Pwojè ntop la, ki devlope zouti pou kaptire ak analize trafik, te pibliye liberasyon nDPI 4.0 deep packet inspection toolkit, ki kontinye devlopman bibliyotèk OpenDPI la. Pwojè nDPI a te fonde apre yon tantativ san siksè pouse chanjman nan depo OpenDPI a, ki te rete san antretyen. Kòd nDPI a ekri an C epi li gen lisans anba LGPLv3.
Pwojè a pèmèt ou detèmine pwotokòl nivo aplikasyon yo itilize nan trafik, analize nati aktivite rezo a san yo pa mare nan pò rezo yo (li ka detèmine pwotokòl li te ye ki gen moun kap okipe yo aksepte koneksyon sou pò rezo ki pa estanda, pou egzanp, si http se voye soti nan yon pò ki pa pò 80, oswa, kontrèman, lè yo ap eseye kamouflaj lòt aktivite rezo kòm http pa kouri li sou pò 80).
Diferans ak OpenDPI gen ladan sipò pou pwotokòl adisyonèl, pòtaj sou platfòm Windows, optimize pèfòmans, adaptasyon pou itilize nan aplikasyon pou siveyans trafik an tan reyèl (kèk karakteristik espesifik ki ralanti motè a yo te retire), kapasite nan bati nan fòm lan nan yon Modil nwayo Linux, ak sipò pou defini sou-pwotokòl.
Yon total de 247 pwotokòl ak definisyon aplikasyon yo sipòte, soti nan OpenVPN, Tor, QUIC, SOCKS, BitTorrent ak IPsec nan Telegram, Viber, WhatsApp, PostgreSQL ak apèl nan GMail, Office365 GoogleDocs ak YouTube. Gen yon sèvè ak dekodeur sètifika SSL kliyan ki pèmèt ou detèmine pwotokòl la (pa egzanp, Citrix Online ak Apple iCloud) lè l sèvi avèk sètifika chifreman an. Se sèvis piblik nDPIreader apwovizyone pou analize sa ki nan pil fatra pcap oswa trafik aktyèl atravè koòdone rezo a.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Pwotokòl detekte: Pake DNS: 57 bytes: 7904 koule: 28 Pake SSL_No_Cert: 483 byte: 229203 koule pa: 6:136:74702 Paket FaceBook: 4 pakè DropBox: 9 byte: 668 koule: 3 pake Skype: 5 byte: 339 koule: 3 pake Google: 1700 byte: 619135 koule: 34
Nan nouvo lage a:
- Amelyore sipò pou metòd analiz trafik chiffré (ETA - Analiz trafik chiffré).
- Yo te aplike sipò pou amelyore metòd idantifikasyon kliyan JA3+ TLS, ki pèmèt, baze sou karakteristik negosyasyon koneksyon yo ak paramèt espesifye, detèmine ki lojisyèl yo itilize pou etabli yon koneksyon (pa egzanp, li pèmèt ou detèmine itilizasyon Tor ak lòt aplikasyon tipik). Kontrèman ak metòd JA3 ki te deja sipòte, JA3+ gen mwens fo pozitif.
- Kantite menas rezo idantifye ak pwoblèm ki asosye ak risk pou konpwomi (risk koule) te ogmante a 33. Nouvo detektè menas yo te ajoute ki gen rapò ak pataje Desktop ak dosye, trafik HTTP sispèk, move JA3 ak SHA1, ak aksè nan pwoblèm. domèn ak sistèm otonòm, itilizasyon sètifika TLS ak ekstansyon sispèk oswa yon peryòd validite twò long.
- Siyifikatif optimize pèfòmans yo te pote soti; konpare ak branch 3.0, vitès la nan pwosesis trafik te ogmante pa 2.5 fwa.
- Te ajoute sipò GeoIP pou detèmine kote pa adrès IP.
- Te ajoute API pou kalkile RSI (Relative Strength Index).
- Kontwòl fragmantasyon yo te aplike.
- Te ajoute API pou kalkile inifòmite koule (jitter).
- Te ajoute sipò pou pwotokòl ak sèvis: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Analize amelyore ak deteksyon AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP pwotokòl, RTSP atravè HTTP, SNMP, Skype, SSH, vapè, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Sous: opennet.ru