El proyecto ntop, que desarrolla herramientas para capturar y analizar el tráfico, ha publicado el lanzamiento del kit de herramientas de inspección profunda de paquetes nDPI 4.0, que continúa el desarrollo de la biblioteca OpenDPI. El proyecto nDPI se fundó después de un intento fallido de impulsar cambios en el repositorio OpenDPI, que no se mantuvo. El código nDPI está escrito en C y tiene licencia LGPLv3.
El proyecto le permite determinar los protocolos a nivel de aplicación utilizados en el tráfico, analizando la naturaleza de la actividad de la red sin estar vinculado a los puertos de la red (puede determinar protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si http es enviado desde un puerto distinto al 80 o, por el contrario, cuando intentan camuflar otra actividad de la red como http ejecutándola en el puerto 80).
Las diferencias con OpenDPI incluyen soporte para protocolos adicionales, portabilidad a la plataforma Windows, optimización del rendimiento, adaptación para su uso en aplicaciones de monitoreo de tráfico en tiempo real (se eliminaron algunas características específicas que ralentizaban el motor), la capacidad de construir en forma de Módulo del kernel de Linux y soporte para definir subprotocolos.
Se admiten un total de 247 definiciones de protocolos y aplicaciones, desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec hasta Telegram, Viber, WhatsApp, PostgreSQL y llamadas a GMail, Office365 GoogleDocs y YouTube. Hay un decodificador de certificados SSL de servidor y cliente que le permite determinar el protocolo (por ejemplo, Citrix Online y Apple iCloud) utilizando el certificado de cifrado. La utilidad nDPIreader se suministra para analizar el contenido de los volcados de pcap o el tráfico actual a través de la interfaz de red.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Protocolos detectados: Paquetes DNS: 57 bytes: 7904 flujos: 28 paquetes SSL_No_Cert: 483 bytes: 229203 flujos: 6 paquetes de FaceBook: 136 bytes: 74702 flujos: 4 paquetes de DropBox: 9 bytes: 668 flujos: 3 paquetes de Skype: 5 bytes: 339 flujos: 3 paquetes de Google: 1700 bytes: 619135 flujos: 34
En el nuevo lanzamiento:
- Soporte mejorado para métodos de análisis de tráfico cifrado (ETA - Análisis de tráfico cifrado).
- Se ha implementado soporte para el método mejorado de identificación de cliente JA3+ TLS, que permite, en función de las funciones de negociación de la conexión y los parámetros especificados, determinar qué software se utiliza para establecer una conexión (por ejemplo, le permite determinar el uso de Tor y otras aplicaciones típicas). A diferencia del método JA3 admitido anteriormente, JA3+ tiene menos falsos positivos.
- El número de amenazas de red identificadas y problemas asociados con el riesgo de compromiso (riesgo de flujo) se ha ampliado a 33. Se han agregado nuevos detectores de amenazas relacionados con escritorio y uso compartido de archivos, tráfico HTTP sospechoso, JA3 y SHA1 maliciosos y acceso a sitios problemáticos. dominios y sistemas autónomos, el uso de certificados TLS con extensiones sospechosas o un período de validez demasiado largo.
- Se ha realizado una importante optimización del rendimiento; en comparación con la sucursal 3.0, la velocidad de procesamiento del tráfico se ha multiplicado por 2.5.
- Se agregó soporte GeoIP para determinar la ubicación por dirección IP.
- API agregada para calcular RSI (índice de fuerza relativa).
- Se han implementado controles de fragmentación.
- API agregada para calcular la uniformidad del flujo (jitter).
- Soporte agregado para protocolos y servicios: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Análisis y detección mejorados de AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC, RTSP protocolos, RTSP a través de HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, Wireguard.
Fuente: opennet.ru