Σχέδιο , ανάπτυξη εργαλείων για την καταγραφή και την ανάλυση της κυκλοφορίας, απελευθέρωση εργαλείων για επιθεώρηση σε βάθος συσκευασίας , συνεχίζοντας την ανάπτυξη της βιβλιοθήκης . Το έργο nDPI ιδρύθηκε μετά από μια ανεπιτυχή προσπάθεια μεταφοράς αλλαγών στο OpenDPI, το οποίο έμεινε ασυνόδευτο. Ο κωδικός nDPI είναι γραμμένος σε C και άδεια σύμφωνα με το LGPLv3.
Σχέδιο καθορίζει τα πρωτόκολλα σε επίπεδο εφαρμογής που χρησιμοποιούνται στην κυκλοφορία, αναλύοντας τη φύση της δραστηριότητας του δικτύου χωρίς να συνδέεται με θύρες δικτύου (μπορεί να εντοπίσει γνωστά πρωτόκολλα των οποίων οι χειριστές δέχονται συνδέσεις σε μη τυπικές θύρες δικτύου, για παράδειγμα, εάν το http δεν αποστέλλεται από θύρα 80 ή, αντίθετα, όταν κάποιοι προσπαθούν να καμουφλάρουν άλλη δραστηριότητα δικτύου ως http εκτελώντας τη στη θύρα 80).
Οι διαφορές από το OpenDPI αφορούν την υποστήριξη πρόσθετων πρωτοκόλλων, τη μεταφορά για την πλατφόρμα Windows, τη βελτιστοποίηση απόδοσης, την προσαρμογή για χρήση σε εφαρμογές για παρακολούθηση της κυκλοφορίας σε πραγματικό χρόνο (ορισμένες ειδικές λειτουργίες που επιβράδυναν τον κινητήρα έχουν αφαιρεθεί)
Δυνατότητες συναρμολόγησης με τη μορφή μονάδας πυρήνα Linux και υποστήριξη για τον ορισμό υποπρωτοκόλλων.
Υποστηρίζονται συνολικά 238 ορισμοί πρωτοκόλλων και εφαρμογών, από
OpenVPN, Tor, QUIC, SOCKS, BitTorrent και IPsec στο Telegram,
Viber, WhatsApp, PostgreSQL και κλήσεις προς GMail, Office365
GoogleDocs και YouTube. Υπάρχει ένας αποκωδικοποιητής πιστοποιητικού SSL διακομιστή και πελάτη που σας επιτρέπει να προσδιορίσετε το πρωτόκολλο (για παράδειγμα, Citrix Online και Apple iCloud) χρησιμοποιώντας το πιστοποιητικό κρυπτογράφησης. Το βοηθητικό πρόγραμμα nDPIreader παρέχεται για την ανάλυση των περιεχομένων των pcap dumps ή της τρέχουσας κίνησης μέσω της διεπαφής δικτύου.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Πρωτόκολλα που εντοπίστηκαν:
Πακέτα DNS: 57 byte: 7904 ροές: 28
SSL_No_Cert πακέτα: 483 byte: 229203 ροές: 6
Πακέτα FaceBook: 136 byte: 74702 ροές: 4
Πακέτα DropBox: 9 byte: 668 ροές: 3
Πακέτα Skype: 5 byte: 339 ροές: 3
Πακέτα Google: 1700 byte: 619135 ροές: 34
Στη νέα έκδοση:
- Οι πληροφορίες σχετικά με το πρωτόκολλο εμφανίζονται τώρα αμέσως μετά τον ορισμό, χωρίς να περιμένουμε να ληφθούν τα πλήρη μεταδεδομένα (ακόμα και όταν συγκεκριμένα πεδία δεν έχουν ακόμη αναλυθεί λόγω αποτυχίας λήψης των αντίστοιχων πακέτων δικτύου), κάτι που είναι σημαντικό για τους αναλυτές κυκλοφορίας που πρέπει να ανταποκρίνονται σε ορισμένους τύπους κίνησης. Για εφαρμογές που απαιτούν πλήρη ανατομή πρωτοκόλλου, παρέχεται το API ndpi_extra_dissection_possible() για να διασφαλιστεί ότι έχουν οριστεί όλα τα μεταδεδομένα πρωτοκόλλου.
