Projekat ntop, koji razvija alate za hvatanje i analizu saobraćaja, objavio je izdanje nDPI 4.0 alata za duboku inspekciju paketa, koji nastavlja razvoj OpenDPI biblioteke. nDPI projekat je osnovan nakon neuspješnog pokušaja unošenja promjena u OpenDPI repozitorijum, koji je ostao neodržavan. nDPI kod je napisan u C i licenciran je pod LGPLv3.
Projekat vam omogućava da odredite protokole na nivou aplikacije koji se koriste u prometu, analizirajući prirodu mrežne aktivnosti bez vezivanja za mrežne portove (može odrediti poznate protokole čiji rukovaoci prihvataju veze na nestandardnim mrežnim portovima, na primjer, ako je http poslano sa porta koji nije port 80, ili, obrnuto, kada pokušavaju da kamufliraju drugu mrežnu aktivnost kao http pokretanjem na portu 80).
Razlike u odnosu na OpenDPI uključuju podršku za dodatne protokole, prenos na Windows platformu, optimizaciju performansi, prilagođavanje za korištenje u aplikacijama za praćenje prometa u realnom vremenu (uklonjene su neke specifične karakteristike koje su usporavale motor), mogućnost izgradnje u obliku Linux kernel modul i podrška za definiranje podprotokola.
Podržano je ukupno 247 definicija protokola i aplikacija, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec do Telegrama, Vibera, WhatsAppa, PostgreSQL i poziva na GMail, Office365 GoogleDocs i YouTube. Postoji serverski i klijentski dekoder SSL certifikata koji vam omogućava da odredite protokol (na primjer, Citrix Online i Apple iCloud) pomoću certifikata za šifriranje. Pomoćni program nDPIreader se isporučuje za analizu sadržaja pcap dumpova ili trenutnog prometa preko mrežnog interfejsa.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Detektovani protokoli: DNS paketi: 57 bajtova: 7904 tokovi: 28 SSL_No_Cert paketi: 483 bajtova: 229203 Fa flows6 paketi: 136 Fa flows74702: 4 tokovi: 9 DropBox paketa: 668 bajtova: 3 tokova: 5 Skype paketa: 339 bajtova: 3 tokova: 1700 Google paketa: 619135 bajtova: 34 tokova: XNUMX
U novom izdanju:
- Poboljšana podrška za metode analize šifrovanog saobraćaja (ETA - Encrypted Traffic Analysis).
- Implementirana je podrška za poboljšani JA3+ TLS metod identifikacije klijenta, koji omogućava, na osnovu karakteristika pregovaranja veze i specificiranih parametara, da se utvrdi koji se softver koristi za uspostavljanje veze (na primjer, omogućava vam da odredite upotrebu Tor i druge tipične aplikacije). Za razliku od prethodno podržane JA3 metode, JA3+ ima manje lažnih pozitivnih rezultata.
- Broj identifikovanih mrežnih prijetnji i problema povezanih s rizikom od kompromitacije (rizik protoka) proširen je na 33. Dodati su novi detektori prijetnji koji se odnose na desktop i dijeljenje datoteka, sumnjivi HTTP promet, zlonamjerni JA3 i SHA1 i pristup problematičnim domene i autonomne sisteme, korišćenje TLS sertifikata sa sumnjivim ekstenzijama ili predugim periodom važenja.
- Izvršena je značajna optimizacija performansi, u poređenju sa granom 3.0, brzina obrade saobraćaja je povećana za 2.5 puta.
- Dodata GeoIP podrška za određivanje lokacije po IP adresi.
- Dodan API za izračunavanje RSI (Relative Strength Index).
- Kontrole fragmentacije su implementirane.
- Dodat API za izračunavanje uniformnosti protoka (jitter).
- Dodata podrška za protokole i usluge: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Assist Tumblr, Alexa, Siri), Z39.50.
- Poboljšano raščlanjivanje i otkrivanje AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP kontrola, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoli, RTSP preko HTTP-a, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
izvor: opennet.ru