Projet , qui développe des outils de captation et d'analyse du trafic, publication d'une boîte à outils d'inspection approfondie des colis , poursuivant le développement de la bibliothèque . Le projet nDPI a été fondé après une tentative infructueuse de validation des modifications OpenDPI, qui est resté sans accompagnement. Le code nDPI est écrit en C et sous licence LGPLv3.
Projet déterminer les protocoles au niveau de l'application utilisés dans le trafic en analysant la nature de l'activité réseau sans référence aux ports réseau (peut déterminer les protocoles connus dont les gestionnaires acceptent les connexions sur des ports réseau non standard, par exemple, si http n'est pas envoyé depuis le port 80, ou , à l'inverse, quand certains tentent de camoufler une autre activité réseau en http en la lançant sur le port 80).
Les différences avec OpenDPI se résument à la prise en charge de protocoles supplémentaires, au portage pour la plateforme Windows, à l'optimisation des performances, à l'adaptation pour une utilisation dans des applications de surveillance du trafic en temps réel (certaines fonctionnalités spécifiques qui ralentissaient le moteur ont été supprimées),
capacités d'assemblage sous la forme d'un module de noyau Linux et prise en charge de la définition de sous-protocoles.
Au total, 238 définitions de protocoles et d'applications sont prises en charge, de
OpenVPN, Tor, QUIC, SOCKS, BitTorrent et IPsec vers Telegram,
Viber, WhatsApp, PostgreSQL et appels vers GMail, Office365
Google Docs et YouTube. Il existe un décodeur de certificat SSL serveur et client qui vous permet de déterminer le protocole (par exemple, Citrix Online et Apple iCloud) à l'aide du certificat de cryptage. L'utilitaire nDPIreader est fourni pour analyser le contenu des dumps pcap ou le trafic actuel via l'interface réseau.
$ ./nDPIreader -i eth0 -s 20 -f "hôte 192.168.1.10"
Protocoles détectés :
Paquets DNS : 57 octets : 7904 flux : 28
Paquets SSL_No_Cert : 483 octets : 229203 flux : 6
Paquets FaceBook : 136 octets : 74702 flux : 4
Paquets DropBox : 9 octets : 668 flux : 3
Paquets Skype : 5 octets : 339 flux : 3
Paquets Google : 1700 octets : 619135 flux : 34
Dans la nouvelle version :
- Les informations de protocole sont désormais affichées immédiatement après détection, sans attendre la réception complète des métadonnées (même lorsque des champs spécifiques n'ont pas encore été analysés en raison de la non-réception des paquets réseau correspondants), ce qui est important pour les analyseurs de trafic qui doivent réagir immédiatement. à certains types de trafic. Pour les applications nécessitant une dissection complète du protocole, l'API ndpi_extra_dissection_possible() est fournie pour garantir que toutes les métadonnées du protocole sont définies.
- Implémentation d'une analyse plus approfondie de TLS avec l'extraction d'informations sur l'exactitude du certificat et le hachage SHA-1 du certificat.
- Le drapeau "-C" a été ajouté à l'application nDPIreader pour l'exportation au format CSV, ce qui permet, à l'aide de la boîte à outils ntop supplémentaire des échantillons statistiques plutôt complexes. Par exemple, pour déterminer l’IP de l’utilisateur qui a regardé des films sur NetFlix le plus longtemps :
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "sélectionnez src_ip, SUM(src2dst_bytes+dst2src_bytes) depuis /tmp/netflix.csv où ndpi_proto aime le groupe '%NetFlix%' par src_ip"192.168.1.7,6151821
- Ajout du support suggéré dans identifier les activités malveillantes cachées dans le trafic chiffré à l’aide de la taille des paquets et de l’analyse du temps/délai d’envoi. Dans ndpiReader, la méthode est activée avec l'option "-J".
- Une classification des protocoles par catégories est fournie.
- Ajout du support du calcul de l'IAT (Inter-Arrival Time) pour détecter des anomalies dans l'utilisation du protocole, par exemple pour détecter l'utilisation du protocole lors d'attaques DoS.
- Ajout de fonctionnalités d'analyse de données basées sur des mesures calculées telles que l'entropie, la moyenne, l'écart type et la variance.
- La version initiale des liaisons pour le langage Python est proposée.
- Ajout d'un mode de détection des lignes lisibles dans le trafic pour détecter les fuites de données. DANS
Le mode ndpiReader est activé avec l'option "-e". - Ajout de la prise en charge de la méthode d'identification du client TLS , qui permet, en fonction des fonctionnalités de négociation de connexion et des paramètres spécifiés, de déterminer quel logiciel est utilisé pour établir une connexion (par exemple, il vous permet de déterminer l'utilisation de Tor et d'autres applications typiques).
- Ajout de la prise en charge des méthodes d'identification de l'implémentation SSH () et DHCP.
- Ajout de fonctions pour sérialiser et désérialiser les données dans
Formats type-longueur-valeur (TLV) et JSON. - Ajout du support des protocoles et services : DTLS (TLS sur UDP),
Hulu,
TikTok/Musical.ly,
Vidéo Whatsapp,
DNS sur HTTPS,
économiseur de données,
doubler,
Google Duo, Hangout,
VPN WireGuard,
OMI,
zoom.us. - Prise en charge améliorée de l'analyse TLS, SIP, STUN,
Viper,
WhatsApp,
amazonvidéo,
Snapchat,
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger et Hangout.
Source: opennet.ru