Die ntop-projek, wat nutsmiddels ontwikkel om verkeer vas te vang en te ontleed, het die vrystelling van die nDPI 4.0 dieppakkie-inspeksie-gereedskapstel gepubliseer, wat die ontwikkeling van die OpenDPI-biblioteek voortsit. Die nDPI-projek is gestig na 'n onsuksesvolle poging om veranderinge aan die OpenDPI-bewaarplek deur te voer, wat nie onderhou is nie. Die nDPI-kode is in C geskryf en is onder LGPLv3 gelisensieer.
Die projek stel jou in staat om die toepassingsvlak-protokolle wat in verkeer gebruik word te bepaal, deur die aard van netwerkaktiwiteit te ontleed sonder om aan netwerkpoorte gekoppel te wees (dit kan bekende protokolle bepaal waarvan die hanteerders verbindings op nie-standaard netwerkpoorte aanvaar, byvoorbeeld, as http is gestuur vanaf 'n ander poort as poort 80, of, omgekeerd, wanneer wat Hulle probeer om ander netwerkaktiwiteit as http te kamoefleer deur dit op poort 80 uit te voer).
Verskille van OpenDPI sluit in ondersteuning vir bykomende protokolle, oordrag na die Windows-platform, werkverrigtingoptimalisering, aanpassing vir gebruik in intydse verkeersmonitering-toepassings (sommige spesifieke kenmerke wat die enjin vertraag het, is verwyder), die vermoë om te bou in die vorm van 'n Linux kernmodule, en ondersteuning vir die definisie van subprotokolle.
Altesaam 247 protokol- en toepassingsdefinisies word ondersteun, van OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec tot Telegram, Viber, WhatsApp, PostgreSQL en oproepe na Gmail, Office365 GoogleDocs en YouTube. Daar is 'n bediener- en kliënt-SSL-sertifikaatdekodeerder wat jou toelaat om die protokol (byvoorbeeld Citrix Online en Apple iCloud) met behulp van die enkripsiesertifikaat te bepaal. Die nDPIreader-nutsding word verskaf om die inhoud van pcap-stortings of huidige verkeer via die netwerkkoppelvlak te ontleed.
$ ./nDPIreader -i eth0 -s 20 -f “gasheer 192.168.1.10” Bespeurde protokolle: DNS-pakkies: 57 grepe: 7904 vloei: 28 SSL_No_Cert-pakkies: 483 grepe: 229203 vloei: 6 FaceBook-pakkette: 136 FaceBook-pakkies: 74702 pakke: 4 DropBox-pakkies: 9 grepe: 668 vloei: 3 Skype-pakkies: 5 grepe: 339 vloei: 3 Google-pakkies: 1700 grepe: 619135 vloei: 34
In die nuwe vrystelling:
- Verbeterde ondersteuning vir geïnkripteer verkeer analise metodes (ETA - Encrypted Traffic Analysis).
- Ondersteuning is geïmplementeer vir die verbeterde JA3+ TLS-kliënt-identifikasiemetode, wat dit moontlik maak, gebaseer op die verbindingsonderhandelingskenmerke en gespesifiseerde parameters, om te bepaal watter sagteware gebruik word om 'n verbinding te vestig (dit laat jou byvoorbeeld toe om die gebruik van Tor en ander tipiese toepassings). Anders as die voorheen ondersteunde JA3-metode, het JA3+ minder vals positiewe.
- Die aantal geïdentifiseerde netwerkbedreigings en probleme wat verband hou met die risiko van kompromie (vloeirisiko) is uitgebrei na 33. Nuwe bedreigingverklikkers is bygevoeg wat verband hou met rekenaar- en lêerdeling, verdagte HTTP-verkeer, kwaadwillige JA3 en SHA1, en toegang tot problematiese domeine en outonome stelsels, die gebruik van TLS-sertifikate met verdagte uitbreidings of te lang geldigheidstydperk.
- Beduidende prestasieoptimalisering is uitgevoer; in vergelyking met tak 3.0, het die spoed van verkeersverwerking met 2.5 keer toegeneem.
- Bygevoeg GeoIP-ondersteuning vir die bepaling van ligging volgens IP-adres.
- Bygevoeg API vir die berekening van RSI (Relative Strength Index).
- Fragmentasiekontroles is geïmplementeer.
- Bygevoeg API vir die berekening van vloei eenvormigheid (jitter).
- Bygevoegde ondersteuning vir protokolle en dienste: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Verbeterde ontleding en opsporing van AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokolle, RTSP via HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Bron: opennet.ru