегда где-то между.

Иными словами вы порождаете друг друга. Не было бы их, не было бы и вас. И наоборот. Вот такой вот Уроборос.

1.20, Аноним (20), 17:40, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]

+/–

Те самые люди, для которых в аду уже приготовлен котел. Я в этом не спец, но если бы я захотел обойти бы эту хрень, то у меня на этот счет есть определенный простой и действенный план. Делится не буду. Лучшее решение - это индивидуальное решение, о котором никто не знает.

Зачем мы идем по китайско-серверо-корейскому пути - никто не знает. У нас менталитет не такой и это все равно не сработает. Добьются того, что у народа терпение в какой-то момент просто лопне. То ли хотят показать, что коммунизм все таки можно было построить. Толи просто из вредности пытаются отрезать западным компаниям заработок на наших гражданах. В сказки про ОПАСНАСТЬ и "поиск" экстремистских материалов я не верю. Кого вербуют, тот и так был не за нас. Отрицать это - просто треп в стиле совка, где типа у нас такого быть не может, а если есть, то это все шпиёны. Норм государство бы наоборот предоставляло гос. ВПН для обхода блокировок.

П.С. Где можно качнуть офф дистр Win 10 22H2 со всеми редакциями в обход блокировок? Именно офф, а не сборку от васяна. Пересобирать какими-то сомнительными тузлами - не вариант. Хочу на память оставить, т.к. его поддержка закончилась и скоро его прикроют. Есть 21H2, но боюсь, что обновления в какой-то момент тоже работать перестанут.

2.22, танки онлайн (?), 17:50, 21/11/2025 Скрыто ботом-модератором [к модератору]	+/–

1.23, Аноним (23), 18:16, 21/11/2025 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+/–

1.24, Аноним (23), 18:18, 21/11/2025 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Новость про нДПИ интересна только му...рам. Чтобы они следили. И запрещали.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: