Das Projekt ntop, das Werkzeuge zur Erfassung und Analyse von Datenverkehr entwickelt, hat die Version 4.4 des nDPI-Tools zur tiefen Paketinspektion veröffentlicht, das die Entwicklung der OpenDPI-Bibliothek fortsetzt. Das nDPI-Projekt wurde gegründet, nachdem ein Versuch, Änderungen in das OpenDPI-Repository zu übertragen, gescheitert war, welches nicht mehr gepflegt wird. Der nDPI-Code ist in C geschrieben und steht unter der LGPLv3-Lizenz.
Das System ermöglicht die Identifikation von in der Datenübertragung verwendeten Protokollen auf Anwendungsebene, indem es die Art der Netzwerkaktivität analysiert, ohne an Netzwerkports gebunden zu sein (es kann bekannte Protokolle identifizieren, deren Handler Verbindungen an nicht standardmäßigen Netzwerkports annehmen, zum Beispiel, wenn http nicht über Port 80 bereitgestellt wird oder umgekehrt, wenn eine andere Netzwerkaktivität versucht, sich als http zu tarnen, indem sie auf Port 80 ausgeführt wird).
Die Unterschiede zu OpenDPI liegen in der Unterstützung zusätzlicher Protokolle, der Portierung für die Windows-Plattform, der Leistungsoptimierung und der Anpassung für die Nutzung in Anwendungen zur Echtzeit-Traffic-Überwachung (einige spezifische Funktionen, die den Motor verlangsamt haben, wurden entfernt), der Möglichkeit der Module-Bereitstellung im Kernel von Linux sowie der Unterstützung zur Identifikation von Subprotokollen.
Insgesamt können etwa 300 Protokolle und Anwendungen identifiziert werden, von OpenVPN, Tor, QUIC, SOCKS, BitTorrent und IPsec bis hin zu Telegram, Viber, WhatsApp, PostgreSQL sowie Zugriffen auf GMail, Office365, GoogleDocs und YouTube. Ein Decoder für Server- und Client-Traffic ist ebenfalls vorhanden, SSL-Zertifikateder das Protokoll identifizieren kann (z. B. Citrix Online und Apple iCloud) unter Verwendung von Verschlüsselungszertifikaten. Zur Analyse von pcap-Dumps oder laufendem Traffic über Netzwerkschnittstellen wird das Tool nDPIreader bereitgestellt.
In der neuen Version:
- Metadaten mit Informationen über den Grund des Aufrufs des Handlers für bestimmte Bedrohungen wurden hinzugefügt.
- Die Funktion ndpi_check_flow_risk_exceptions() wurde hinzugefügt, um Netzwerkbedrohungs-Handler anzuschließen.
- Eine Trennung in Netzwerkprotokolle (z. B. TLS) und Anwendungsprotokolle (z. B. Google-Dienste) wurde vorgenommen.
- Zwei neue Datenschutzniveaus wurden hinzugefügt: NDPI_CONFIDENCE_DPI_PARTIAL und NDPI_CONFIDENCE_DPI_PARTIAL_CACHE.
- Ein Template zur Erkennung der Nutzung des Cloudflare WARP-Dienstes wurde hinzugefügt.
- Die interne Implementierung von Hashmaps wurde durch uthash ersetzt.
- Die Bindungen für die Programmiersprache Python wurden aktualisiert.
- Standardmäßig wird die integrierte Implementierung von gcrypt verwendet (für die Verwendung der Systemimplementierung wurde die Option —with-libgcrypt angeboten).
- Das Spektrum der erkannten Netzwerkbedrohungen und Risiken im Zusammenhang mit Kompromittierungen (Flow-Risiko) wurde erweitert. Unterstützung für neue Bedrohungstypen: NDPI_PUNYCODE_IDN, NDPI_ERROR_CODE_DETECTED, NDPI_HTTP_CRAWLER_BOT und NDPI_ANONYMOUS_SUBSCRIBER wurde hinzugefügt.
- Unterstützung für die folgenden Protokolle und Dienste hinzugefügt:
- UltraSurf
- i3D
- RiotGames
- TSAN
- TunnelBear VPN
- collectd
- PIM (Protokollunabhängiges Multicast)
- Pragmatic General Multicast (PGM)
- RSH
- GoTo-Produkte wie GoToMeeting
- Dazn
- MPEG-DASH
- Agora Software Defined Real-time Network (SD-RTN)
- Toca Boca
- VXLAN
- MDNS/LLMNR
- Verbesserte Analyse und Erkennung von Protokollen:
- SMTP/SMTPS (Unterstützung für STARTTLS hinzugefügt)
- OCSP
- TargusDataspeed
- Usenet
- DTLS
- TFTP
- SOAP über HTTP
- GenshinImpact
- IPSec/ISAKMP
- DNS
- syslog
- DHCP
- NATS
- Viber
- Xiaomi
- Raknet
- gnutella
- Kerberos
- QUIC (Unterstützung für die Spezifikation v2drft 01 hinzugefügt)
- SSDP
- SNMP
- DGA
- AES-NI
Quelle: opennet.ru
