Projekt ntop, který vyvíjí nástroje pro zachycování a analýzu provozu, zveřejnil vydání sady nástrojů pro hloubkovou kontrolu paketů nDPI 4.0, která pokračuje ve vývoji knihovny OpenDPI. Projekt nDPI byl založen po neúspěšném pokusu protlačit změny do úložiště OpenDPI, které zůstalo bez údržby. Kód nDPI je napsán v jazyce C a je licencován pod LGPLv3.
Projekt umožňuje určit protokoly na aplikační úrovni používané v provozu, analyzovat povahu síťové aktivity, aniž by byl vázán na síťové porty (může určit známé protokoly, jejichž handlery přijímají připojení na nestandardních síťových portech, například pokud je http odeslané z jiného portu než je port 80, nebo naopak, kdy se snaží zakamuflovat jinou síťovou aktivitu jako http spuštěním na portu 80).
Rozdíly oproti OpenDPI zahrnují podporu dalších protokolů, portování na platformu Windows, optimalizaci výkonu, přizpůsobení pro použití v aplikacích pro sledování provozu v reálném čase (byly odstraněny některé specifické funkce, které zpomalovaly engine), možnost sestavení ve formě Modul linuxového jádra a podpora pro definování podprotokolů.
Celkem je podporováno 247 definic protokolů a aplikací, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec po Telegram, Viber, WhatsApp, PostgreSQL a volání do GMail, Office365 GoogleDocs a YouTube. Existuje serverový a klientský dekodér certifikátů SSL, který umožňuje určit protokol (například Citrix Online a Apple iCloud) pomocí šifrovacího certifikátu. Nástroj nDPIreader je dodáván k analýze obsahu výpisů pcap nebo aktuálního provozu přes síťové rozhraní.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Zjištěné protokoly: DNS pakety: 57 bajtů: 7904 toků: 28 paketů SSL_No_Cert: 483 bajtů: 229203 toků: 6 toků podle toku 136:74702 FaceBook: 4 FaceBook: 9 pakety DropBox: 668 bajtů: 3 toků: 5 pakety Skype: 339 bajtů: 3 toků: 1700 pakety Google: 619135 bajtů: 34 toků: XNUMX
V novém vydání:
- Vylepšená podpora pro šifrované metody analýzy provozu (ETA - Encrypted Traffic Analysis).
- Byla implementována podpora pro vylepšenou metodu identifikace klienta JA3+ TLS, která umožňuje na základě funkcí vyjednávání připojení a zadaných parametrů určit, který software se používá k navázání připojení (umožňuje například určit použití Tor a jiné typické aplikace). Na rozdíl od dříve podporované metody JA3 má JA3+ méně falešných poplachů.
- Počet identifikovaných síťových hrozeb a problémů spojených s rizikem kompromitace (flow risk) byl rozšířen na 33. Byly přidány nové detektory hrozeb související se sdílením plochy a souborů, podezřelým HTTP provozem, škodlivými JA3 a SHA1 a přístupem k problematickým domény a autonomní systémy, používání TLS certifikátů s podezřelými příponami nebo příliš dlouhá doba platnosti.
- Byla provedena výrazná optimalizace výkonu, oproti větvi 3.0 se rychlost zpracování provozu zvýšila 2.5krát.
- Přidána podpora GeoIP pro určování polohy podle IP adresy.
- Přidáno API pro výpočet RSI (Relative Strength Index).
- Byly implementovány kontroly fragmentace.
- Přidáno API pro výpočet rovnoměrnosti toku (jitter).
- Přidána podpora pro protokoly a služby: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Vylepšená analýza a detekce AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoly , RTSP přes HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, Wireguard.
Zdroj: opennet.ru