Das ntop-Projekt, das Tools zur Erfassung und Analyse des Datenverkehrs entwickelt, hat die Veröffentlichung des nDPI 4.0 Deep Packet Inspection Toolkits veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde nach einem erfolglosen Versuch gegründet, Änderungen am OpenDPI-Repository vorzunehmen, das nicht gepflegt wurde. Der nDPI-Code ist in C geschrieben und unter LGPLv3 lizenziert.
Mit dem Projekt können Sie die im Datenverkehr verwendeten Protokolle auf Anwendungsebene bestimmen und die Art der Netzwerkaktivität analysieren, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle ermitteln, deren Handler Verbindungen zu nicht standardmäßigen Netzwerkports akzeptieren, z. B. wenn http vorhanden ist). von einem anderen Port als Port 80 gesendet werden, oder umgekehrt, wenn sie versuchen, andere Netzwerkaktivitäten als http zu tarnen, indem sie es auf Port 80 ausführen).
Zu den Unterschieden zu OpenDPI gehören die Unterstützung zusätzlicher Protokolle, die Portierung auf die Windows-Plattform, Leistungsoptimierung, Anpassung für den Einsatz in Echtzeit-Verkehrsüberwachungsanwendungen (einige spezifische Funktionen, die die Engine verlangsamten, wurden entfernt), die Möglichkeit, in Form eines zu erstellen Linux-Kernelmodul und Unterstützung für die Definition von Unterprotokollen.
Insgesamt werden 247 Protokoll- und Anwendungsdefinitionen unterstützt, von OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec bis hin zu Telegram, Viber, WhatsApp, PostgreSQL und Anrufen an GMail, Office365 GoogleDocs und YouTube. Es gibt einen Server- und Client-SSL-Zertifikatdecoder, mit dem Sie das Protokoll (z. B. Citrix Online und Apple iCloud) anhand des Verschlüsselungszertifikats ermitteln können. Das Dienstprogramm nDPIreader wird mitgeliefert, um den Inhalt von PCAP-Dumps oder den aktuellen Datenverkehr über die Netzwerkschnittstelle zu analysieren.
$ ./nDPIreader -i eth0 -s 20 -f „host 192.168.1.10“ Erkannte Protokolle: DNS-Pakete: 57 Bytes: 7904 Flüsse: 28 SSL_No_Cert-Pakete: 483 Bytes: 229203 Flüsse: 6 FaceBook-Pakete: 136 Bytes: 74702 Flüsse: 4 DropBox-Pakete: 9 Bytes: 668 Flüsse: 3 Skype-Pakete: 5 Bytes: 339 Flüsse: 3 Google-Pakete: 1700 Bytes: 619135 Flüsse: 34
In der neuen Version:
- Verbesserte Unterstützung für verschlüsselte Verkehrsanalysemethoden (ETA – Encrypted Traffic Analysis).
- Es wurde Unterstützung für die verbesserte JA3+ TLS-Client-Identifizierungsmethode implementiert, die es ermöglicht, basierend auf den Verbindungsaushandlungsfunktionen und angegebenen Parametern zu bestimmen, welche Software zum Herstellen einer Verbindung verwendet wird (z. B. können Sie damit die Verwendung von Tor und bestimmen). andere typische Anwendungen). Im Gegensatz zur zuvor unterstützten JA3-Methode weist JA3+ weniger Fehlalarme auf.
- Die Anzahl der identifizierten Netzwerkbedrohungen und -probleme, die mit dem Risiko einer Kompromittierung (Flow-Risiko) verbunden sind, wurde auf 33 erhöht. Es wurden neue Bedrohungsdetektoren für Desktop- und Dateifreigabe, verdächtigen HTTP-Verkehr, bösartiges JA3 und SHA1 sowie den Zugriff auf problematische Netzwerke hinzugefügt Domänen und autonome Systeme, die Verwendung von TLS-Zertifikaten mit verdächtigen Erweiterungen oder eine zu lange Gültigkeitsdauer.
- Es wurde eine deutliche Leistungsoptimierung durchgeführt; im Vergleich zu Branch 3.0 hat sich die Geschwindigkeit der Verkehrsverarbeitung um das 2.5-fache erhöht.
- GeoIP-Unterstützung zur Standortbestimmung anhand der IP-Adresse hinzugefügt.
- API zur Berechnung des RSI (Relative Strength Index) hinzugefügt.
- Fragmentierungskontrollen wurden implementiert.
- API zur Berechnung der Flussgleichmäßigkeit (Jitter) hinzugefügt.
- Unterstützung für Protokolle und Dienste hinzugefügt: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Verbesserte Analyse und Erkennung von AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP Protokolle, RTSP über HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, Wireguard.
Source: opennet.ru