Projekt , udvikle værktøjer til at fange og analysere trafik, frigivelse af værktøjer til dyb emballageinspektion , fortsætter udviklingen af biblioteket . nDPI-projektet blev grundlagt efter et mislykket forsøg på at overføre ændringer til OpenDPI, som blev efterladt uledsaget. nDPI-koden skrives i C og licenseret under LGPLv3.
Projekt bestemme protokollerne på applikationsniveau, der bruges i trafikken, analysere arten af netværksaktivitet uden at være bundet til netværksporte (kan identificere velkendte protokoller, hvis behandlere accepterer forbindelser på ikke-standard netværksporte, for eksempel hvis http ikke sendes fra port 80, eller omvendt, når nogle forsøger at camouflere anden netværksaktivitet som http ved at køre den på port 80).
Forskelle fra OpenDPI kommer ned til understøttelse af yderligere protokoller, portering til Windows-platformen, ydeevneoptimering, tilpasning til brug i applikationer til overvågning af trafik i realtid (nogle specifikke funktioner, der bremsede motoren, er blevet fjernet),
assembly-kapaciteter i form af et Linux-kernemodul og understøttelse til at definere underprotokoller.
I alt 238 protokol- og applikationsdefinitioner understøttes, fra
OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram,
Viber, WhatsApp, PostgreSQL og opkald til Gmail, Office365
GoogleDocs og YouTube. Der er en server- og klient-SSL-certifikatdekoder, der giver dig mulighed for at bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjælp af krypteringscertifikatet. nDPIreader-værktøjet leveres til at analysere indholdet af pcap-dumps eller aktuel trafik via netværksgrænsefladen.
$ ./nDPIreader -i eth0 -s 20 -f "vært 192.168.1.10"
Detekterede protokoller:
DNS-pakker: 57 bytes: 7904 flows: 28
SSL_No_Cert-pakker: 483 bytes: 229203 flows: 6
FaceBook-pakker: 136 bytes: 74702 flows: 4
DropBox-pakker: 9 bytes: 668 flows: 3
Skype-pakker: 5 bytes: 339 flows: 3
Google-pakker: 1700 bytes: 619135 flows: 34
I den nye udgivelse:
- Information om protokollen vises nu umiddelbart efter definition uden at vente på, at fuld metadata modtages (selv når specifikke felter endnu ikke er blevet parset på grund af manglende modtagelse af de tilsvarende netværkspakker), hvilket er vigtigt for trafikanalysatorer, der skal straks reagere på visse typer trafik. For applikationer, der kræver fuld protokoldissektion, leveres ndpi_extra_dissection_possible() API'et for at sikre, at alle protokolmetadata er defineret.
- Implementeret dybere parsing af TLS, udtrække information om rigtigheden af certifikatet og certifikatets SHA-1 hash.
- Flaget "-C" er blevet tilføjet til nDPIreader-applikationen til eksport i CSV-format, hvilket gør det muligt at bruge det ekstra ntop-værktøjssæt ret komplekse statistiske stikprøver. For eksempel for at bestemme IP-adressen for den bruger, der har set film på Netflix længst:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "vælg src_ip,SUM(src2dst_bytes+dst2src_bytes) fra /tmp/netflix.csv hvor ndpi_proto som '%NetFlix%' grupperer efter src_ip"192.168.1.7,6151821
- Tilføjet støtte til det, der blev foreslået i identifikation af ondsindet aktivitet skjult i krypteret trafik ved hjælp af pakkestørrelse og analyse af afsendelsestid/latency. I ndpiReader aktiveres metoden af "-J" muligheden.
- Klassificering af protokoller i kategorier er tilvejebragt.
- Tilføjet understøttelse til beregning af IAT (Inter-Arrival Time) for at identificere uregelmæssigheder i protokolbrug, for eksempel for at identificere brugen af protokollen under DoS-angreb.
- Tilføjede dataanalysefunktioner baseret på beregnede metrics såsom entropi, middelværdi, standardafvigelse og varians.
- En indledende version af bindinger til Python-sproget er blevet foreslået.
- Tilføjet en tilstand til at detektere læsbare strenge i trafikken for at opdage datalækager. I
ndpiReader-tilstand er aktiveret med "-e"-indstillingen. - Tilføjet understøttelse af TLS-klientidentifikationsmetode , som giver dig mulighed for at bestemme, baseret på egenskaberne ved forbindelseskoordinering og specificerede parametre, hvilken software der bruges til at etablere en forbindelse (det giver dig f.eks. mulighed for at bestemme brugen af Tor og andre standardapplikationer).
- Tilføjet understøttelse af metoder til at identificere SSH-implementeringer () og DHCP.
- Tilføjede funktioner til serialisering og deserialisering af data
Type-Length-Value (TLV) og JSON-formater. - Tilføjet understøttelse af protokoller og tjenester: DTLS (TLS over UDP),
hulu,
TikTok/Musical.ly,
WhatsApp video,
DNSoverHTTPS
Databesparelse
linje,
Google Duo, Hangout,
WireGuard VPN,
IMO,
Zoom.us. - Forbedret understøttelse af TLS, SIP, STUN-analyse,
viber,
WhatsApp,
Amazon video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger og Hangout.
Kilde: opennet.ru