نشر مشروع ntop ، الذي يطور أدوات لالتقاط حركة المرور وتحليلها ، إصدارًا لمجموعة أدوات الفحص العميق للحزم nDPI 4.0 ، والتي تستمر في تطوير مكتبة OpenDPI. تم تأسيس مشروع nDPI بعد محاولة فاشلة لإجراء تغييرات على مستودع OpenDPI ، والتي تُركت دون صيانة. تتم كتابة كود nDPI بلغة C وتوزيعه بموجب ترخيص LGPLv3.
يسمح لك المشروع بتحديد البروتوكولات على مستوى التطبيق المستخدمة في حركة المرور، وتحليل طبيعة نشاط الشبكة دون الارتباط بمنافذ الشبكة (يمكنه تحديد البروتوكولات المعروفة التي تقبل معالجاتها الاتصالات على منافذ الشبكة غير القياسية، على سبيل المثال، إذا كان http هو يتم إرسالها من منفذ آخر غير المنفذ 80، أو على العكس من ذلك، عندما يحاولون إخفاء نشاط الشبكة الآخر مثل http عن طريق تشغيله على المنفذ 80).
تتضمن الاختلافات عن OpenDPI دعم البروتوكولات الإضافية، والنقل إلى نظام Windows الأساسي، وتحسين الأداء، والتكيف للاستخدام في تطبيقات مراقبة حركة المرور في الوقت الفعلي (تمت إزالة بعض الميزات المحددة التي أدت إلى إبطاء المحرك)، والقدرة على البناء في شكل وحدة Linux kernel، ودعم تحديد البروتوكولات الفرعية.
يتم دعم إجمالي 247 تعريفًا للبروتوكول والتطبيقات، بدءًا من OpenVPN وTor وQUIC وSOCKS وBitTorrent وIPsec إلى Telegram وViber وWhatsApp وPostgreSQL والمكالمات إلى GMail وOffice365 GoogleDocs وYouTube. يوجد وحدة فك ترميز شهادة SSL للخادم والعميل والتي تسمح لك بتحديد البروتوكول (على سبيل المثال، Citrix Online وApple iCloud) باستخدام شهادة التشفير. يتم توفير الأداة المساعدة nDPIreader لتحليل محتويات عمليات تفريغ pcap أو حركة المرور الحالية عبر واجهة الشبكة.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" البروتوكولات المكتشفة: حزم DNS: 57 بايت: 7904 تدفقات: 28 حزمة SSL_No_Cert: 483 بايت: 229203 تدفقات: 6 حزم Facebook: 136 بايت: 74702 تدفقات: 4 حزم DropBox: 9 بايت: 668 تدفقًا: 3 حزم Skype: 5 بايت: 339 تدفقًا: 3 حزم Google: 1700 بايت: 619135 تدفقًا: 34
في الإصدار الجديد:
- تحسين الدعم لأساليب تحليل حركة المرور المشفرة (ETA - تحليل حركة المرور المشفرة).
- تم تنفيذ الدعم لطريقة تعريف عميل JA3+ TLS المحسنة، والتي تسمح، استنادًا إلى ميزات تفاوض الاتصال والمعلمات المحددة، بتحديد البرنامج المستخدم لإنشاء اتصال (على سبيل المثال، يسمح لك بتحديد استخدام Tor و تطبيقات نموذجية أخرى). على عكس طريقة JA3 المدعومة سابقًا، تحتوي JA3+ على نتائج إيجابية كاذبة أقل.
- تم توسيع عدد تهديدات الشبكة المحددة والمشكلات المرتبطة بمخاطر الاختراق (مخاطر التدفق) إلى 33. تمت إضافة أدوات كشف التهديدات الجديدة المتعلقة بمشاركة سطح المكتب والملفات، وحركة مرور HTTP المشبوهة، وJA3 وSHA1 الضارة، والوصول إلى المواقع التي بها مشكلات. المجالات والأنظمة المستقلة، واستخدام شهادات TLS ذات امتدادات مشبوهة أو فترة صلاحية طويلة جدًا.
- تم إجراء تحسين كبير في الأداء، مقارنة بالفرع 3.0، زادت سرعة معالجة حركة المرور بمقدار 2.5 مرة.
- تمت إضافة دعم GeoIP لتحديد الموقع عن طريق عنوان IP.
- تمت إضافة واجهة برمجة التطبيقات لحساب RSI (مؤشر القوة النسبية).
- تم تنفيذ ضوابط التجزئة.
- تمت إضافة واجهة برمجة التطبيقات لحساب انتظام التدفق (الارتعاش).
- دعم إضافي للبروتوكولات والخدمات: AmongUs، وAVAST SecureDNS، وCPHA (CheckPoint High Availability Protocol)، وDisneyPlus، وDTLS، وGenshin Impact، وHP Virtual Machine Group Management (hpvirtgrp)، وMongodb، وPinterest، وReddit، وSnapchat VoIP، وTumblr، والمساعد الافتراضي ( اليكسا، سيري)، Z39.50.
- تحسين التحليل والكشف عن AnyDesk وDNS وHulu وDCE/RPC وdnscrypt وFacebook وFortigate وFTP Control وHTTP وIEC104 وIEC60870 وIRC وNetbios وNetflix وOokla speedtest وopenspeedtest.com وOutlook / MicrosoftMail وQUIC وRTSP البروتوكولات، RTSP عبر HTTP، SNMP، Skype، SSH، Steam، STUN، TeamViewer، TOR، TLS، UPnP، wireguard.
المصدر: opennet.ru