Veröffentlichung des Deep Packet Inspection-Systems nDPI 4.0

Das Projekt ntop, das Werkzeuge zur Erfassung und Analyse von Datenverkehr entwickelt, hat die Version 4.0 des nDPI-Tools zur tiefen Paketinspektion veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt entstand nach einem gescheiterten Versuch, Änderungen in das OpenDPI-Repository einzubringen, das nicht mehr gewartet wird. Der nDPI-Code ist in C geschrieben und wird unter der LGPLv3-Lizenz verbreitet.

Das Projekt ermöglicht es, die im Datenverkehr verwendeten Protokolle auf Anwendungsebene zu identifizieren, indem es das Verhalten der Netzwerkaktivität analysiert, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle erkennen, deren Handler Verbindungen an nicht standardmäßigen Netzwerkports annehmen, zum Beispiel wenn HTTP nicht über Port 80 bereitgestellt wird, oder umgekehrt, wenn eine andere Netzwerkaktivität als HTTP getarnt wird, indem sie auf Port 80 ausgeführt wird).

Die Unterschiede zu OpenDPI beziehen sich auf die Unterstützung zusätzlicher Protokolle, die Portierung für die Windows-Plattform, die Leistungsoptimierung und die Anpassung für den Einsatz in Anwendungen zur Echtzeit-Verkehrsüberwachung (bestimmte spezifische Funktionen, die die Engine verlangsamt haben, wurden entfernt). Zudem besteht die Möglichkeit, als Kernel-Modul kompiliert zu werden.

Insgesamt werden 247 Protokolle und Anwendungen unterstützt, von OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec bis hin zu Telegram, Viber, WhatsApp, PostgreSQL sowie Aufrufen an GMail, Office365, GoogleDocs und YouTube. Es gibt einen Dekodierer für Server- und Client-Daten. SSL-Zertifikateder das Protokoll identifizieren kann (z. B. Citrix Online und Apple iCloud) unter Verwendung von Verschlüsselungszertifikaten. Zur Analyse von pcap-Dumps oder laufendem Traffic über Netzwerkschnittstellen wird das Tool nDPIreader bereitgestellt.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" Erkannte Protokolle: DNS Pakete: 57 Bytes: 7904 Flows: 28 SSL_No_Cert Pakete: 483 Bytes: 229203 Flows: 6 Facebook Pakete: 136 Bytes: 74702 Flows: 4 Dropbox Pakete: 9 Bytes: 668 Flows: 3 Skype Pakete: 5 Bytes: 339 Flows: 3 Google Pakete: 1700 Bytes: 619135 Flows: 34

In der neuen Version:

  • Die Unterstützung der Methoden zur Analyse von verschlüsseltem Datenverkehr (ETA – Encrypted Traffic Analysis) wurde verbessert.
  • Die Unterstützung der verbesserten TLS-Client-Identifizierungsmethode JA3+ wurde implementiert. Diese ermöglicht es, basierend auf den Besonderheiten der Verbindungsvereinbarungen und den angegebenen Parametern zu bestimmen, welche Software zur Verbindung verwendet wird (zum Beispiel erkennt sie die Nutzung von Tor und anderen typischen Anwendungen). Im Gegensatz zur zuvor unterstützten JA3-Methode hat JA3+ eine geringere Anzahl von Fehlalarmen.
  • Die Anzahl der erkennbaren Netzwerkbedrohungen und Probleme im Zusammenhang mit dem Risiko einer Kompromittierung (Flow-Risiko) wurde auf 33 erweitert. Neue Bedrohungsindikatoren in Bezug auf die gemeinsame Nutzung von Desktops und Dateien, verdächtigen HTTP-Verkehr, bösartige JA3- und SHA1-Signaturen, Anfragen an problematische Domains und autonome Systeme sowie die Nutzung von TLS-Zertifikaten mit verdächtigen Erweiterungen oder einer zu langen Gültigkeitsdauer wurden hinzugefügt.
  • Es wurde eine erhebliche Leistungsoptimierung vorgenommen. Im Vergleich zur Version 3.0 hat sich die Geschwindigkeit der Datenverarbeitung um das 2,5-Fache erhöht.
  • Die Unterstützung von GeoIP zur Bestimmung des Standorts wurde hinzugefügt. die IP-Adresse gebunden sind.
  • Eine API zur Berechnung des RSI (Relative Strength Index) wurde hinzugefügt.
  • Es wurden Mittel zur Verwaltung der Fragmentierung implementiert.
  • API zur Berechnung der Homogenität des Datenstroms (Jitter) hinzugefügt.
  • Unterstützung für Protokolle und Dienste hinzugefügt: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtueller Assistent (Alexa, Siri), Z39.50.
  • Verbesserte Analyse und Erkennung der Protokolle AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla Speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC, RTSP, RTSP über HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, WireGuard.

Quelle: opennet.ru

Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server 🔥 Kaufen Sie zuverlässiges Hosting für Websites mit DDoS-Schutz, VPS VDS-Server | ProHoster