Liikluse hõivamiseks ja analüüsimiseks mõeldud tööriistu arendav ntop projekt on avaldanud nDPI 4.0 sügava pakettide kontrolli tööriistakomplekti, mis jätkab OpenDPI teegi arendamist. nDPI projekt asutati pärast ebaõnnestunud katset lükata muudatusi OpenDPI hoidlasse, mis jäi hooldamata. nDPI kood on kirjutatud C-keeles ja on litsentsitud LGPLv3 alusel.
Projekt võimaldab määrata liikluses kasutatavaid rakendustaseme protokolle, analüüsides võrgutegevuse olemust ilma võrguportidega sidumata (saab määrata teadaolevad protokollid, mille töötlejad aktsepteerivad ühendusi mittestandardsetes võrguportides, näiteks kui http on saadetud muust pordist kui 80 või vastupidi, kui nad üritavad varjata muud võrgutegevust http-ga, käivitades selle pordis 80).
Erinevused OpenDPI-st hõlmavad lisaprotokollide toetust, Windowsi platvormile teisaldamist, jõudluse optimeerimist, kohandamist reaalajas liikluse jälgimise rakendustes kasutamiseks (mõned mootorit aeglustanud funktsioonid eemaldati), võime ehitada Linuxi kerneli moodul ja alamprotokollide määratlemise tugi.
Kokku toetatakse 247 protokolli ja rakenduse definitsiooni, alates OpenVPN-ist, Torist, QUIC-st, SOCKS-ist, BitTorrentist ja IPsecist kuni Telegrami, Viberi, WhatsAppi, PostgreSQL-i ja kõnedeni Gmaili, Office365 GoogleDocsi ja YouTube'i. Seal on serveri ja kliendi SSL-sertifikaadi dekooder, mis võimaldab krüpteerimissertifikaadi abil määrata protokolli (näiteks Citrix Online ja Apple iCloud). nDPIreaderi utiliit on saadaval PCap-i väljavõtete sisu või praeguse liikluse analüüsimiseks võrguliidese kaudu.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Tuvastatud protokollid: DNS-paketid: 57 baiti: 7904 voogusid: 28 SSL_No_Cert paketti: 483 baiti: 229203 voogu6: Face:136 vood74702: Face:4 vood9 by: : 668 DropBoxi paketti: 3 baiti: 5 voogu: 339 Skype'i paketti: 3 baiti: 1700 voogu: 619135 Google'i paketti: 34 baiti: XNUMX voogu: XNUMX
Uues väljaandes:
- Täiustatud tugi krüpteeritud liikluse analüüsimeetoditele (ETA – Encrypted Traffic Analysis).
- Tugi on juurutatud täiustatud JA3+ TLS kliendituvastusmeetodile, mis võimaldab ühenduse läbirääkimiste funktsioonide ja määratud parameetrite põhjal määrata, millist tarkvara ühenduse loomiseks kasutatakse (võimaldab näiteks määrata Tor ja muud tüüpilised rakendused). Erinevalt varem toetatud JA3 meetodist on JA3+ vähem valepositiivseid tulemusi.
- Tuvastatud võrguohtude ja kompromissiriskiga (vooriskiga) seotud probleemide arv on kasvanud 33-ni. Lisatud on uusi ohudetektoreid, mis on seotud töölaua ja failide jagamise, kahtlase HTTP-liikluse, pahatahtlike JA3 ja SHA1 ning probleemsetele juurdepääsuga. domeenid ja autonoomsed süsteemid, kahtlaste laiendustega või liiga pika kehtivusajaga TLS-sertifikaatide kasutamine.
- Teostatud on märkimisväärne jõudluse optimeerimine, võrreldes haruga 3.0 on liikluse töötlemise kiirus kasvanud 2.5 korda.
- Lisatud GeoIP tugi asukoha määramiseks IP-aadressi järgi.
- Lisatud API RSI (suhtelise tugevuse indeks) arvutamiseks.
- Rakendatud on killustatuse kontrolli.
- Lisatud API voolu ühtluse (värina) arvutamiseks.
- Lisatud tugi protokollidele ja teenustele: amongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant Alexa, Siri), Z39.50.
- AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP täiustatud sõelumine ja tuvastamine protokollid , RTSP HTTP kaudu, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, juhtmekaitse.
Allikas: opennet.ru