It ntop-projekt, dat ark ûntwikkelet foar it fangen en analysearjen fan ferkear, hat in toolkit publisearre foar djippe pakketynspeksje nDPI 5.0, dy't de ûntwikkeling fan 'e OpenDPI-bibleteek trochgiet. It nDPI-projekt waard oprjochte nei in mislearre besykjen om wizigingen yn 'e OpenDPI-repository te triuwen, dy't net bewarre bleaun. De nDPI-koade is skreaun yn C en is lisinsje ûnder de LGPLv3-lisinsje.
It systeem kinne jo bepale de applikaasje-nivo protokollen brûkt yn it ferkear, analysearjen fan de aard fan netwurk aktiviteit sûnder wurde bûn oan netwurk havens (it kin bepale bekende protokollen waans handlers akseptearje ferbinings op net-standert netwurk havens, bygelyks, as http is net ferstjoerd fan haven 80, of, oarsom, wannear hokker Se besykje te camouflage oare netwurk aktiviteit as http troch it útfieren fan it op haven 80).
Ferskillen mei OpenDPI komme del op stipe foar ekstra protokollen en porting nei it platfoarm Windows, prestaasjeoptimalisaasjes, oanpassing foar gebrûk yn real-time ferkearsmonitoringapplikaasjes (it fuortheljen fan guon spesifike funksjes dy't de motor fertrage), en de mooglikheid om te bouwen as in kernelmodule Linux en stipe foar de definysje fan subprotokollen.
Stipet deteksje fan 56 soarten netwurkbedrigingen (streamrisiko) en mear as 450 protokollen en applikaasjes (fan OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec nei Telegram, Viber, WhatsApp, PostgreSQL en oanfragen nei Gmail, Office 365, Google Docs en YouTube). D'r is in dekoder foar server en kliïnt SSL-sertifikaten, wêrmei jo in protokol (bygelyks Citrix Online en Apple iCloud) kinne identifisearje mei in fersiferingssertifikaat. It nDPIreader-hulpprogramma wurdt levere foar it analysearjen fan de ynhâld fan pcap-dumps of aktueel netwurkynterfaceferkear.
Yn de nije release:
- In universeel ferkearsidentifikaasjemeganisme is ymplementearre, wêrby't metadata oer TCP-fingerprints, TLS-sertifikaathashes en JA4 (identifikatoaren foar it identifisearjen fan netwurkprotokollen en applikaasjes) kombinearre wurde ta ien ferkearsmarker (fingerprint). Dit nije meganisme makket in krektere identifikaasje en oerienkomst fan fersifere of ferburgen ferkear mooglik.
- Wy hawwe de mooglikheid tafoege om TLS-, QUIC- en HTTP-streamen te detektearjen dy't hostnammen befetsje (bygelyks yn 'e SNI foar TLS/QUIC en yn 'e Host-header foar HTTP) dy't earder net fia DNS oplost waarden. Dizze aktiviteit kin brûkt wurde om anomalieën, ferburgen gegevensoerdrachtkanalen en filterbypassmetoaden te identifisearjen.
- De limyt op it oantal detektearbere protokollen en ferkearskategoryen is ferhege nei 2^16, wêrtroch't in praktysk ûnbeheind oantal protokollen tidens ferkearsynspeksje detekteare wurde kinne. Alle beskikbere protokollen binne no standert ynskeakele.
- Nije opsjes binne tafoege oan de regels foar it klassifisearjen fan ferkear op basis fan fingerôfdrukken, JA4-applikaasje- en protokolidentifikatoaren, HTTP-URL's en kategoryen.
- Ferbettere stipe foar FPC (First Packet Classification) technology, dy't protokollen, applikaasjes en tsjinsten identifisearret op basis fan it earste pakket dat ferstjoerd wurdt by it meitsjen fan in ferbining. FPC ferminderet de CPU-belesting signifikant by ferkearsynspeksje.
- Stipe foar pseudo-protokollen lykas ADULT_CONTENT, LLM, en ADS_ANALYTICS_TRACK is fuorthelle, dy't no ferfongen binne troch in klassifikaasje op basis fan kategory.
- Stipe en parsing tafoege foar nije protokollen, ynklusyf Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN, en Akamai.
- Nije subkategoryen binne tafoege en de klassifikaasje fan Amazon/AWS-tsjinsten is útwreide.
- Sawat 30 nije kategoryen binne tafoege en it detailnivo yn ferkearsanalyse is ferhege.
- Datablokgrutte-analysator tafoege foar TLS-ferbiningen.
- De mooglikheid tafoege om protokolstapels te meitsjen dy't twa of mear protokollen omfetsje by it klassifisearjen fan ferkear.
- Nije API's tafoege foar ferkearsranglist en kodearring/dekodearring fan heksadesimale sekwinsjes.
- Bywurke listen fan bots, netwurkscanners en miningpools.
- Bywurke koade foar it parsen fan HTTP-, TLS- en STUN-protokollen.
- De inisjalisaasje is fersneld en de effisjinsje fan ûnthâldbehear is ferbettere.
Boarne: opennet.ru
