ProHoster > Blog > internetske vijesti > Deep Packet Inspection nDPI 3.0 dostupan

Deep Packet Inspection nDPI 3.0 dostupan

Projekt ntop, razvoj alata za snimanje i analizu prometa, objavljen puštanje alata za duboki pregled pakiranja nDPI 3.0, nastavljajući razvoj knjižnice OpenDPI. Projekt nDPI nastao je nakon neuspješnog pokušaja prijenosa promjena na spremište OpenDPI, koji je ostao bez pratnje. nDPI kod je napisan u C i distribuira licenciran pod LGPLv3.

Projekt to omogućuje odrediti protokole na razini aplikacije koji se koriste u prometu, analizirajući prirodu mrežne aktivnosti bez povezivanja s mrežnim priključcima (može identificirati dobro poznate protokole čiji rukovatelji prihvaćaju veze na nestandardnim mrežnim priključcima, na primjer, ako http nije poslan s port 80, ili, obrnuto, kada neki pokušavaju zakamuflirati drugu mrežnu aktivnost kao http tako da je pokrenu na portu 80).

Razlike u odnosu na OpenDPI svode se na podršku za dodatne protokole, portiranje za Windows platformu, optimizaciju performansi, prilagodbu za korištenje u aplikacijama za praćenje prometa u stvarnom vremenu (uklonjene su neke specifične značajke koje su usporavale motor),
mogućnosti sklapanja u obliku Linux kernel modula i podrška za definiranje podprotokola.

Podržano je ukupno 238 definicija protokola i aplikacija, od
OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec na Telegram,
Viber, WhatsApp, PostgreSQL i pozivi na GMail, Office365
GoogleDocs i YouTube. Postoji dekoder SSL certifikata poslužitelja i klijenta koji vam omogućuje određivanje protokola (na primjer, Citrix Online i Apple iCloud) pomoću certifikata za šifriranje. Uslužni program nDPIreader isporučuje se za analizu sadržaja pcap ispisa ili trenutnog prometa putem mrežnog sučelja.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"

Otkriveni protokoli:
DNS paketi: 57 bajtova: 7904 protoka: 28
SSL_No_Cert paketi: 483 bajta: 229203 protoka: 6
FaceBook paketi: 136 bajtova: 74702 protoka: 4
DropBox paketi: 9 bajtova: 668 protoka: 3
Skype paketi: 5 bajtova: 339 protoka: 3
Google paketi: 1700 bajtova: 619135 protoka: 34

U novom izdanju:

  • Informacije o protokolu sada se prikazuju odmah nakon definiranja, bez čekanja na primanje potpunih metapodataka (čak i kada određena polja još nisu analizirana zbog neuspjeha primanja odgovarajućih mrežnih paketa), što je važno za analizatore prometa koji trebaju odmah odgovoriti na određene vrste prometa. Za aplikacije koje zahtijevaju potpunu disekciju protokola, ndpi_extra_dissection_possible() API je osiguran kako bi se osiguralo definiranje svih metapodataka protokola.
  • Implementirano dublje parsiranje TLS-a, izvlačenje informacija o ispravnosti certifikata i SHA-1 hash certifikata.
  • Dodana je oznaka "-C" aplikaciji nDPIreader za izvoz u CSV formatu, što omogućuje korištenje dodatnog ntop toolkita izvršiti prilično složene statističke uzorke. Na primjer, da odredite IP korisnika koji je najduže gledao filmove na NetFlixu:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "odaberite src_ip,SUM(src2dst_bytes+dst2src_bytes) iz /tmp/netflix.csv gdje ndpi_proto poput '%NetFlix%' grupira po src_ip"

    192.168.1.7,6151821

  • Dodana podrška za ono što je predloženo u Cisco radost oprema identificiranje zlonamjerne aktivnosti skrivene u kriptiranom prometu korištenjem veličine paketa i analize vremena/latencije slanja. U ndpiReaderu, metoda se aktivira opcijom “-J”.
  • Omogućena je klasifikacija protokola u kategorije.
  • Dodana je podrška za izračunavanje IAT (Inter-Arrival Time) za prepoznavanje anomalija u korištenju protokola, na primjer, za prepoznavanje upotrebe protokola tijekom DoS napada.
  • Dodane su mogućnosti analize podataka na temelju izračunatih metrika kao što su entropija, srednja vrijednost, standardna devijacija i varijanca.
  • Predložena je početna verzija povezivanja za jezik Python.
  • Dodan način za otkrivanje čitljivih nizova u prometu za otkrivanje curenja podataka. U
    Način rada ndpiReader omogućen je s opcijom “-e”.

  • Dodana podrška za TLS metodu identifikacije klijenta JA3, koji vam omogućuje da na temelju karakteristika koordinacije veze i navedenih parametara odredite koji se softver koristi za uspostavljanje veze (na primjer, omogućuje vam da odredite korištenje Tor-a i drugih standardnih aplikacija).
  • Dodana podrška za metode za prepoznavanje SSH implementacija (HAŠ) i DHCP.
  • Dodane funkcije za serijalizaciju i deserijalizaciju podataka u
    Tip-duljina-vrijednost (TLV) i JSON formati.

  • Dodana podrška za protokole i usluge: DTLS (TLS preko UDP-a),
    hulu,
    TikTok/Musical.ly,
    WhatsApp Video,
    DNS preko HTTPS
    Čuvar podataka
    Crta,
    Google Duo, Hangout,
    WireGuard VPN,
    IMO
    Zoom.us.

  • Poboljšana podrška za TLS, SIP, STUN analizu,
    viber,
    Što ima,
    Amazon Video,
    Snapchat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger i Hangout.

Izvor: opennet.ru

Dodajte komentar