Prosiect , datblygu offer ar gyfer dal a dadansoddi traffig, rhyddhau offer ar gyfer archwiliad pecyn dwfn , parhau Γ’ datblygiad y llyfrgell . Sefydlwyd y prosiect nDPI ar Γ΄l ymgais aflwyddiannus i drosglwyddo newidiadau i OpenDPI, a adawyd heb gwmni. Mae'r cod nDPI wedi'i ysgrifennu yn C a trwyddedig o dan LGPLv3.
Prosiect pennu'r protocolau lefel cymhwysiad a ddefnyddir yn y traffig, gan ddadansoddi natur gweithgaredd rhwydwaith heb fod ynghlwm wrth borthladdoedd rhwydwaith (gall nodi protocolau adnabyddus y mae eu trinwyr yn derbyn cysylltiadau ar borthladdoedd rhwydwaith ansafonol, er enghraifft, os na anfonir http o porthladd 80, neu, i'r gwrthwyneb, pan fydd rhai yn ceisio cuddliwio gweithgaredd rhwydwaith arall fel http trwy ei redeg ar borthladd 80).
Daw gwahaniaethau o OpenDPI i lawr i gefnogaeth ar gyfer protocolau ychwanegol, porthi ar gyfer platfform Windows, optimeiddio perfformiad, addasu i'w ddefnyddio mewn cymwysiadau ar gyfer monitro traffig mewn amser real (mae rhai nodweddion penodol a arafodd yr injan wedi'u dileu),
galluoedd cydosod ar ffurf modiwl cnewyllyn Linux a chefnogaeth ar gyfer diffinio is-brotocolau.
Cefnogir cyfanswm o 238 o ddiffiniadau protocol a chymhwysiad, o
OpenVPN, Tor, QUIC, SOCKS, BitTorrent ac IPsec i Telegram,
Viber, WhatsApp, PostgreSQL a galwadau i GMail, Office365
GoogleDocs a YouTube. Mae yna ddatgodiwr tystysgrif SSL gweinydd a chleient sy'n eich galluogi i bennu'r protocol (er enghraifft, Citrix Online ac Apple iCloud) gan ddefnyddio'r dystysgrif amgryptio. Cyflenwir y cyfleustodau nDPIreader i ddadansoddi cynnwys dympiau pcap neu draffig cyfredol trwy ryngwyneb y rhwydwaith.
$ ./nDPIreader -i eth0 -s 20 -f "gwesteiwr 192.168.1.10"
Protocolau a ganfuwyd:
Pecynnau DNS: 57 bytes: 7904 yn llifo: 28
Pecynnau SSL_No_Cert: 483 beit: llifoedd 229203: 6
Pecynnau FaceBook: 136 beit: 74702 llif: 4
Pecynnau DropBox: 9 beit: 668 llif: 3
Pecynnau Skype: 5 beit: 339 llif: 3
Pecynnau Google: 1700 beit: 619135 llif: 34
Yn y datganiad newydd:
- Mae gwybodaeth am y protocol bellach yn cael ei harddangos yn syth ar y diffiniad, heb aros i fetadata llawn gael ei dderbyn (hyd yn oed pan nad yw meysydd penodol wedi'u dosrannu eto oherwydd methiant i dderbyn y pecynnau rhwydwaith cyfatebol), sy'n bwysig i ddadansoddwyr traffig y mae angen iddynt wneud hynny ar unwaith. ymateb i fathau penodol o draffig. Ar gyfer rhaglenni sydd angen dyraniad protocol llawn, darperir yr API ndpi_extra_dissection_possible() i sicrhau bod holl fetadata'r protocol wedi'i ddiffinio.
- Wedi gweithredu dosrannu TLS yn ddyfnach, gan dynnu gwybodaeth am gywirdeb y dystysgrif a stwnsh SHA-1 y dystysgrif.
- Mae'r faner "-C" wedi'i hychwanegu at y rhaglen nDPIreader i'w hallforio mewn fformat CSV, sy'n ei gwneud hi'n bosibl defnyddio'r pecyn cymorth ntop ychwanegol samplau ystadegol eithaf cymhleth. Er enghraifft, i bennu IP y defnyddiwr a wyliodd ffilmiau ar NetFlix yr hiraf:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$q -H -d ',' "dewiswch src_ip,SUM(src2dst_bytes+dst2src_bytes) o /tmp/netflix.csv lle mae ndpi_proto yn hoffi grΕ΅p '%NetFlix%' gan src_ip"192.168.1.7,6151821
- Ychwanegwyd cefnogaeth i'r hyn a gynigiwyd yn nodi gweithgaredd maleisus sydd wedi'i guddio mewn traffig wedi'i amgryptio gan ddefnyddio maint pecyn ac anfon dadansoddiad amser/latency. Yn ndpiReader, mae'r dull yn cael ei actifadu gan yr opsiwn β-Jβ.
- Darperir dosbarthiad protocolau yn gategorΓ―au.
- Cefnogaeth ychwanegol ar gyfer cyfrifo IAT (Amser Rhwng Cyrraedd) i nodi anghysondebau yn y defnydd o brotocol, er enghraifft, i nodi'r defnydd o'r protocol yn ystod ymosodiadau DoS.
- Ychwanegwyd galluoedd dadansoddi data yn seiliedig ar fetrigau wedi'u cyfrifo fel entropi, cymedr, gwyriad safonol, ac amrywiant.
- Mae fersiwn cychwynnol o rwymiadau ar gyfer yr iaith Python wedi'i gynnig.
- Ychwanegwyd modd ar gyfer canfod llinynnau darllenadwy mewn traffig i ganfod gollyngiadau data. YN
Mae modd ndpiReader wedi'i alluogi gyda'r opsiwn β-eβ. - Cefnogaeth ychwanegol ar gyfer dull adnabod cleient TLS , sy'n eich galluogi i benderfynu, yn seiliedig ar nodweddion cydlynu cysylltiad a pharamedrau penodedig, pa feddalwedd sy'n cael ei ddefnyddio i sefydlu cysylltiad (er enghraifft, mae'n caniatΓ‘u ichi bennu'r defnydd o Tor a chymwysiadau safonol eraill).
- Cefnogaeth ychwanegol ar gyfer dulliau o adnabod gweithrediadau SSH () a DHCP.
- Swyddogaethau ychwanegol ar gyfer cyfresoli a dad-gyfrifo data yn
Fformatau Math-Length-Value (TLV) a JSON. - Cefnogaeth ychwanegol ar gyfer protocolau a gwasanaethau: DTLS (TLS dros CDU),
hwlw,
TikTok/Musical.ly,
Fideo WhatsApp,
DNS drosHTTPS
Arbedwr data
llinell,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Gwell cefnogaeth i TLS, SIP, dadansoddiad STUN,
viber,
WhatsApp,
Fideo Amazon,
SnapChat
ftp,
QUIC
CDU OpenVPN,
Facebook Messenger a Hangout.
Ffynhonnell: opennet.ru