Trafikoa atzemateko eta aztertzeko tresnak garatzen dituen ntop proiektuak nDPI 4.0 deep package inspection toolkit-aren oharra argitaratu du, OpenDPI liburutegiaren garapenean jarraitzen duena. nDPI proiektua OpenDPI biltegian aldaketak bultzatzeko arrakastarik gabeko saiakera baten ondoren sortu zen, mantendu gabe geratu zena. nDPI kodea C-n idatzita dago eta LGPLv3 lizentziapean dago.
Proiektuak trafikoan erabiltzen diren aplikazio-mailako protokoloak zehaztea ahalbidetzen du, sare-jardueraren izaera aztertuz sareko portuetara lotu gabe (protokolo ezagunak zehaztu ditzake zeinen kudeatzaileek sareko atake ez-estandarrak dituzten konexioak onartzen dituzten, adibidez, http bada. 80 ataka ez den beste ataka batetik bidalita, edo, alderantziz, sareko beste jarduera bat http gisa kamuflatzen saiatzen ari diren 80 atakan exekutatuta).
OpenDPI-ren desberdintasunen artean daude protokolo gehigarrietarako laguntza, Windows plataformara garraiatzea, errendimenduaren optimizazioa, denbora errealeko trafikoa kontrolatzeko aplikazioetan erabiltzeko egokitzapena (motorra moteltzen zuten ezaugarri zehatz batzuk kendu ziren), modu batean eraikitzeko gaitasuna. Linux kernel modulua eta azpiprotokoloak definitzeko euskarria.
Guztira 247 protokolo eta aplikazio definizio onartzen dira, OpenVPN, Tor, QUIC, SOCKS, BitTorrent eta IPsec-etik Telegram, Viber, WhatsApp, PostgreSQL eta GMail, Office365 GoogleDocs eta YouTube-ra deiak. Zerbitzari eta bezero SSL ziurtagiri deskodetzaile bat dago, protokoloa (adibidez, Citrix Online eta Apple iCloud) zehaztea ahalbidetzen duena enkriptatutako ziurtagiria erabiliz. nDPIreader erabilgarritasuna sareko interfazearen bidez pcap dump-en edo egungo trafikoaren edukia aztertzeko hornitzen da.
$ ./nDPIreader -i eth0 -s 20 -f βhost 192.168.1.10β Detektaturiko protokoloak: DNS paketeak: 57 byte: 7904 fluxuak: 28 SSL_No_Cert paketeak: 483 byte: 229203 fluxuak: 6 fluxuak bytes: 136:74702 FaceBook: 4:9. 668 DropBox paketeak: 3 byte: 5 fluxuak: 339 Skype paketeak: 3 byte: 1700 fluxuak: 619135 Google paketeak: 34 byte: XNUMX fluxuak: XNUMX
Argitalpen berrian:
- Zifratutako trafikoaren azterketa metodoetarako laguntza hobetu da (ETA - Encrypted Traffic Analysis).
- JA3+ TLS bezeroaren identifikazio metodo hobetuari euskarria ezarri zaio, eta horri esker, konexioa negoziatzeko eginbideetan eta zehaztutako parametroetan oinarrituta, konexio bat ezartzeko zein software erabiltzen den zehaztea (adibidez, Tor-en erabilera zehazteko aukera ematen du. beste aplikazio tipiko batzuk). Lehen onartutako JA3 metodoak ez bezala, JA3+-k positibo faltsu gutxiago ditu.
- Konpromiso arriskuarekin (fluxuaren arriskua) identifikatutako sareko mehatxuen eta arazoen kopurua 33ra zabaldu da. Mehatxu detektagailu berriak gehitu dira mahaigaineko eta fitxategien partekatzearekin, HTTP trafiko susmagarriarekin, JA3 eta SHA1 gaiztoekin eta arazo arazotsuetarako sarbidearekin. domeinuak eta sistema autonomoak, luzapen susmagarriak dituzten edo balio-epe luzeegia duten TLS ziurtagiriak erabiltzea.
- Errendimenduaren optimizazio nabarmena egin da; 3.0 adarrarekin alderatuta, trafikoaren prozesamenduaren abiadura 2.5 aldiz handitu da.
- GeoIP euskarria gehitu da kokapena IP helbidearen arabera zehazteko.
- RSI (Indar Erlatiboaren Indizea) kalkulatzeko APIa gehitu da.
- Zatikatze kontrolak ezarri dira.
- Fluxuaren uniformetasuna (jitter) kalkulatzeko API gehitu da.
- Protokolo eta zerbitzuetarako euskarria gehitu da: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Kontrol, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP analisia eta detekzioa hobetu da. protokoloak, RTSP HTTP bidez, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Iturria: opennet.ru