Το έργο ntop, το οποίο αναπτύσσει εργαλεία για τη λήψη και την ανάλυση της κυκλοφορίας, δημοσίευσε την κυκλοφορία του κιτ εργαλείων επιθεώρησης πακέτων σε βάθος nDPI 4.0, το οποίο συνεχίζει την ανάπτυξη της βιβλιοθήκης OpenDPI. Το έργο nDPI ιδρύθηκε μετά από μια ανεπιτυχή προσπάθεια να προωθηθούν αλλαγές στο αποθετήριο OpenDPI, το οποίο έμεινε χωρίς συντήρηση. Ο κωδικός nDPI είναι γραμμένος σε C και έχει άδεια χρήσης σύμφωνα με το LGPLv3.
Το έργο σάς επιτρέπει να προσδιορίσετε τα πρωτόκολλα σε επίπεδο εφαρμογής που χρησιμοποιούνται στην κυκλοφορία, αναλύοντας τη φύση της δραστηριότητας δικτύου χωρίς να συνδέεται με θύρες δικτύου (μπορεί να προσδιορίσει γνωστά πρωτόκολλα των οποίων οι χειριστές δέχονται συνδέσεις σε μη τυπικές θύρες δικτύου, για παράδειγμα, εάν το http είναι αποστέλλεται από μια θύρα διαφορετική από τη θύρα 80, ή, αντίθετα, όταν προσπαθούν να καμουφλάρουν άλλη δραστηριότητα δικτύου ως http εκτελώντας τη στη θύρα 80).
Οι διαφορές από το OpenDPI περιλαμβάνουν υποστήριξη για πρόσθετα πρωτόκολλα, μεταφορά στην πλατφόρμα Windows, βελτιστοποίηση απόδοσης, προσαρμογή για χρήση σε εφαρμογές παρακολούθησης της κυκλοφορίας σε πραγματικό χρόνο (ορισμένα συγκεκριμένα χαρακτηριστικά που επιβράδυναν τον κινητήρα αφαιρέθηκαν), τη δυνατότητα δημιουργίας με τη μορφή Μονάδα πυρήνα Linux και υποστήριξη για τον ορισμό υποπρωτοκόλλων .
Υποστηρίζονται συνολικά 247 ορισμοί πρωτοκόλλων και εφαρμογών, από OpenVPN, Tor, QUIC, SOCKS, BitTorrent και IPsec έως Telegram, Viber, WhatsApp, PostgreSQL και κλήσεις προς GMail, Office365 GoogleDocs και YouTube. Υπάρχει ένας αποκωδικοποιητής πιστοποιητικού SSL διακομιστή και πελάτη που σας επιτρέπει να προσδιορίσετε το πρωτόκολλο (για παράδειγμα, Citrix Online και Apple iCloud) χρησιμοποιώντας το πιστοποιητικό κρυπτογράφησης. Το βοηθητικό πρόγραμμα nDPIreader παρέχεται για την ανάλυση των περιεχομένων των pcap dumps ή της τρέχουσας κίνησης μέσω της διεπαφής δικτύου.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Εντοπισμένα πρωτόκολλα: πακέτα DNS: 57 byte: 7904 ροές: 28 πακέτα SSL_No_Cert: 483 byte: 229203 πακέτα: 6 byte: 136 πακέτα: 74702 bytesoks4: ροές: 9 πακέτα DropBox: 668 byte: 3 ροές: 5 πακέτα Skype: 339 byte: 3 ροές: 1700 πακέτα Google: 619135 byte: 34 ροές: XNUMX
Στη νέα έκδοση:
- Βελτιωμένη υποστήριξη για κρυπτογραφημένες μεθόδους ανάλυσης κυκλοφορίας (ETA - Encrypted Traffic Analysis).
- Έχει υλοποιηθεί υποστήριξη για τη βελτιωμένη μέθοδο αναγνώρισης πελάτη JA3+ TLS, η οποία επιτρέπει, βάσει των χαρακτηριστικών διαπραγμάτευσης σύνδεσης και καθορισμένων παραμέτρων, να προσδιορίσετε ποιο λογισμικό χρησιμοποιείται για τη δημιουργία μιας σύνδεσης (για παράδειγμα, σας επιτρέπει να προσδιορίσετε τη χρήση του Tor και των καθορισμένων παραμέτρων. άλλες τυπικές εφαρμογές). Σε αντίθεση με την προηγουμένως υποστηριζόμενη μέθοδο JA3, το JA3+ έχει λιγότερα ψευδώς θετικά αποτελέσματα.
- Ο αριθμός των εντοπισμένων απειλών δικτύου και προβλημάτων που σχετίζονται με τον κίνδυνο παραβίασης (κίνδυνος ροής) έχει επεκταθεί σε 33. Προστέθηκαν νέοι ανιχνευτές απειλών που σχετίζονται με την κοινή χρήση επιτραπέζιων υπολογιστών και αρχείων, την ύποπτη κυκλοφορία HTTP, τα κακόβουλα JA3 και SHA1 και την πρόσβαση σε προβληματικές τομείς και αυτόνομα συστήματα, η χρήση πιστοποιητικών TLS με ύποπτες επεκτάσεις ή πολύ μεγάλη περίοδο ισχύος.
- Έχει πραγματοποιηθεί σημαντική βελτιστοποίηση απόδοσης· σε σύγκριση με τον κλάδο 3.0, η ταχύτητα επεξεργασίας της κυκλοφορίας έχει αυξηθεί κατά 2.5 φορές.
- Προστέθηκε υποστήριξη GeoIP για τον προσδιορισμό της τοποθεσίας κατά διεύθυνση IP.
- Προστέθηκε API για τον υπολογισμό του RSI (Relative Strength Index).
- Έχουν εφαρμοστεί έλεγχοι κατακερματισμού.
- Προστέθηκε API για τον υπολογισμό της ομοιομορφίας ροής (jitter).
- Προστέθηκε υποστήριξη για πρωτόκολλα και υπηρεσίες: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblrt, Alexa, Siri), Z39.50.
- Βελτιωμένη ανάλυση και ανίχνευση AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QSPU πρωτόκολλα , RTSP μέσω HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Πηγή: opennet.ru