پروژه ntop که ابزارهایی را برای ضبط و تجزیه و تحلیل ترافیک ایجاد می کند، بسته ابزار بازرسی بسته عمیق nDPI 4.0 را منتشر کرده است که توسعه کتابخانه OpenDPI را ادامه می دهد. پروژه nDPI پس از یک تلاش ناموفق برای ایجاد تغییرات در مخزن OpenDPI، که حفظ نشده بود، تأسیس شد. کد nDPI به زبان C نوشته شده است و تحت مجوز LGPLv3 است.
این پروژه به شما امکان میدهد پروتکلهای سطح برنامه مورد استفاده در ترافیک را تعیین کنید، و ماهیت فعالیت شبکه را بدون اتصال به پورتهای شبکه تجزیه و تحلیل کنید (مثلاً اگر http باشد، پروتکلهای شناختهشدهای را که کنترلکنندههای آن اتصالات روی پورتهای شبکه غیر استاندارد را قبول میکنند، تعیین کند. از پورتی غیر از پورت 80 ارسال می شود، یا برعکس، زمانی که آنها می خواهند با اجرای آن در پورت 80، فعالیت های دیگر شبکه را به عنوان http پنهان کنند.
تفاوتهای OpenDPI شامل پشتیبانی از پروتکلهای اضافی، انتقال به پلتفرم ویندوز، بهینهسازی عملکرد، سازگاری برای استفاده در برنامههای نظارت بر ترافیک در زمان واقعی (برخی ویژگیهای خاص که باعث کند شدن موتور حذف شدند)، توانایی ساخت به شکل ماژول هسته لینوکس و پشتیبانی از تعریف زیرپروتکل ها.
در مجموع 247 تعریف پروتکل و برنامه پشتیبانی می شود، از OpenVPN، Tor، QUIC، SOCKS، BitTorrent و IPsec گرفته تا Telegram، Viber، WhatsApp، PostgreSQL و تماس با GMail، Office365 GoogleDocs و YouTube. یک رمزگشای گواهی SSL سرور و مشتری وجود دارد که به شما امکان می دهد با استفاده از گواهی رمزگذاری، پروتکل را تعیین کنید (به عنوان مثال، Citrix Online و Apple iCloud). ابزار nDPIreader برای تجزیه و تحلیل محتویات pcap dump یا ترافیک جاری از طریق رابط شبکه ارائه شده است.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" پروتکل های شناسایی شده: بسته های DNS: 57 بایت: 7904 جریان: 28 بسته SSL_No_Cert: 483 بایت: 229203 بایت: 6 بایت: 136 بسته: 74702 بایت: 4 بایت جریان می یابد: 9 بسته DropBox: 668 بایت: 3 جریان: 5 بسته اسکایپ: 339 بایت: 3 جریان: 1700 بسته Google: 619135 بایت: 34 جریان: XNUMX
در نسخه جدید:
- پشتیبانی بهبود یافته از روش های تحلیل ترافیک رمزگذاری شده (ETA - Encrypted Traffic Analysis).
- پشتیبانی برای روش شناسایی کلاینت بهبودیافته JA3+ TLS اجرا شده است که به شما امکان می دهد بر اساس ویژگی های مذاکره اتصال و پارامترهای مشخص شده، تعیین کنید که کدام نرم افزار برای ایجاد یک اتصال استفاده می شود (به عنوان مثال، به شما امکان می دهد استفاده از Tor و تعیین کنید. سایر برنامه های کاربردی معمولی). برخلاف روش JA3 که قبلاً پشتیبانی می شد، JA3+ دارای مثبت کاذب کمتری است.
- تعداد تهدیدات شبکه شناسایی شده و مشکلات مرتبط با خطر به خطر افتادن (ریسک جریان) به 33 افزایش یافته است. آشکارسازهای تهدید جدید مربوط به دسکتاپ و اشتراک فایل، ترافیک HTTP مشکوک، JA3 و SHA1 مخرب و دسترسی به مشکل اضافه شده است. دامنه ها و سیستم های مستقل، استفاده از گواهی های TLS با پسوندهای مشکوک یا مدت اعتبار بیش از حد طولانی.
- بهینه سازی عملکرد قابل توجهی انجام شده است؛ در مقایسه با شاخه 3.0، سرعت پردازش ترافیک 2.5 برابر افزایش یافته است.
- اضافه شدن پشتیبانی GeoIP برای تعیین مکان با آدرس IP.
- API برای محاسبه RSI (شاخص قدرت نسبی) اضافه شده است.
- کنترل های تکه تکه سازی اجرا شده است.
- اضافه شدن API برای محاسبه یکنواختی جریان (jitter).
- پشتیبانی اضافه شده برای پروتکل ها و خدمات: AmongUs، AVAST SecureDNS، CPHA (CheckPoint High Availability Protocol)، DisneyPlus، DTLS، Genshin Impact، HP Virtual Machine Group Management (hpvirtgrp)، Mongodb، Pinterest، Reddit، Snapchat VoIP، Tumblrt، الکسا، سیری)، Z39.50.
- تجزیه و تحلیل بهبود یافته AnyDesk، DNS، Hulu، DCE/RPC، dnscrypt، Facebook، Fortigate، FTP Control، HTTP، IEC104، IEC60870، IRC، Netbios، Netflix، Ookla speedtest، openspeedtest.com، Outlook / MicrosoftMail، QUD پروتکل ها، RTSP از طریق HTTP، SNMP، Skype، SSH، Steam، STUN، TeamViewer، TOR، TLS، UPnP، وایرگارد.
منبع: opennet.ru