El projecte ntop, que desenvolupa eines per capturar i analitzar el trànsit, ha publicat el llançament del conjunt d'eines d'inspecció de paquets profunds nDPI 4.0, que continua el desenvolupament de la biblioteca OpenDPI. El projecte nDPI es va fundar després d'un intent infructuós d'impulsar canvis al repositori OpenDPI, que es va deixar sense manteniment. El codi nDPI està escrit en C i té llicència LGPLv3.
El projecte us permet determinar els protocols a nivell d'aplicació utilitzats en el trànsit, analitzant la naturalesa de l'activitat de la xarxa sense estar lligat a ports de xarxa (pot determinar protocols coneguts els controladors dels quals accepten connexions en ports de xarxa no estàndard, per exemple, si http és enviats des d'un port diferent del port 80, o, per contra, quan intenten camuflar una altra activitat de xarxa com a http executant-lo al port 80).
Les diferències d'OpenDPI inclouen el suport per a protocols addicionals, la portabilitat a la plataforma Windows, l'optimització del rendiment, l'adaptació per al seu ús en aplicacions de monitorització de trànsit en temps real (algunes característiques específiques que van frenar el motor es van eliminar), la capacitat de construir en forma de Mòdul del nucli de Linux i suport per definir subprotocols .
S'admeten un total de 247 definicions de protocol i aplicacions, des d'OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec fins a Telegram, Viber, WhatsApp, PostgreSQL i trucades a GMail, Office365 GoogleDocs i YouTube. Hi ha un descodificador de certificat SSL de servidor i client que us permet determinar el protocol (per exemple, Citrix Online i Apple iCloud) mitjançant el certificat de xifratge. La utilitat nDPIreader es subministra per analitzar el contingut dels abocadors de pcap o el trànsit actual mitjançant la interfície de xarxa.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Protocols detectats: Paquets DNS: 57 bytes: 7904 fluxos: 28 Paquets SSL_No_Cert: 483 bytes: 229203 fluxos: 6 Paquets de FaceBook: 136:74702:4 9 paquets DropBox: 668 bytes: 3 fluxos: 5 paquets Skype: 339 bytes: 3 fluxos: 1700 paquets de Google: 619135 bytes: 34 fluxos: XNUMX
A la nova versió:
- Suport millorat per als mètodes d'anàlisi de trànsit xifrat (ETA - Encrypted Traffic Analysis).
- S'ha implementat suport per al mètode millorat d'identificació del client JA3+ TLS, que permet, en funció de les característiques de negociació de la connexió i dels paràmetres especificats, determinar quin programari s'utilitza per establir una connexió (per exemple, permet determinar l'ús de Tor i altres aplicacions típiques). A diferència del mètode JA3 suportat anteriorment, JA3+ té menys falsos positius.
- S'ha ampliat a 33 el nombre d'amenaces de xarxa i problemes associats al risc de compromís (risc de flux). S'han afegit nous detectors d'amenaces relacionats amb l'ús compartit de fitxers i d'escriptori, trànsit HTTP sospitós, JA3 i SHA1 maliciós i accés a problemes problemàtics. dominis i sistemes autònoms, l'ús de certificats TLS amb extensions sospitoses o un període de validesa massa llarg.
- S'ha dut a terme una optimització significativa del rendiment; en comparació amb la branca 3.0, la velocitat de processament del trànsit ha augmentat 2.5 vegades.
- S'ha afegit suport GeoIP per determinar la ubicació per adreça IP.
- S'ha afegit API per calcular RSI (índex de força relativa).
- S'han implementat controls de fragmentació.
- S'ha afegit API per calcular la uniformitat del flux (jitter).
- Suport afegit per a protocols i serveis: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Anàlisi i detecció millorades d'AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protocols , RTSP mitjançant HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Font: opennet.ru