Layihə , trafiki tutmaq və təhlil etmək üçün alətlər hazırlamaq, dərin qablaşdırma yoxlaması üçün alətlərin buraxılması , kitabxananın inkişafını davam etdirmək . nDPI layihəsi dəyişiklikləri köçürmək üçün uğursuz cəhddən sonra quruldu Müşayiətsiz qalan OpenDPI. nDPI kodu C və hərflərində yazılmışdır LGPLv3 altında lisenziyalıdır.
Layihə şəbəkə portlarına bağlanmadan şəbəkə fəaliyyətinin xarakterini təhlil edərək, trafikdə istifadə olunan tətbiq səviyyəli protokolları müəyyənləşdirin (işləyiciləri qeyri-standart şəbəkə portlarında bağlantıları qəbul edən tanınmış protokolları müəyyən edə bilər, məsələn, http göndərilmirsə. port 80 və ya əksinə, bəziləri digər şəbəkə fəaliyyətini 80 portda işlətməklə http kimi kamuflyaj etməyə çalışdıqda).
OpenDPI-dən fərqlər əlavə protokolları dəstəkləmək, Windows platforması üçün daşıma, performansın optimallaşdırılması, real vaxt rejimində trafikin monitorinqi üçün tətbiqlərdə istifadə üçün uyğunlaşma (mühərriki yavaşlatan bəzi spesifik xüsusiyyətlər çıxarılıb),
Linux nüvə modulu şəklində montaj imkanları və subprotokolların müəyyənləşdirilməsinə dəstək.
Cəmi 238 protokol və tətbiq tərifləri dəstəklənir
OpenVPN, Tor, QUIC, SOCKS, BitTorrent və IPsec-dən Telegram-a,
Viber, WhatsApp, PostgreSQL və GMail, Office365-ə zənglər
GoogleDocs və YouTube. Şifrələmə sertifikatından istifadə edərək protokolu (məsələn, Citrix Online və Apple iCloud) müəyyən etməyə imkan verən server və müştəri SSL sertifikat dekoderi mövcuddur. nDPIreader yardım proqramı pcap zibillərinin məzmununu və ya şəbəkə interfeysi vasitəsilə cari trafiki təhlil etmək üçün verilir.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Aşkarlanmış protokollar:
DNS paketləri: 57 bayt: 7904 axın: 28
SSL_No_Cert paketləri: 483 bayt: 229203 axın: 6
Facebook paketləri: 136 bayt: 74702 axın: 4
DropBox paketləri: 9 bayt: 668 axın: 3
Skype paketləri: 5 bayt: 339 axın: 3
Google paketləri: 1700 bayt: 619135 axın: 34
Yeni buraxılışda:
- Protokol haqqında məlumat indi tam metaməlumatların qəbulunu gözləmədən (müvafiq şəbəkə paketlərinin alınmaması səbəbindən konkret sahələr hələ təhlil edilmədikdə belə) təyin edildikdən dərhal sonra göstərilir ki, bu da dərhal lazım olan trafik analizatorları üçün vacibdir. müəyyən trafik növlərinə cavab verir. Tam protokol diseksiyasını tələb edən proqramlar üçün ndpi_extra_dissection_possible() API bütün protokol metadatasının müəyyən edilməsini təmin etmək üçün təqdim olunur.
- TLS-nin daha dərin təhlili həyata keçirilib, sertifikatın düzgünlüyü və sertifikatın SHA-1 hashı haqqında məlumat çıxarılıb.
- "-C" bayrağı CSV formatında ixrac üçün nDPIreader tətbiqinə əlavə edilmişdir ki, bu da əlavə ntop alət dəstindən istifadə etməyə imkan verir. olduqca mürəkkəb statistik nümunələr. Məsələn, NetFlix-də filmlərə ən uzun müddət baxan istifadəçinin IP-sini müəyyən etmək üçün:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "/tmp/netflix.csv ünvanından src_ip,SUM(src2dst_bytes+dst2src_bytes) seçin, burada ndpi_proto src_ip tərəfindən '%NetFlix%' qrupu kimidir"192.168.1.7,6151821
- Təklif olunanlara dəstək əlavə edildi paket ölçüsündən istifadə edərək şifrələnmiş trafikdə gizlənmiş zərərli fəaliyyəti müəyyən etmək və vaxt/gecikmə analizini göndərmək. NdpiReader-də metod “-J” seçimi ilə aktivləşdirilir.
- Protokolların kateqoriyalar üzrə təsnifatı verilir.
- Protokolun istifadəsində anomaliyaları müəyyən etmək üçün, məsələn, DoS hücumları zamanı protokolun istifadəsini müəyyən etmək üçün IAT (Inter-Arrival Time) hesablanması üçün əlavə dəstək.
- Entropiya, orta, standart sapma və variasiya kimi hesablanmış ölçülərə əsaslanan məlumatların təhlili imkanları əlavə edildi.
- Python dili üçün bağlamaların ilkin versiyası təklif edilmişdir.
- Məlumat sızmalarını aşkar etmək üçün trafikdə oxuna bilən sətirləri aşkar etmək üçün rejim əlavə edildi. IN
ndpiReader rejimi “-e” seçimi ilə aktivləşdirilib. - TLS müştəri identifikasiyası metodu üçün əlavə dəstək , bu, əlaqənin koordinasiyasının xüsusiyyətlərinə və müəyyən edilmiş parametrlərə əsasən əlaqə yaratmaq üçün hansı proqram təminatından istifadə olunduğunu müəyyən etməyə imkan verir (məsələn, Tor və digər tipik proqramların istifadəsini müəyyən etməyə imkan verir).
- SSH tətbiqlərini müəyyən etmək üçün metodlar üçün əlavə dəstək () və DHCP.
- Məlumatların seriallaşdırılması və sıradan çıxarılması üçün əlavə funksiyalar
Type-Length-Value (TLV) və JSON formatları. - Protokollar və xidmətlər üçün əlavə dəstək: DTLS (UDP üzərindən TLS),
hulu,
TikTok/Musical.ly,
WhatsApp Video,
DNSoverHTTPS
Məlumat qoruyucusu
xətt,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - TLS, SIP, STUN analizi üçün təkmilləşdirilmiş dəstək,
viber,
WhatsApp,
Amazon Video,
SnapChat
FTP,
QUIC
OpenVPN UDP,
Facebook Messenger və Hangout.
Mənbə: opennet.ru