Proxecto , desenvolvendo ferramentas para captar e analizar o tráfico, liberación de ferramentas para a inspección profunda de paquetes , continuando o desenvolvemento da biblioteca . O proxecto nDPI fundouse despois dun intento infructuoso de transferir cambios a OpenDPI, que quedou sen acompañamento. O código nDPI está escrito en C e licenciado baixo LGPLv3.
Proxecto determinar os protocolos de nivel de aplicación utilizados no tráfico, analizando a natureza da actividade da rede sen estar ligado a portos de rede (poden identificar protocolos coñecidos cuxos controladores aceptan conexións en portos de rede non estándar, por exemplo, se http non se envía desde porto 80 ou, pola contra, cando algúns intentan camuflar outra actividade de rede como http executándoo no porto 80).
As diferenzas con OpenDPI redúcense ao soporte para protocolos adicionais, a portabilidade para a plataforma Windows, a optimización do rendemento, a adaptación para o seu uso en aplicacións para monitorizar o tráfico en tempo real (elimináronse algunhas características específicas que ralentizaban o motor),
capacidades de montaxe en forma de módulo de núcleo de Linux e soporte para definir subprotocolos.
Admítense un total de 238 definicións de protocolos e aplicacións, desde
OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec para Telegram,
Viber, WhatsApp, PostgreSQL e chamadas a GMail, Office365
GoogleDocs e YouTube. Hai un decodificador de certificado SSL de servidor e cliente que che permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) mediante o certificado de cifrado. A utilidade nDPIreader ofrécese para analizar o contido dos volcados de pcap ou o tráfico actual a través da interface de rede.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Protocolos detectados:
Paquetes DNS: 57 bytes: 7904 fluxos: 28
Paquetes SSL_No_Cert: 483 bytes: 229203 fluxos: 6
Paquetes de FaceBook: 136 bytes: 74702 fluxos: 4
Paquetes DropBox: 9 bytes: 668 fluxos: 3
Paquetes Skype: 5 bytes: 339 fluxos: 3
Paquetes de Google: 1700 bytes: 619135 fluxos: 34
Na nova versión:
- A información sobre o protocolo móstrase agora inmediatamente despois da definición, sen esperar a que se reciban os metadatos completos (mesmo cando aínda non se analizaron campos específicos debido a que non se recibiron os paquetes de rede correspondentes), o que é importante para os analizadores de tráfico que necesitan responder a determinados tipos de tráfico. Para as aplicacións que requiren unha disección completa do protocolo, ofrécese a API ndpi_extra_dissection_possible() para garantir que todos os metadatos do protocolo estean definidos.
- Implementouse unha análise máis profunda de TLS, extraendo información sobre a corrección do certificado e o hash SHA-1 do certificado.
- Engadiuse a marca "-C" á aplicación nDPIreader para exportar en formato CSV, o que fai posible usar o kit de ferramentas adicional ntop mostras estatísticas bastante complexas. Por exemplo, para determinar a IP do usuario que viu películas en NetFlix durante máis tempo:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "seleccione src_ip,SUM(src2dst_bytes+dst2src_bytes) de /tmp/netflix.csv onde ndpi_proto como '%NetFlix%' grupo por src_ip"192.168.1.7,6151821
- Engadiuse apoio ao que se propoñía en identificar a actividade maliciosa oculta no tráfico cifrado utilizando o tamaño do paquete e enviando análise de tempo/latencia. En ndpiReader, o método está activado pola opción "-J".
- Ofrécese a clasificación dos protocolos en categorías.
- Engadido soporte para calcular IAT (Inter-Arrival Time) para identificar anomalías no uso do protocolo, por exemplo, para identificar o uso do protocolo durante ataques DoS.
- Engadíronse capacidades de análise de datos baseadas en métricas calculadas como a entropía, a media, a desviación estándar e a varianza.
- Propúxose unha versión inicial de enlaces para a linguaxe Python.
- Engadiuse un modo para detectar cadeas lexibles no tráfico para detectar fugas de datos. EN
O modo ndpiReader está habilitado coa opción "-e". - Engadido soporte para o método de identificación do cliente TLS , que permite determinar, en función das características da negociación da conexión e dos parámetros especificados, que software se utiliza para establecer unha conexión (por exemplo, permite determinar o uso de Tor e outras aplicacións estándar).
- Engadido soporte para métodos para identificar implementacións SSH () e DHCP.
- Engadíronse funcións para serializar e deserializar datos
Formatos Type-Length-Value (TLV) e JSON. - Engadido soporte para protocolos e servizos: DTLS (TLS sobre UDP),
hulu,
TikTok/Musical.ly,
Vídeo de WhatsApp,
DNSoverHTTPS
Aforro de datos
Liña,
Google Duo, Hangout,
WireGuard VPN,
OMI,
Zoom.us. - Compatibilidade mellorada para TLS, SIP, análise STUN,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger e Hangout.
Fonte: opennet.ru