Projekt ntop, koji razvija alate za snimanje i analizu prometa, objavio je izdanje alata za duboku inspekciju paketa nDPI 4.0, koji nastavlja razvoj biblioteke OpenDPI. Projekt nDPI osnovan je nakon neuspješnog pokušaja unošenja promjena u OpenDPI repozitorij, koji je ostao neodržavan. nDPI kod je napisan u C-u i licenciran je pod LGPLv3.
Projekt vam omogućuje određivanje protokola na razini aplikacije koji se koriste u prometu, analizirajući prirodu mrežne aktivnosti bez vezivanja za mrežne priključke (može odrediti poznate protokole čiji rukovatelji prihvaćaju veze na nestandardnim mrežnim priključcima, na primjer, ako je http poslana s priključka koji nije port 80, ili, obrnuto, kada pokušavaju zakamuflirati drugu mrežnu aktivnost kao http tako što je izvode na portu 80).
Razlike u odnosu na OpenDPI uključuju podršku za dodatne protokole, prijenos na Windows platformu, optimizaciju performansi, prilagodbu za korištenje u aplikacijama za praćenje prometa u stvarnom vremenu (neke specifične značajke koje su usporavale motor su uklonjene), mogućnost izgradnje u obliku Linux kernel modul i podrška za definiranje podprotokola.
Podržano je ukupno 247 definicija protokola i aplikacija, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec do Telegrama, Vibera, WhatsAppa, PostgreSQL i poziva prema GMailu, Office365 GoogleDocs i YouTube. Postoji dekoder SSL certifikata poslužitelja i klijenta koji vam omogućuje određivanje protokola (na primjer, Citrix Online i Apple iCloud) pomoću certifikata za šifriranje. Uslužni program nDPIreader isporučuje se za analizu sadržaja pcap ispisa ili trenutnog prometa putem mrežnog sučelja.
$ ./ndpipeader -i ETH0 -S 20 -F „Host 192.168.1.10“ Otkrili su protokoli: DNS Packets: 57 Bytes: 7904 Flows: 28 SSL_NO_CERT PACKETI: 483 BYTES: 229203 Tokovi: 6 BYTES: 136 74702 DropBox paketa: 4 bajtova: 9 protoka: 668 Skype paketa: 3 bajtova: 5 protoka: 339 Google paketa: 3 bajtova: 1700 protoka: 619135
U novom izdanju:
- Poboljšana podrška za šifrirane metode analize prometa (ETA - Encrypted Traffic Analysis).
- Implementirana je podrška za poboljšanu metodu identifikacije klijenta JA3+ TLS, koja omogućuje, na temelju značajki pregovaranja o povezivanju i navedenih parametara, određivanje softvera koji se koristi za uspostavljanje veze (na primjer, omogućuje vam određivanje upotrebe Tor-a i druge tipične primjene). Za razliku od prethodno podržane JA3 metode, JA3+ ima manje lažno pozitivnih rezultata.
- Broj identificiranih mrežnih prijetnji i problema povezanih s rizikom od kompromitacije (rizik toka) proširen je na 33. Dodani su novi detektori prijetnji koji se odnose na radnu površinu i dijeljenje datoteka, sumnjivi HTTP promet, zlonamjerne JA3 i SHA1 i pristup problematičnim domene i autonomni sustavi, korištenje TLS certifikata sa sumnjivim ekstenzijama ili predugim rokom valjanosti.
- Provedena je značajna optimizacija performansi, u usporedbi s granom 3.0, brzina obrade prometa povećana je 2.5 puta.
- Dodana GeoIP podrška za određivanje lokacije prema IP adresi.
- Dodan API za izračun RSI (Indeks relativne snage).
- Implementirane su kontrole fragmentacije.
- Dodan API za izračun jednolikosti protoka (jitter).
- Dodana podrška za protokole i usluge: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa , Siri), Z39.50.
- Poboljšano parsiranje i otkrivanje AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoli, RTSP putem HTTP-a, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Izvor: opennet.ru