مشروع ، تطوير أدوات لالتقاط وتحليل حركة المرور، إطلاق أدوات الفحص العميق للحزم ، مواصلة تطوير المكتبة . تم تأسيس مشروع nDPI بعد محاولة فاشلة لنقل التغييرات إلى OpenDPI، الذي ترك بدون مرافق. كود nDPI مكتوب بلغة C و مرخص بموجب LGPLv3.
مشروع تحديد البروتوكولات على مستوى التطبيق المستخدمة في حركة المرور، وتحليل طبيعة نشاط الشبكة دون الارتباط بمنافذ الشبكة (يمكن تحديد البروتوكولات المعروفة التي يقبل معالجوها الاتصالات على منافذ الشبكة غير القياسية، على سبيل المثال، إذا لم يتم إرسال http من المنفذ 80، أو على العكس من ذلك، عندما يحاول البعض إخفاء نشاط الشبكة الآخر باسم http عن طريق تشغيله على المنفذ 80).
تعود الاختلافات عن OpenDPI إلى دعم البروتوكولات الإضافية، والنقل لمنصة Windows، وتحسين الأداء، والتكيف للاستخدام في تطبيقات مراقبة حركة المرور في الوقت الفعلي (تمت إزالة بعض الميزات المحددة التي أدت إلى إبطاء المحرك)،
قدرات التجميع في شكل وحدة Linux kernel ودعم تحديد البروتوكولات الفرعية.
يتم دعم إجمالي 238 تعريفًا للبروتوكول والتطبيق، من
OpenVPN وTor وQUIC وSOCKS وBitTorrent وIPsec إلى Telegram،
Viber وWhatsApp وPostgreSQL والمكالمات إلى GMail وOffice365
جوجل دوكس ويوتيوب. يوجد وحدة فك ترميز شهادة SSL للخادم والعميل والتي تسمح لك بتحديد البروتوكول (على سبيل المثال، Citrix Online وApple iCloud) باستخدام شهادة التشفير. يتم توفير الأداة المساعدة nDPIreader لتحليل محتويات عمليات تفريغ pcap أو حركة المرور الحالية عبر واجهة الشبكة.
$ ./nDPIreader -i eth0 -s 20 -f "المضيف 192.168.1.10"
البروتوكولات المكتشفة:
حزم DNS: 57 بايت: 7904 تدفقات: 28
حزم SSL_No_Cert: 483 بايت: 229203 تدفقات: 6
حزم فيسبوك: 136 بايت: 74702 تدفقًا: 4
حزم DropBox: 9 بايت: 668 تدفقًا: 3
حزم Skype: 5 بايت: 339 تدفقًا: 3
حزم جوجل: 1700 بايت: 619135 التدفق: 34
في الإصدار الجديد:
- يتم الآن عرض المعلومات المتعلقة بالبروتوكول فور التعريف، دون انتظار تلقي بيانات التعريف الكاملة (حتى عندما لم يتم تحليل حقول محددة بعد بسبب الفشل في تلقي حزم الشبكة المقابلة)، وهو أمر مهم لمحللي حركة المرور الذين يحتاجون إلى تحليل على الفور الاستجابة لأنواع معينة من حركة المرور. بالنسبة للتطبيقات التي تتطلب تشريحًا كاملاً للبروتوكول، يتم توفير واجهة برمجة التطبيقات ndpi_extra_dissection_possible() لضمان تحديد جميع بيانات تعريف البروتوكول.
- تم تنفيذ تحليل أعمق لـ TLS، واستخراج معلومات حول صحة الشهادة وتجزئة SHA-1 للشهادة.
- تمت إضافة العلامة "-C" إلى تطبيق nDPIreader للتصدير بتنسيق CSV، مما يجعل من الممكن استخدام مجموعة أدوات ntop الإضافية عينات إحصائية معقدة للغاية. على سبيل المثال، لتحديد عنوان IP الخاص بالمستخدم الذي شاهد الأفلام على NetFlix لأطول فترة:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "اختر src_ip,SUM(src2dst_bytes+dst2src_bytes) من /tmp/netflix.csv حيث ndpi_proto مثل مجموعة '%NetFlix%' بواسطة src_ip"192.168.1.7,6151821
- تمت إضافة الدعم لما تم اقتراحه في تحديد النشاط الضار المخفي في حركة المرور المشفرة باستخدام حجم الحزمة وإرسال تحليل الوقت/زمن الوصول. في ndpiReader، يتم تنشيط الطريقة عن طريق الخيار "-J".
- يتم توفير تصنيف البروتوكولات إلى فئات.
- تمت إضافة دعم لحساب IAT (وقت الوصول الداخلي) لتحديد الحالات الشاذة في استخدام البروتوكول، على سبيل المثال، لتحديد استخدام البروتوكول أثناء هجمات DoS.
- تمت إضافة إمكانات تحليل البيانات بناءً على المقاييس المحسوبة مثل الإنتروبيا والمتوسط والانحراف المعياري والتباين.
- تم اقتراح نسخة أولية من الروابط الخاصة بلغة بايثون.
- تمت إضافة وضع لاكتشاف السلاسل القابلة للقراءة في حركة المرور لاكتشاف تسرب البيانات. في
يتم تمكين وضع ndpiReader باستخدام الخيار "-e". - تمت إضافة دعم لطريقة تعريف عميل TLS ، والذي يسمح لك، بناءً على خصائص تنسيق الاتصال والمعلمات المحددة، بتحديد البرنامج المستخدم لإنشاء اتصال (على سبيل المثال، يسمح لك بتحديد استخدام Tor والتطبيقات القياسية الأخرى).
- تمت إضافة دعم لأساليب تحديد تطبيقات SSH () وDHCP.
- تمت إضافة وظائف لإجراء تسلسل وإلغاء تسلسل البيانات في
تنسيقات نوع-طول-قيمة (TLV) وJSON. - تمت إضافة دعم للبروتوكولات والخدمات: DTLS (TLS عبر UDP)،
هولو،
تيك توك/ميوزيكال.لي،
فيديو واتس اب,
DNSoverHTTPS
حافظة البيانات
خط ،
جوجل ديو، جلسة Hangout،
واير جارد VPN،
IMO ،
Zoom.us. - تحسين الدعم لتحليل TLS، SIP، STUN،
الافعى،
ال WhatsApp،
فيديو أمازون,
سناب شات
FTP ،
QUIC
برنامج OpenVPN يو دي بي،
الفيسبوك ماسنجر وجلسة Hangout.
المصدر: opennet.ru