Hanke , kehittää työkaluja liikenteen kaappaamiseen ja analysointiin, työkalujen vapauttaminen syväpakkauksen tarkastusta varten , jatkaa kirjaston kehittämistä . nDPI-projekti perustettiin epäonnistuneen muutosyrityksen jälkeen OpenDPI, joka jätettiin ilman mukana. nDPI-koodi on kirjoitettu C- ja lisensoitu LGPLv3:llä.
Hanke määrittää liikenteessä käytetyt sovellustason protokollat, analysoimalla verkkotoiminnan luonnetta olematta sidottu verkkoportteihin (osoittaa tunnetut protokollat, joiden käsittelijät hyväksyvät yhteydet epästandardeihin verkkoportteihin, esim. jos http ei lähetetä portti 80, tai päinvastoin, kun jotkut he yrittävät naamioida muun verkkotoiminnan http:llä suorittamalla sen portissa 80).
Erot OpenDPI:stä johtuvat lisäprotokollien tukemisesta, Windows-alustalle portauksesta, suorituskyvyn optimoinnista, mukauttamisesta sovelluksiin, jotka valvovat liikennettä reaaliajassa (jotkut moottoria hidastaneet ominaisuudet on poistettu),
kokoonpanoominaisuudet Linux-ydinmoduulin muodossa ja tuki aliprotokollien määrittelyyn.
Yhteensä 238 protokolla- ja sovellusmääritelmää tuetaan
OpenVPN, Tor, QUIC, SOCKS, BitTorrent ja IPsec Telegramille,
Viber, WhatsApp, PostgreSQL ja puhelut Gmailiin, Office365:een
GoogleDocs ja YouTube. Siellä on palvelimen ja asiakkaan SSL-varmenteen dekooderi, jonka avulla voit määrittää protokollan (esimerkiksi Citrix Online ja Apple iCloud) salaussertifikaatin avulla. nDPIreader-apuohjelma toimitetaan analysoimaan pcap-vedosten sisältöä tai nykyistä liikennettä verkkoliitännän kautta.
$ ./nDPIreader -i eth0 -s 20 -f "isäntä 192.168.1.10"
Havaitut protokollat:
DNS-paketit: 57 tavua: 7904 vuot: 28
SSL_No_Cert-paketit: 483 tavua: 229203 virtaukset: 6
Facebook-paketit: 136 tavua: 74702 virtaa: 4
DropBox-paketit: 9 tavua: 668 virtaa: 3
Skype-paketit: 5 tavua: 339 virtaa: 3
Google-paketit: 1700 tavua: 619135 virtaukset: 34
Uudessa julkaisussa:
- Tiedot protokollasta näkyvät nyt heti määrittelyn jälkeen odottamatta täydellisten metatietojen vastaanottamista (vaikka tiettyjä kenttiä ei olisi vielä jäsennetty, koska vastaavat verkkopaketit eivät ole saaneet), mikä on tärkeää liikenneanalysaattoreille, jotka tarvitsevat välittömästi reagoida tietyntyyppiseen liikenteeseen. Sovelluksille, jotka vaativat täydellisen protokollan erittelyn, ndpi_extra_dissection_possible() API tarjotaan varmistaakseen, että kaikki protokollan metatiedot on määritelty.
- Toteutettu TLS:n syvempi jäsennys, joka poimii tietoja varmenteen oikeellisuudesta ja varmenteen SHA-1 hashista.
- "-C"-lippu on lisätty nDPIreader-sovellukseen CSV-muotoon vientiä varten, mikä mahdollistaa ylimääräisen ntop-työkalupaketin käytön melko monimutkaisia tilastollisia näytteitä. Voit esimerkiksi määrittää sen käyttäjän IP-osoitteen, joka katsoi elokuvia NetFlixissä pisimpään:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "valitse src_ip,SUM(src2dst_bytes+dst2src_bytes) tiedostosta /tmp/netflix.csv, jossa ndpi_proto kuten '%NetFlix%' ryhmittelee src_ip:n mukaan"192.168.1.7,6151821
- Lisätty tuki sille, mitä ehdotettiin salatussa liikenteessä piilotetun haitallisen toiminnan tunnistaminen pakettikoon ja lähetysaika/viiveanalyysin avulla. NdpiReaderissa menetelmä aktivoidaan "-J"-vaihtoehdolla.
- Protokollat luokitellaan luokkiin.
- Lisätty tuki IAT:n (Inter-Arrival Time) laskemiseen protokollan käytön poikkeamien tunnistamiseksi, esimerkiksi protokollan käytön tunnistamiseksi DoS-hyökkäysten aikana.
- Lisätty data-analyysiominaisuudet, jotka perustuvat laskettuihin mittareihin, kuten entropiaan, keskiarvoon, keskihajontaan ja varianssiin.
- Python-kielen sidosten alkuperäinen versio on ehdotettu.
- Lisätty tila luettavien merkkijonojen havaitsemiseksi liikenteessä tietovuotojen havaitsemiseksi. SISÄÄN
ndpiReader-tila otetaan käyttöön "-e"-vaihtoehdolla. - Lisätty tuki TLS-asiakastunnistusmenetelmälle , jonka avulla voit määrittää yhteyden koordinoinnin ominaisuuksien ja määritettyjen parametrien perusteella, mitä ohjelmistoa käytetään yhteyden muodostamiseen (sen avulla voit esimerkiksi määrittää Torin ja muiden tyypillisten sovellusten käytön).
- Lisätty tuki SSH-toteutusten tunnistamismenetelmille () ja DHCP.
- Lisätty toimintoja tietojen sarjoittamista ja sarjoittamista varten
Type-Length-Value (TLV)- ja JSON-muodot. - Lisätty tuki protokollille ja palveluille: DTLS (TLS over UDP),
Hulu,
TikTok/Musical.ly,
WhatsApp-video,
DNSoverHTTPS
Datasaver
Linja,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Parannettu tuki TLS-, SIP-, STUN-analyysille,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger ja Hangout.
Lähde: opennet.ru