Pwojè , devlope zouti pou kaptire ak analize trafik, lage nan zouti pou enspeksyon gwo twou san fon pake , kontinye devlopman bibliyotèk la . Pwojè nDPI a te fonde apre yon tantativ san siksè transfere chanjman nan OpenDPI, ki te kite poukont li. Kòd nDPI a ekri nan C ak lisansye anba LGPLv3.
Pwojè detèmine pwotokòl nivo aplikasyon yo itilize nan trafik la, analize nati aktivite rezo san yo pa mare nan pò rezo yo (ka idantifye pwotokòl byen li te ye ki gen moun kap okipe yo aksepte koneksyon sou pò rezo ki pa estanda, pou egzanp, si http pa voye soti nan pò 80, oswa, Kontrèman, lè kèk yo eseye kamouflaj lòt aktivite rezo kòm http lè yo kouri li sou pò 80).
Diferans ak OpenDPI vini nan sipò pou pwotokòl adisyonèl, pòtaj pou platfòm Windows la, optimize pèfòmans, adaptasyon pou itilize nan aplikasyon pou kontwole trafik an tan reyèl (kèk karakteristik espesifik ki ralanti motè a yo te retire),
kapasite asanble nan fòm lan nan yon modil nwayo Linux ak sipò pou defini sou-pwotokòl.
Yon total de 238 pwotokòl ak definisyon aplikasyon yo sipòte, soti nan
OpenVPN, Tor, QUIC, SOCKS, BitTorrent ak IPsec pou Telegram,
Viber, WhatsApp, PostgreSQL ak apèl nan GMail, Office365
GoogleDocs ak YouTube. Gen yon sèvè ak dekodeur sètifika SSL kliyan ki pèmèt ou detèmine pwotokòl la (pa egzanp, Citrix Online ak Apple iCloud) lè l sèvi avèk sètifika chifreman an. Se sèvis piblik nDPIreader apwovizyone pou analize sa ki nan pil fatra pcap oswa trafik aktyèl atravè koòdone rezo a.
$ ./nDPIreader -i eth0 -s 20 -f "hôte 192.168.1.10"
Pwotokòl detekte:
Pake DNS: 57 bytes: 7904 koule: 28
Pake SSL_No_Cert: 483 bytes: 229203 koule: 6
Pake FaceBook: 136 bytes: 74702 koule: 4
Pake DropBox: 9 bytes: 668 koule: 3
Pake Skype: 5 bytes: 339 koule: 3
Pake Google: 1700 bytes: 619135 koule: 34
Nan nouvo lage a:
- Enfòmasyon sou pwotokòl la parèt kounye a imedyatman apre definisyon an, san yo pa tann pou yo resevwa metadone konplè (menm lè jaden espesifik yo poko analize akòz echèk yo resevwa pakè rezo korespondan yo), ki enpòtan pou analizè trafik yo ki bezwen imedyatman. reponn a sèten kalite trafik. Pou aplikasyon ki mande diseksyon pwotokòl konplè, yo bay ndpi_extra_dissection_possible() API pou asire ke tout metadata pwotokòl yo defini.
- Aplike pi fon analiz nan TLS, èkstraksyon enfòmasyon sou kòrèk sètifika a ak hash SHA-1 nan sètifika a.
- Yo ajoute drapo "-C" a nan aplikasyon nDPIreader pou ekspòte nan fòma CSV, sa ki fè li posib pou itilize zouti adisyonèl ntop la. echantiyon estatistik byen konplèks. Pou egzanp, detèmine IP itilizatè a ki te gade sinema sou NetFlix pi long lan:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "chwazi src_ip,SUM(src2dst_bytes+dst2src_bytes) nan /tmp/netflix.csv kote ndpi_proto tankou '%NetFlix%' gwoup pa src_ip"192.168.1.7,6151821
- Te ajoute sipò pou sa ki te pwopoze nan idantifye aktivite move kache nan trafik chiffres lè l sèvi avèk gwosè pake epi voye analiz tan / latansi. Nan ndpiReader, metòd la aktive pa opsyon "-J".
- Yo bay klasifikasyon pwotokòl yo an kategori.
- Te ajoute sipò pou kalkile IAT (Inter-Arrival Time) pou idantifye anomali nan itilizasyon pwotokòl, pou egzanp, pou idantifye itilizasyon pwotokòl la pandan atak DoS.
- Te ajoute kapasite analiz done ki baze sou mezi kalkile tankou entropi, mwayèn, devyasyon estanda, ak divèjans.
- Yo te pwopoze yon premye vèsyon nan lyezon pou lang Python.
- Te ajoute yon mòd pou detekte kòd lizib nan trafik pou detekte fwit done. NAN
Mòd ndpiReader aktive ak opsyon "-e". - Te ajoute sipò pou metòd idantifikasyon kliyan TLS , ki pèmèt ou detèmine, ki baze sou karakteristik kowòdinasyon koneksyon ak paramèt espesifye, ki lojisyèl yo itilize pou etabli yon koneksyon (pa egzanp, li pèmèt ou detèmine itilizasyon Tor ak lòt aplikasyon estanda).
- Te ajoute sipò pou metòd pou idantifye aplikasyon SSH () ak DHCP.
- Te ajoute fonksyon pou serialize ak deserialize done nan
Kalite-Length-Value (TLV) ak fòma JSON. - Te ajoute sipò pou pwotokòl ak sèvis: DTLS (TLS sou UDP),
hulu,
TikTok/Musical.ly,
Videyo WhatsApp,
DNSoverHTTPS
Datasaver
Liy,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Amelyore sipò pou analiz TLS, SIP, STUN,
viber,
WhatsApp,
Amazon videyo,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger ak Hangout.
Sous: opennet.ru