Proiektu , trafikoa atzemateko eta aztertzeko tresnak garatuz, paketeak sakon ikuskatzeko tresnak askatzea , liburutegiaren garapenarekin jarraituz . nDPI proiektua aldaketak transferitzeko arrakastarik gabeko saiakera baten ondoren sortu zen OpenDPI, lagundu gabe geratu zena. nDPI kodea C-n idatzita dago eta LGPLv3 lizentziapean.
Proiektu trafikoan erabiltzen diren aplikazio-mailako protokoloak zehaztea, sareko jardueraren izaera aztertuz sareko atakei lotuta egon gabe (protokolo ezagunak identifikatu ditzakete, zeinen kudeatzaileek sareko atake ez-estandarrak dituzten konexioak onartzen dituzten, adibidez, http ez bada bidaltzen. 80 ataka, edo, alderantziz, batzuk sareko beste jarduera http gisa kamuflatzen saiatzen direnean 80 atakan exekutatuz).
OpenDPI-ren desberdintasunak protokolo gehigarrietarako laguntza, Windows plataformarako porturatzea, errendimenduaren optimizazioa, trafikoa denbora errealean kontrolatzeko aplikazioetan erabiltzeko egokitzapena (motorra moteldu zuten ezaugarri zehatz batzuk kendu dira),
muntatzeko gaitasunak Linux kernel modulu baten moduan eta azpiprotokoloak definitzeko euskarria.
Guztira 238 protokolo eta aplikazio definizio onartzen dira
OpenVPN, Tor, QUIC, SOCKS, BitTorrent eta IPsec Telegram-era,
Viber, WhatsApp, PostgreSQL eta GMail, Office365 deiak
GoogleDocs eta YouTube. Zerbitzari eta bezero SSL ziurtagiri deskodetzaile bat dago, protokoloa (adibidez, Citrix Online eta Apple iCloud) zehaztea ahalbidetzen duen enkriptatutako ziurtagiria erabiliz. nDPIreader erabilgarritasuna sareko interfazearen bidez pcap dump-en edo egungo trafikoaren edukia aztertzeko hornitzen da.
$ ./nDPIreader -i eth0 -s 20 -f "ostalaria 192.168.1.10"
Detektatutako protokoloak:
DNS paketeak: 57 byte: 7904 fluxuak: 28
SSL_No_Cert paketeak: 483 byte: 229203 fluxuak: 6
FaceBook paketeak: 136 byte: 74702 fluxuak: 4
DropBox paketeak: 9 byte: 668 fluxuak: 3
Skype paketeak: 5 byte: 339 fluxuak: 3
Google paketeak: 1700 byte: 619135 fluxuak: 34
Argitalpen berrian:
- Definizioan berehala bistaratzen da protokoloari buruzko informazioa, metadatu osoak jaso arte itxaron gabe (nahiz eta eremu zehatzak oraindik analizatu ez diren dagozkien sare-paketeak jaso ez direlako), eta hori garrantzitsua da berehala behar duten trafiko-analisiatzaileentzat. trafiko mota batzuei erantzutea. Protokoloen disekzio osoa behar duten aplikazioetarako, ndpi_extra_dissection_possible() APIa eskaintzen da protokoloaren metadatu guztiak definituta daudela ziurtatzeko.
- TLS-ren analisi sakonagoa inplementatu da, ziurtagiriaren zuzentasunari eta ziurtagiriaren SHA-1 hashari buruzko informazioa ateraz.
- "-C" bandera gehitu da nDPIreader aplikazioan CSV formatuan esportatzeko, eta horri esker ntop toolkit osagarria erabil daiteke. lagin estatistiko nahiko konplexuak. Adibidez, NetFlixen filmak denbora luzeenean ikusi dituen erabiltzailearen IPa zehazteko:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "hautatu src_ip, SUM(src2dst_bytes+dst2src_bytes) /tmp/netflix.csv-tik non ndpi_proto bezalako '%NetFlix%' talde src_ip"192.168.1.7,6151821
- urtean proposatutakoari euskarria gehitu zaio Enkriptatutako trafikoan ezkutatuta dauden jarduera gaiztoak identifikatzea pakete-tamaina erabiliz eta denbora/latentzia-analisia bidaltzea. ndpiReader-en, metodoa "-J" aukeraren bidez aktibatzen da.
- Protokoloak kategorietan sailkatzea eskaintzen da.
- IAT (Inter-Arrival Time) kalkulatzeko euskarria gehitu da protokoloaren erabileran anomaliak identifikatzeko, adibidez, DoS erasoetan protokoloaren erabilera identifikatzeko.
- Datuak aztertzeko gaitasunak gehitu dira kalkulatutako metriketan oinarrituta, hala nola entropia, batez bestekoa, desbideratze estandarra eta bariantza.
- Python hizkuntzarako loturen hasierako bertsio bat proposatu da.
- Trafikoan irakur daitezkeen kateak detektatzeko modu bat gehitu da datuen ihesak detektatzeko. IN
ndpiReader modua "-e" aukerarekin gaituta dago. - TLS bezeroak identifikatzeko metodorako laguntza gehitu da , konexioaren koordinazioaren ezaugarrien eta zehaztutako parametroen arabera, konexio bat ezartzeko zein software erabiltzen den zehazteko aukera ematen duena (adibidez, Tor eta beste aplikazio estandar batzuen erabilera zehazten du).
- SSH inplementazioak identifikatzeko metodoetarako laguntza gehitu da () eta DHCP.
- Datuak serializatu eta deserializatzeko funtzioak gehitu dira
Type-Length-Value (TLV) eta JSON formatuak. - Protokolo eta zerbitzuetarako euskarria gehitu da: DTLS (TLS UDP baino gehiago),
hulu,
TikTok/Musical.ly,
WhatsApp bideoa,
DNSoverHTTPS
Datu-babeslea
Lerroa,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - TLS, SIP, STUN analisirako laguntza hobetua,
bizia,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger eta Hangout.
Iturria: opennet.ru