O proxecto ntop, que desenvolve ferramentas para capturar e analizar o tráfico, publicou o lanzamento do kit de ferramentas de inspección profunda de paquetes nDPI 4.0, que continúa co desenvolvemento da biblioteca OpenDPI. O proxecto nDPI fundouse despois dun intento infructuoso de impulsar cambios no repositorio de OpenDPI, que quedou sen manter. O código nDPI está escrito en C e ten licenza LGPLv3.
O proxecto permítelle determinar os protocolos de nivel de aplicación utilizados no tráfico, analizando a natureza da actividade da rede sen estar ligado a portos de rede (pode determinar protocolos coñecidos cuxos controladores aceptan conexións en portos de rede non estándar, por exemplo, se http é enviado desde un porto distinto do porto 80, ou, pola contra, cando están tentando camuflar outra actividade da rede como http executándoo no porto 80).
As diferenzas con OpenDPI inclúen soporte para protocolos adicionais, portabilidade á plataforma Windows, optimización do rendemento, adaptación para o seu uso en aplicacións de monitorización do tráfico en tempo real (elimináronse algunhas funcións específicas que ralentizaban o motor), a capacidade de construír en forma de Módulo do núcleo de Linux e soporte para definir subprotocolos .
Admítense un total de 247 definicións de protocolos e aplicacións, desde OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec ata Telegram, Viber, WhatsApp, PostgreSQL e chamadas a GMail, Office365 GoogleDocs e YouTube. Hai un decodificador de certificado SSL de servidor e cliente que che permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) mediante o certificado de cifrado. A utilidade nDPIreader ofrécese para analizar o contido dos vertedoiros de pcap ou o tráfico actual a través da interface de rede.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Protocolos detectados: Paquetes DNS: 57 bytes: 7904 fluxos: 28 Paquetes SSL_No_Cert: 483 bytes: 229203 fluxos por FaceBook: 6:136:74702 4 paquetes DropBox: 9 bytes: 668 fluxos: 3 paquetes Skype: 5 bytes: 339 fluxos: 3 Paquetes Google: 1700 bytes: 619135 fluxos: 34
Na nova versión:
- Compatibilidade mellorada para métodos de análise de tráfico cifrado (ETA - Encrypted Traffic Analysis).
- Implementouse soporte para o método mellorado de identificación do cliente JA3+ TLS, que permite, en función das características de negociación de conexión e dos parámetros especificados, determinar que software se usa para establecer unha conexión (por exemplo, permítelle determinar o uso de Tor e outras aplicacións típicas). A diferenza do método JA3 admitido anteriormente, JA3+ ten menos falsos positivos.
- Ampliouse a 33 o número de ameazas de rede identificadas e problemas asociados co risco de compromiso (risco de fluxo). Engadíronse novos detectores de ameazas relacionados co uso compartido de ficheiros e escritorios, tráfico HTTP sospeitoso, JA3 e SHA1 maliciosos e acceso a problemas problemáticos. dominios e sistemas autónomos, o uso de certificados TLS con extensións sospeitosas ou un período de validez demasiado longo.
- Realizouse unha optimización significativa do rendemento; en comparación coa rama 3.0, a velocidade de procesamento do tráfico aumentou 2.5 veces.
- Engadido soporte GeoIP para determinar a localización por enderezo IP.
- Engadida API para calcular RSI (Índice de forza relativa).
- Implementáronse controis de fragmentación.
- Engadida API para calcular a uniformidade do fluxo (jitter).
- Compatibilidade adicional para protocolos e servizos: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Análise e detección melloradas de AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, Control FTP, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC, RTSP protocolos , RTSP vía HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Fonte: opennet.ru