- Εφάρμοσε βαθύτερη ανάλυση του TLS, εξαγωγή πληροφοριών σχετικά με την ορθότητα του πιστοποιητικού και τον κατακερματισμό SHA-1 του πιστοποιητικού.
- Η σημαία "-C" προστέθηκε στην εφαρμογή nDPIreader για εξαγωγή σε μορφή CSV, η οποία καθιστά δυνατή τη χρήση της πρόσθετης εργαλειοθήκης ntop αρκετά περίπλοκα στατιστικά δείγματα. Για παράδειγμα, για να προσδιορίσετε την IP του χρήστη που παρακολούθησε ταινίες στο NetFlix περισσότερο:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "επιλέξτε src_ip,SUM(src2dst_bytes+dst2src_bytes) από το /tmp/netflix.csv όπου το ndpi_proto όπως το '%NetFlix%' ομαδοποιείται κατά src_ip"192.168.1.7,6151821
- Προστέθηκε υποστήριξη για αυτό που προτάθηκε στο εντοπισμός κακόβουλης δραστηριότητας που κρύβεται σε κρυπτογραφημένη κίνηση χρησιμοποιώντας το μέγεθος του πακέτου και την ανάλυση χρόνου/λανθάνουσας αποστολής. Στο ndpiReader, η μέθοδος ενεργοποιείται από την επιλογή "-J".
- Παρέχεται ταξινόμηση των πρωτοκόλλων σε κατηγορίες.
- Προστέθηκε υποστήριξη για τον υπολογισμό του IAT (Inter-Arival Time) για τον εντοπισμό ανωμαλιών στη χρήση πρωτοκόλλου, για παράδειγμα, για τον προσδιορισμό της χρήσης του πρωτοκόλλου κατά τις επιθέσεις DoS.
- Προστέθηκαν δυνατότητες ανάλυσης δεδομένων με βάση υπολογισμένες μετρήσεις όπως η εντροπία, ο μέσος όρος, η τυπική απόκλιση και η διακύμανση.
- Έχει προταθεί μια αρχική έκδοση δεσμεύσεων για τη γλώσσα Python.
- Προστέθηκε μια λειτουργία για τον εντοπισμό ευανάγνωστων συμβολοσειρών στην κυκλοφορία για τον εντοπισμό διαρροών δεδομένων. ΣΕ
Η λειτουργία ndpiReader είναι ενεργοποιημένη με την επιλογή "-e". - Προστέθηκε υποστήριξη για μέθοδο αναγνώρισης πελάτη TLS , το οποίο σας επιτρέπει να προσδιορίσετε, με βάση τα χαρακτηριστικά του συντονισμού σύνδεσης και τις καθορισμένες παραμέτρους, ποιο λογισμικό χρησιμοποιείται για τη δημιουργία μιας σύνδεσης (για παράδειγμα, σας επιτρέπει να προσδιορίσετε τη χρήση του Tor και άλλων τυπικών εφαρμογών).
- Προστέθηκε υποστήριξη για μεθόδους αναγνώρισης υλοποιήσεων SSH () και DHCP.
- Προστέθηκαν λειτουργίες για σειριοποίηση και αποσειριοποίηση δεδομένων
Μορφές Type-Length-Value (TLV) και JSON. - Προστέθηκε υποστήριξη για πρωτόκολλα και υπηρεσίες: DTLS (TLS μέσω UDP),
Χούλου,
TikTok/Musical.ly,
Βίντεο WhatsApp,
DNSoverHTTPS
Εξοικονόμηση δεδομένων
Γραμμή,
Google Duo, Hangout,
WireGuard VPN,
IMO,
Zoom.us. - Βελτιωμένη υποστήριξη για ανάλυση TLS, SIP, STUN,
viber,
WhatsApp,
Βίντεο Amazon,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger και Hangout.
Πηγή: opennet.ru