projekt ntop, vývoj nástrojů pro zachycování a analýzu provozu, zveřejněna uvolnění nástrojů pro hloubkovou kontrolu balíků nDPI 3.0, pokračující v rozvoji knihovny OpenDPI. Projekt nDPI byl založen po neúspěšném pokusu přenést změny do úložiště OpenDPI, který byl ponechán bez doprovodu. Kód nDPI je napsán v jazyce C a distribuovány pod licencí LGPLv3.
projekt umožňuje určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byla vázána na síťové porty (dokáže identifikovat dobře známé protokoly, jejichž ovladače přijímají připojení na nestandardních síťových portech, například pokud http není odesláno z port 80, nebo naopak, když se někteří snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).
Rozdíly oproti OpenDPI spočívají v podpoře dalších protokolů, portování pro platformu Windows, optimalizaci výkonu, přizpůsobení pro použití v aplikacích pro sledování provozu v reálném čase (byly odstraněny některé specifické funkce, které zpomalovaly engine),
možnosti sestavení v podobě modulu jádra Linuxu a podpora pro definování podprotokolů.
Celkem je podporováno 238 definic protokolů a aplikací, od
OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec do telegramu,
Viber, WhatsApp, PostgreSQL a volání na GMail, Office365
Dokumenty Google a YouTube. Existuje serverový a klientský dekodér certifikátů SSL, který umožňuje určit protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Nástroj nDPIreader je dodáván k analýze obsahu výpisů pcap nebo aktuálního provozu přes síťové rozhraní.
Informace o protokolu se nyní zobrazují ihned po definici, bez čekání na přijetí úplných metadat (i když konkrétní pole ještě nebyla analyzována z důvodu nepřijetí odpovídajících síťových paketů), což je důležité pro analyzátory provozu, kteří potřebují okamžitě reagovat na určité typy provozu. Pro aplikace, které vyžadují úplnou disekci protokolu, je k dispozici rozhraní API ndpi_extra_dissection_possible(), které zajišťuje, že jsou definována všechna metadata protokolu.
Implementováno hlubší parsování TLS, extrahování informací o správnosti certifikátu a SHA-1 hash certifikátu.
Do aplikace nDPIreader byl přidán příznak "-C" pro export ve formátu CSV, který umožňuje používat doplňkovou sadu nástrojů ntop provést poměrně složité statistické vzorky. Chcete-li například určit IP adresu uživatele, který sledoval filmy na NetFlixu nejdéle:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "vyberte src_ip,SUM(src2dst_bytes+dst2src_bytes) z /tmp/netflix.csv, kde ndpi_proto jako '%NetFlix%' seskupí podle src_ip"
192.168.1.7,6151821
Přidána podpora toho, co bylo navrženo v Cisco Joytechnici identifikace škodlivé aktivity skryté v šifrovaném provozu pomocí velikosti paketu a analýzy času/latence odesílání. V ndpiReaderu se metoda aktivuje volbou „-J“.
Je zajištěna klasifikace protokolů do kategorií.
Přidána podpora pro výpočet IAT (Inter-Arrival Time) pro identifikaci anomálií v použití protokolu, například pro identifikaci použití protokolu během DoS útoků.
Přidány možnosti analýzy dat na základě vypočítaných metrik, jako je entropie, průměr, standardní odchylka a rozptyl.
Byla navržena počáteční verze vazeb pro jazyk Python.
Přidán režim pro detekci čitelných řetězců v provozu pro detekci úniků dat. V
Režim ndpiReader je povolen s volbou „-e“.
Přidána podpora pro metodu identifikace klienta TLS JA3, který umožňuje určit na základě charakteristik koordinace připojení a zadaných parametrů, který software se používá k navázání spojení (umožňuje například určit použití Tor a dalších standardních aplikací).
Přidána podpora metod pro identifikaci implementací SSH (HASH) a DHCP.
Přidány funkce pro serializaci a deserializaci dat v
Formáty Type-Length-Value (TLV) a JSON.
Přidána podpora protokolů a služeb: DTLS (TLS přes UDP),
hulu,
TikTok/Musical.ly,
WhatsApp video,
DNSoverHTTPS
Spořič dat
Čára,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us.
Vylepšená podpora pro TLS, SIP, STUN analýzu,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger a Hangout.