ntop-projektet, som udvikler værktøjer til at fange og analysere trafik, har offentliggjort udgivelsen af nDPI 4.0 deep packet inspection toolkit, som fortsætter udviklingen af OpenDPI-biblioteket. nDPI-projektet blev grundlagt efter et mislykket forsøg på at skubbe ændringer til OpenDPI-lageret, som blev efterladt uvedligeholdt. nDPI-koden er skrevet i C og er licenseret under LGPLv3-licensen.
Projektet giver dig mulighed for at bestemme protokollerne på applikationsniveau, der bruges i trafik, ved at analysere arten af netværksaktivitet uden at være bundet til netværksporte (det kan bestemme kendte protokoller, hvis behandlere accepterer forbindelser på ikke-standard netværksporte, for eksempel hvis http er sendt fra en anden port end port 80, eller omvendt, når som De forsøger at camouflere anden netværksaktivitet som http ved at køre den på port 80).
Forskelle fra OpenDPI omfatter understøttelse af yderligere protokoller, portering til Windows-platformen, ydeevneoptimering, tilpasning til brug i trafikovervågningsapplikationer i realtid (nogle specifikke funktioner, der bremsede motoren blev fjernet), muligheden for at bygge i form af en Linux-kernemodul og support til at definere underprotokoller.
I alt 247 protokol- og applikationsdefinitioner understøttes, fra OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram, Viber, WhatsApp, PostgreSQL og opkald til Gmail, Office365 GoogleDocs og YouTube. Der er en server- og klient-SSL-certifikatdekoder, der giver dig mulighed for at bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjælp af krypteringscertifikatet. nDPIreader-værktøjet leveres til at analysere indholdet af pcap-dumps eller aktuel trafik via netværksgrænsefladen.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Registrerede protokoller: DNS-pakker: 57 bytes: 7904 flows: 28 SSL_No_Cert-pakker: 483 bytes: 229203 flows: 6 FaceBook-pakker: 136 bytes: 74702 FaceBook-pakker: 4 DropBox-pakker: 9 bytes: 668 flows: 3 Skype-pakker: 5 bytes: 339 flows: 3 Google-pakker: 1700 bytes: 619135 flows: 34
I den nye udgivelse:
- Forbedret understøttelse af krypterede trafikanalysemetoder (ETA - Encrypted Traffic Analysis).
- Support er blevet implementeret til den forbedrede JA3+ TLS klientidentifikationsmetode, som gør det muligt, baseret på forbindelsesforhandlingsfunktionerne og specificerede parametre, at bestemme, hvilken software der bruges til at etablere en forbindelse (det giver dig f.eks. mulighed for at bestemme brugen af Tor og andre typiske applikationer). I modsætning til den tidligere understøttede JA3-metode, har JA3+ færre falske positiver.
- Antallet af identificerede netværkstrusler og problemer forbundet med risikoen for kompromittering (flowrisiko) er blevet udvidet til 33. Der er tilføjet nye trusselsdetektorer relateret til desktop- og fildeling, mistænkelig HTTP-trafik, ondsindet JA3 og SHA1 og adgang til problematisk domæner og autonome systemer, brug af TLS-certifikater med mistænkelige forlængelser eller for lang gyldighedsperiode.
- Der er gennemført en betydelig ydelsesoptimering; sammenlignet med branch 3.0 er hastigheden på trafikbehandlingen steget med 2.5 gange.
- Tilføjet GeoIP-understøttelse til bestemmelse af placering efter IP-adresse.
- Tilføjet API til beregning af RSI (Relative Strength Index).
- Fragmenteringskontrol er blevet implementeret.
- Tilføjet API til beregning af flowensartethed (jitter).
- Tilføjet support til protokoller og tjenester: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Forbedret parsing og detektion af AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoller, RTSP via HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Kilde: opennet.ru