Proiektu ntop, trafikoa atzemateko eta aztertzeko tresnak garatuz, argitaratu paketeak sakon ikuskatzeko tresnak askatzea nDPI 3.0, liburutegiaren garapenarekin jarraituz OpenDPI. nDPI proiektua aldaketak transferitzeko arrakastarik gabeko saiakera baten ondoren sortu zen biltegia OpenDPI, lagundu gabe geratu zena. nDPI kodea C-n idatzita dago eta arabera banatuta LGPLv3 lizentziapean.
Proiektu aukera ematen du trafikoan erabiltzen diren aplikazio-mailako protokoloak zehaztea, sareko jardueraren izaera aztertuz sareko atakei lotuta egon gabe (protokolo ezagunak identifikatu ditzakete, zeinen kudeatzaileek sareko atake ez-estandarrak dituzten konexioak onartzen dituzten, adibidez, http ez bada bidaltzen. 80 ataka, edo, alderantziz, batzuk sareko beste jarduera http gisa kamuflatzen saiatzen direnean 80 atakan exekutatuz).
OpenDPI-ren desberdintasunak protokolo gehigarrietarako laguntza, Windows plataformarako porturatzea, errendimenduaren optimizazioa, trafikoa denbora errealean kontrolatzeko aplikazioetan erabiltzeko egokitzapena (motorra moteldu zuten ezaugarri zehatz batzuk kendu dira),
muntatzeko gaitasunak Linux kernel modulu baten moduan eta azpiprotokoloak definitzeko euskarria.
Guztira 238 protokolo eta aplikazio definizio onartzen dira
OpenVPN, Tor, QUIC, SOCKS, BitTorrent eta IPsec Telegram-era,
Viber, WhatsApp, PostgreSQL eta GMail, Office365 deiak
GoogleDocs eta YouTube. Zerbitzari eta bezero SSL ziurtagiri deskodetzaile bat dago, protokoloa (adibidez, Citrix Online eta Apple iCloud) zehaztea ahalbidetzen duen enkriptatutako ziurtagiria erabiliz. nDPIreader erabilgarritasuna sareko interfazearen bidez pcap dump-en edo egungo trafikoaren edukia aztertzeko hornitzen da.
Definizioan berehala bistaratzen da protokoloari buruzko informazioa, metadatu osoak jaso arte itxaron gabe (nahiz eta eremu zehatzak oraindik analizatu ez diren dagozkien sare-paketeak jaso ez direlako), eta hori garrantzitsua da berehala behar duten trafiko-analisiatzaileentzat. trafiko mota batzuei erantzutea. Protokoloen disekzio osoa behar duten aplikazioetarako, ndpi_extra_dissection_possible() APIa eskaintzen da protokoloaren metadatu guztiak definituta daudela ziurtatzeko.
TLS-ren analisi sakonagoa inplementatu da, ziurtagiriaren zuzentasunari eta ziurtagiriaren SHA-1 hashari buruzko informazioa ateraz.
"-C" bandera gehitu da nDPIreader aplikazioan CSV formatuan esportatzeko, eta horri esker ntop toolkit osagarria erabil daiteke. gauzatu lagin estatistiko nahiko konplexuak. Adibidez, NetFlixen filmak denbora luzeenean ikusi dituen erabiltzailearen IPa zehazteko:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "hautatu src_ip, SUM(src2dst_bytes+dst2src_bytes) /tmp/netflix.csv-tik non ndpi_proto bezalako '%NetFlix%' talde src_ip"
192.168.1.7,6151821
urtean proposatutakoari euskarria gehitu zaio Cisco Pozaekipamendu Enkriptatutako trafikoan ezkutatuta dauden jarduera gaiztoak identifikatzea pakete-tamaina erabiliz eta denbora/latentzia-analisia bidaltzea. ndpiReader-en, metodoa "-J" aukeraren bidez aktibatzen da.
Protokoloak kategorietan sailkatzea eskaintzen da.
IAT (Inter-Arrival Time) kalkulatzeko euskarria gehitu da protokoloaren erabileran anomaliak identifikatzeko, adibidez, DoS erasoetan protokoloaren erabilera identifikatzeko.
Datuak aztertzeko gaitasunak gehitu dira kalkulatutako metriketan oinarrituta, hala nola entropia, batez bestekoa, desbideratze estandarra eta bariantza.
Python hizkuntzarako loturen hasierako bertsio bat proposatu da.
Trafikoan irakur daitezkeen kateak detektatzeko modu bat gehitu da datuen ihesak detektatzeko. IN
ndpiReader modua "-e" aukerarekin gaituta dago.
TLS bezeroak identifikatzeko metodorako laguntza gehitu da JA3, konexioaren koordinazioaren ezaugarrien eta zehaztutako parametroen arabera, konexio bat ezartzeko zein software erabiltzen den zehazteko aukera ematen duena (adibidez, Tor eta beste aplikazio estandar batzuen erabilera zehazten du).
SSH inplementazioak identifikatzeko metodoetarako laguntza gehitu da (HATXA) eta DHCP.
Datuak serializatu eta deserializatzeko funtzioak gehitu dira
Type-Length-Value (TLV) eta JSON formatuak.
Protokolo eta zerbitzuetarako euskarria gehitu da: DTLS (TLS UDP baino gehiago),
hulu,
TikTok/Musical.ly,
WhatsApp bideoa,
DNSoverHTTPS
Datu-babeslea
Lerroa,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us.
TLS, SIP, STUN analisirako laguntza hobetua,
bizia,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger eta Hangout.