La projekto , evoluigante ilojn por kapti kaj analizi trafikon, liberigo de iloj por profunda paka inspektado , daŭrigante la evoluon de la biblioteko . La projekto nDPI estis fondita post malsukcesa provo transdoni ŝanĝojn al OpenDPI, kiu estis lasita neakompanita. La nDPI-kodo estas skribita en C kaj licencita laŭ LGPLv3.
La projekto determini la aplikaĵ-nivelajn protokolojn uzitajn en la trafiko, analizante la naturon de reta agado sen esti ligita al retaj havenoj (povas identigi bonkonatajn protokolojn, kies prizorgantoj akceptas konektojn sur ne-normaj retaj havenoj, ekzemple, se http ne estas sendita de haveno 80, aŭ, male, kiam iuj ili provas kamufli alian retan agadon kiel http rulante ĝin sur haveno 80).
Diferencoj de OpenDPI venas al subteno por pliaj protokoloj, pordo por la Vindoza platformo, rendimentooptimumigo, adapto por uzo en aplikoj por monitorado de trafiko en reala tempo (kelkaj specifaj trajtoj kiuj malrapidigis la motoron estis forigitaj),
kunigkapabloj en la formo de Linuksa kernomodulo kaj subteno por difinado de subprotokoloj.
Entute 238 protokolaj kaj aplikaj difinoj estas subtenataj, de
OpenVPN, Tor, QUIC, SOCKS, BitTorrent kaj IPsec al Telegram,
Viber, WhatsApp, PostgreSQL kaj vokoj al GMail, Office365
GoogleDocs kaj Jutubo. Estas servilo kaj kliento SSL-atestila malĉifrilo, kiu permesas vin determini la protokolon (ekzemple Citrix Online kaj Apple iCloud) uzante la ĉifradan atestilon. La ilo nDPIreader estas provizita por analizi la enhavon de pcap-ruboj aŭ aktuala trafiko per la reto-interfaco.
$ ./nDPIreader -i eth0 -s 20 -f "gastiganto 192.168.1.10"
Detektitaj protokoloj:
DNS-pakoj: 57 bajtoj: 7904 fluoj: 28
SSL_No_Cert pakoj: 483 bajtoj: 229203 fluoj: 6
FaceBook-pakoj: 136 bajtoj: 74702 fluoj: 4
DropBox-pakoj: 9 bajtoj: 668 fluoj: 3
Skype-pakoj: 5 bajtoj: 339 fluoj: 3
Guglo-pakoj: 1700 bajtoj: 619135 fluoj: 34
En la nova eldono:
- Informoj pri la protokolo nun montriĝas tuj post difino, sen atendi ke plenaj metadatenoj estos ricevitaj (eĉ kiam specifaj kampoj ankoraŭ ne estis analizitaj pro malsukceso ricevi la respondajn retajn pakaĵojn), kio estas grava por trafikanalizistoj kiuj bezonas tuj. respondi al certaj specoj de trafiko. Por aplikoj kiuj postulas plenan protokolan dissekcion, la ndpi_extra_dissection_possible() API estas provizita por certigi, ke ĉiuj protokolaj metadatenoj estas difinitaj.
- Efektivigis pli profundan analizon de TLS, ĉerpante informojn pri la ĝusteco de la atestilo kaj la SHA-1 hash de la atestilo.
- La flago "-C" estis aldonita al la aplikaĵo nDPIreader por eksporti en CSV-formato, kio ebligas uzi la aldonan ilaron ntop. sufiĉe kompleksaj statistikaj specimenoj. Ekzemple, por determini la IP de la uzanto, kiu spektis filmojn sur NetFlix la plej longe:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "elektu src_ip,SUM(src2dst_bajtoj+dst2src_bajtoj) el /tmp/netflix.csv kie ndpi_proto kiel '%NetFlix%' grupo per src_ip"192.168.1.7,6151821
- Aldonita subteno por kio estis proponita en identigante malican agadon kaŝitan en ĉifrita trafiko uzante pakaĵgrandecon kaj sendi analizon pri tempo/latenteco. En ndpiReader, la metodo estas aktivigita per la opcio "-J".
- Klasifiko de protokoloj en kategoriojn estas disponigita.
- Aldonita subteno por kalkulado de IAT (Inter-Arrival Time) por identigi anomaliojn en protokolo-uzado, ekzemple, por identigi la uzon de la protokolo dum DoS-atakoj.
- Aldonitaj datumoj analizkapabloj bazitaj sur kalkulitaj metrikoj kiel ekzemple entropio, meznombro, norma devio kaj varianco.
- Komenca versio de ligadoj por la Python-lingvo estis proponita.
- Aldonita reĝimo por detekti legeblajn ŝnurojn en trafiko por detekti datumfluojn. EN
ndpiReader-reĝimo estas ebligita per la opcio "-e". - Aldonita subteno por TLS-klienta identigmetodo , kiu ebligas al vi determini, surbaze de la karakterizaĵoj de konektokunordigo kaj specifitaj parametroj, kiu programaro estas uzata por establi konekton (ekzemple, ĝi permesas vin determini la uzon de Tor kaj aliaj normaj aplikoj).
- Aldonita subteno por metodoj por identigi SSH-efektivigojn () kaj DHCP.
- Aldonitaj funkcioj por seriigi kaj deserialigi datumojn en
Tipo-longo-valoro (TLV) kaj JSON-formatoj. - Aldonita subteno por protokoloj kaj servoj: DTLS (TLS super UDP),
hulu,
TikTok/Musical.ly,
WhatsApp Video,
DNSoverHTTPS
Datumŝparo
Linio,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Plibonigita subteno por TLS, SIP, STUN-analizo,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger kaj Hangout.
fonto: opennet.ru