ProHoster > Blog > noticias de internet > Inspección profunda de paquetes nDPI 3.0 disponible

Inspección profunda de paquetes nDPI 3.0 disponible

proyecto arriba, desarrollando herramientas para capturar y analizar el tráfico, publicado lanzamiento de herramientas para inspección profunda de paquetes nDPI 3.0, continuando el desarrollo de la biblioteca AbiertoDPI. El proyecto nDPI se fundó después de un intento fallido de transferir cambios a repositorio OpenDPI, que quedó sin acompañamiento. El código nDPI está escrito en C y distribuido por con licencia LGPLv3.

proyecto permite determinar los protocolos a nivel de aplicación utilizados en el tráfico, analizando la naturaleza de la actividad de la red sin estar vinculado a los puertos de la red (puede identificar protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si http no se envía desde puerto 80, o, por el contrario, cuando algunos intentan camuflar otra actividad de la red como http ejecutándola en el puerto 80).

Las diferencias con OpenDPI se reducen a la compatibilidad con protocolos adicionales, la portabilidad a la plataforma Windows, la optimización del rendimiento, la adaptación para su uso en aplicaciones para monitorear el tráfico en tiempo real (se han eliminado algunas características específicas que ralentizaban el motor).
capacidades de ensamblaje en forma de un módulo del kernel de Linux y soporte para definir subprotocolos.

Se admiten un total de 238 definiciones de protocolos y aplicaciones, desde
OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec para Telegram,
Viber, WhatsApp, PostgreSQL y llamadas a GMail, Office365
Google Docs y YouTube. Hay un decodificador de certificados SSL de servidor y cliente que le permite determinar el protocolo (por ejemplo, Citrix Online y Apple iCloud) utilizando el certificado de cifrado. La utilidad nDPIreader se suministra para analizar el contenido de los volcados de pcap o el tráfico actual a través de la interfaz de red.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"

Protocolos detectados:
Paquetes DNS: 57 bytes: 7904 flujos: 28
Paquetes SSL_No_Cert: 483 bytes: 229203 flujos: 6
Paquetes de FaceBook: 136 bytes: 74702 flujos: 4
Paquetes DropBox: 9 bytes: 668 flujos: 3
Paquetes de Skype: 5 bytes: 339 flujos: 3
Paquetes de Google: 1700 bytes: 619135 flujos: 34

En el nuevo lanzamiento:

  • La información sobre el protocolo ahora se muestra inmediatamente después de la definición, sin esperar a que se reciban los metadatos completos (incluso cuando campos específicos aún no se han analizado debido a que no se recibieron los paquetes de red correspondientes), lo cual es importante para los analizadores de tráfico que necesitan hacerlo de inmediato. responder a ciertos tipos de tráfico. Para aplicaciones que requieren una disección completa del protocolo, se proporciona la API ndpi_extra_dissection_possible() para garantizar que todos los metadatos del protocolo estén definidos.
  • Se implementó un análisis más profundo de TLS, extrayendo información sobre la exactitud del certificado y el hash SHA-1 del certificado.
  • Se ha agregado el indicador "-C" a la aplicación nDPIreader para exportar en formato CSV, lo que hace posible utilizar el kit de herramientas adicional ntop. realizar muestras estadísticas bastante complejas. Por ejemplo, para determinar la IP del usuario que vio películas en NetFlix por más tiempo:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "seleccione src_ip,SUM(src2dst_bytes+dst2src_bytes) de /tmp/netflix.csv donde ndpi_proto como '%NetFlix%' agrupa por src_ip"

    192.168.1.7,6151821

  • Se agregó soporte para lo propuesto en alegría cisco equipo identificar actividades maliciosas ocultas en el tráfico cifrado mediante el análisis del tamaño del paquete y del tiempo de transmisión/latencia. En ndpiReader, el método se activa mediante la opción "-J".
  • Se proporciona la clasificación de protocolos en categorías.
  • Se agregó soporte para calcular IAT (tiempo entre llegadas) para identificar anomalías en el uso del protocolo, por ejemplo, para identificar el uso del protocolo durante ataques DoS.
  • Se agregaron capacidades de análisis de datos basadas en métricas calculadas como entropía, media, desviación estándar y varianza.
  • Se ha propuesto una versión inicial de enlaces para el lenguaje Python.
  • Se agregó un modo para detectar cadenas legibles en el tráfico para detectar fugas de datos. EN
    El modo ndpiReader se habilita con la opción "-e".

  • Se agregó soporte para el método de identificación de cliente TLS. JA3, que le permite determinar, en función de las características de coordinación de la conexión y los parámetros especificados, qué software se utiliza para establecer una conexión (por ejemplo, le permite determinar el uso de Tor y otras aplicaciones estándar).
  • Se agregó soporte para métodos para identificar implementaciones SSH (hachís) y DHCP.
  • Funciones agregadas para serializar y deserializar datos en
    Formatos tipo-longitud-valor (TLV) y JSON.

  • Soporte agregado para protocolos y servicios: DTLS (TLS sobre UDP),
    Hulu
    TikTok/Musical.ly,
    vídeos de whatsapp,
    DNSsobreHTTPS
    Ahorro de datos
    Línea ,
    Google Dúo, Hangout,
    VPN WireGuard,
    OMI,
    Zoom.us.

  • Soporte mejorado para análisis TLS, SIP, STUN,
    Viber
    WhatsApp,
    vídeos de amazon,
    Snapchat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger y Hangouts.

Fuente: opennet.ru

Añadir un comentario