projekt , vývoj nástrojů pro zachycování a analýzu provozu, uvolnění nástrojů pro hloubkovou kontrolu balíků , pokračující v rozvoji knihovny . Projekt nDPI byl založen po neúspěšném pokusu přenést změny do OpenDPI, který byl ponechán bez doprovodu. Kód nDPI je napsán v jazyce C a pod licencí LGPLv3.
projekt určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byla vázána na síťové porty (dokáže identifikovat dobře známé protokoly, jejichž ovladače přijímají připojení na nestandardních síťových portech, například pokud http není odesláno z port 80, nebo naopak, když se někteří snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).
Rozdíly oproti OpenDPI spočívají v podpoře dalších protokolů, portování pro platformu Windows, optimalizaci výkonu, přizpůsobení pro použití v aplikacích pro sledování provozu v reálném čase (byly odstraněny některé specifické funkce, které zpomalovaly engine),
možnosti sestavení v podobě modulu jádra Linuxu a podpora pro definování podprotokolů.
Celkem je podporováno 238 definic protokolů a aplikací, od
OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec do telegramu,
Viber, WhatsApp, PostgreSQL a volání na GMail, Office365
Dokumenty Google a YouTube. Existuje serverový a klientský dekodér certifikátů SSL, který umožňuje určit protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Nástroj nDPIreader je dodáván k analýze obsahu výpisů pcap nebo aktuálního provozu přes síťové rozhraní.
$ ./nDPIreader -i eth0 -s 20 -f "hostitel 192.168.1.10"
Zjištěné protokoly:
DNS pakety: 57 bajtů: 7904 toků: 28
Pakety SSL_No_Cert: 483 bajtů: 229203 toků: 6
Pakety na Facebooku: 136 bajtů: 74702 toků: 4
Pakety DropBox: 9 bajtů: 668 toků: 3
Pakety Skype: 5 bajtů: 339 toků: 3
Pakety Google: 1700 bajtů: 619135 toků: 34
V novém vydání:
- Informace o protokolu se nyní zobrazují ihned po definici, bez čekání na přijetí úplných metadat (i když konkrétní pole ještě nebyla analyzována z důvodu nepřijetí odpovídajících síťových paketů), což je důležité pro analyzátory provozu, kteří potřebují okamžitě reagovat na určité typy provozu. Pro aplikace, které vyžadují úplnou disekci protokolu, je k dispozici rozhraní API ndpi_extra_dissection_possible(), které zajišťuje, že jsou definována všechna metadata protokolu.
- Implementováno hlubší parsování TLS, extrahování informací o správnosti certifikátu a SHA-1 hash certifikátu.
- Do aplikace nDPIreader byl přidán příznak "-C" pro export ve formátu CSV, který umožňuje používat doplňkovou sadu nástrojů ntop poměrně složité statistické vzorky. Chcete-li například určit IP adresu uživatele, který sledoval filmy na NetFlixu nejdéle:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "vyberte src_ip,SUM(src2dst_bytes+dst2src_bytes) z /tmp/netflix.csv, kde ndpi_proto jako '%NetFlix%' seskupí podle src_ip"192.168.1.7,6151821
- Přidána podpora toho, co bylo navrženo v identifikace škodlivé aktivity skryté v šifrovaném provozu pomocí velikosti paketu a analýzy času/latence odesílání. V ndpiReaderu se metoda aktivuje volbou „-J“.
- Je zajištěna klasifikace protokolů do kategorií.
- Přidána podpora pro výpočet IAT (Inter-Arrival Time) pro identifikaci anomálií v použití protokolu, například pro identifikaci použití protokolu během DoS útoků.
- Přidány možnosti analýzy dat na základě vypočítaných metrik, jako je entropie, průměr, standardní odchylka a rozptyl.
- Byla navržena počáteční verze vazeb pro jazyk Python.
- Přidán režim pro detekci čitelných řetězců v provozu pro detekci úniků dat. V
Režim ndpiReader je povolen s volbou „-e“. - Přidána podpora pro metodu identifikace klienta TLS , který umožňuje určit na základě charakteristik koordinace připojení a zadaných parametrů, který software se používá k navázání spojení (umožňuje například určit použití Tor a dalších standardních aplikací).
- Přidána podpora metod pro identifikaci implementací SSH () a DHCP.
- Přidány funkce pro serializaci a deserializaci dat v
Formáty Type-Length-Value (TLV) a JSON. - Přidána podpora protokolů a služeb: DTLS (TLS přes UDP),
hulu,
TikTok/Musical.ly,
WhatsApp video,
DNSoverHTTPS
Spořič dat
Čára,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Vylepšená podpora pro TLS, SIP, STUN analýzu,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger a Hangout.
Zdroj: opennet.ru