Projekt , Entwicklung von Tools zur Erfassung und Analyse des Datenverkehrs, Freigabe von Werkzeugen für die Tiefenprüfung von Verpackungen , Fortsetzung der Entwicklung der Bibliothek . Das nDPI-Projekt wurde nach einem erfolglosen Versuch, Änderungen zu übertragen, gegründet OpenDPI, das unbegleitet blieb. Der nDPI-Code ist in C geschrieben und lizenziert unter LGPLv3.
Projekt Bestimmen Sie die im Datenverkehr verwendeten Protokolle auf Anwendungsebene und analysieren Sie die Art der Netzwerkaktivität, ohne an Netzwerkports gebunden zu sein (kann bekannte Protokolle identifizieren, deren Handler Verbindungen zu nicht standardmäßigen Netzwerkports akzeptieren, wenn beispielsweise kein HTTP gesendet wird). Port 80, oder umgekehrt, wenn einige versuchen, andere Netzwerkaktivitäten als http zu tarnen, indem sie es auf Port 80 ausführen).
Die Unterschiede zu OpenDPI bestehen in der Unterstützung zusätzlicher Protokolle, der Portierung für die Windows-Plattform, der Leistungsoptimierung und der Anpassung für den Einsatz in Anwendungen zur Überwachung des Datenverkehrs in Echtzeit (einige spezifische Funktionen, die die Engine verlangsamten, wurden entfernt).
Assemblerfunktionen in Form eines Linux-Kernelmoduls und Unterstützung für die Definition von Unterprotokollen.
Insgesamt werden 238 Protokoll- und Anwendungsdefinitionen unterstützt
OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec zu Telegram,
Viber, WhatsApp, PostgreSQL und Anrufe an GMail, Office365
GoogleDocs und YouTube. Es gibt einen Server- und Client-SSL-Zertifikatdecoder, mit dem Sie das Protokoll (z. B. Citrix Online und Apple iCloud) anhand des Verschlüsselungszertifikats ermitteln können. Das Dienstprogramm nDPIreader wird mitgeliefert, um den Inhalt von PCAP-Dumps oder den aktuellen Datenverkehr über die Netzwerkschnittstelle zu analysieren.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Erkannte Protokolle:
DNS-Pakete: 57 Bytes: 7904 Flüsse: 28
SSL_No_Cert-Pakete: 483 Bytes: 229203 Flüsse: 6
FaceBook-Pakete: 136 Bytes: 74702 Flüsse: 4
DropBox-Pakete: 9 Bytes: 668 Flows: 3
Skype-Pakete: 5 Bytes: 339 Flüsse: 3
Google-Pakete: 1700 Bytes: 619135 Flüsse: 34
In der neuen Version:
- Informationen über das Protokoll werden jetzt sofort nach der Definition angezeigt, ohne auf den Empfang vollständiger Metadaten warten zu müssen (auch wenn bestimmte Felder noch nicht analysiert wurden, weil die entsprechenden Netzwerkpakete nicht empfangen wurden), was für Verkehrsanalysatoren wichtig ist, die dies sofort tun müssen auf bestimmte Verkehrsarten reagieren. Für Anwendungen, die eine vollständige Protokollzerlegung erfordern, wird die API ndpi_extra_dissection_possible() bereitgestellt, um sicherzustellen, dass alle Protokollmetadaten definiert sind.
- Ein tieferes Parsing von TLS wurde implementiert, um Informationen über die Richtigkeit des Zertifikats und den SHA-1-Hash des Zertifikats zu extrahieren.
- Für den Export im CSV-Format wurde der nDPIreader-Anwendung das Flag „-C“ hinzugefügt, das die Nutzung des zusätzlichen ntop-Toolkits ermöglicht recht komplexe statistische Stichproben. Um beispielsweise die IP des Benutzers zu ermitteln, der am längsten Filme auf Netflix angesehen hat:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "select src_ip,SUM(src2dst_bytes+dst2src_bytes) from /tmp/netflix.csv where ndpi_proto like '%NetFlix%' group by src_ip"192.168.1.7,6151821
- Unterstützung für das hinzugefügt, was in vorgeschlagen wurde Identifizieren bösartiger Aktivitäten, die im verschlüsselten Datenverkehr verborgen sind, anhand der Analyse der Paketgröße und der Sendezeit/Latenz. Im ndpiReader wird die Methode durch die Option „-J“ aktiviert.
- Es wird eine Einteilung der Protokolle in Kategorien bereitgestellt.
- Unterstützung für die Berechnung der IAT (Inter-Arrival Time) hinzugefügt, um Anomalien in der Protokollnutzung zu identifizieren, beispielsweise um die Verwendung des Protokolls bei DoS-Angriffen zu identifizieren.
- Datenanalysefunktionen basierend auf berechneten Metriken wie Entropie, Mittelwert, Standardabweichung und Varianz hinzugefügt.
- Es wurde eine erste Version von Bindungen für die Python-Sprache vorgeschlagen.
- Es wurde ein Modus zum Erkennen lesbarer Zeichenfolgen im Datenverkehr hinzugefügt, um Datenlecks zu erkennen. IN
Der ndpiReader-Modus wird mit der Option „-e“ aktiviert. - Unterstützung für die TLS-Client-Identifikationsmethode hinzugefügt , mit dem Sie anhand der Merkmale der Verbindungskoordination und der angegebenen Parameter bestimmen können, welche Software zum Herstellen einer Verbindung verwendet wird (z. B. können Sie damit die Verwendung von Tor und anderen Standardanwendungen bestimmen).
- Unterstützung für Methoden zur Identifizierung von SSH-Implementierungen hinzugefügt () und DHCP.
- Funktionen zum Serialisieren und Deserialisieren von Daten hinzugefügt
Type-Length-Value (TLV)- und JSON-Formate. - Unterstützung für Protokolle und Dienste hinzugefügt: DTLS (TLS über UDP),
Hulu,
TikTok/Musical.ly,
WhatsApp-Video,
DNSoverHTTPS
Datenspeicher
Linie ,
Google Duo, Hangout,
WireGuard VPN,
IMO,
Zoom.us. - Verbesserte Unterstützung für TLS, SIP, STUN-Analyse,
Viper,
WhatsApp,
Amazon-Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger und Hangout.
Source: opennet.ru