ProHoster > Blog > internetes hírek > nDPI 3.0 Deep Packet Inspection elérhető

nDPI 3.0 Deep Packet Inspection elérhető

Terv ntop, forgalom rögzítésére és elemzésére szolgáló eszközök fejlesztése, közzétett eszközök kiadása a csomagolás mélyreható vizsgálatához nDPI 3.0, a könyvtár fejlesztésének folytatása OpenDPI. Az nDPI projekt egy sikertelen változtatási kísérlet után jött létre adattár OpenDPI, amely kísérő nélkül maradt. Az nDPI kódot C és betűkkel írjuk forgalmazza LGPLv3 licenccel.

Terv lehetővé teszi meghatározza a forgalomban használt alkalmazásszintű protokollokat, elemezve a hálózati tevékenység természetét anélkül, hogy hálózati portokhoz kötődne (azonosítani tudja azokat a jól ismert protokollokat, amelyek kezelői nem szabványos hálózati portokon fogadják el a kapcsolatokat, pl. ha a http nem érkezik 80-as porton, vagy fordítva, amikor egyesek megpróbálnak más hálózati tevékenységet http-ként álcázni a 80-as porton futtatva).

Az OpenDPI-től való eltérések a további protokollok támogatásában, a Windows platformon való portolásban, a teljesítményoptimalizálásban, a forgalom valós idejű megfigyelésére szolgáló alkalmazásokhoz való adaptálásban rejlenek (néhány speciális funkció, amely lelassította a motort, eltávolítva),
összeállítási képességek Linux kernel modul formájában és alprotokollok meghatározásának támogatása.

Összesen 238 protokoll- és alkalmazásdefiníció támogatott
OpenVPN, Tor, QUIC, SOCKS, BitTorrent és IPsec a Telegramhoz,
Viber, WhatsApp, PostgreSQL és a Gmail, Office365 hívásai
GoogleDocs és YouTube. Van egy szerver és kliens SSL-tanúsítvány-dekódoló, amely lehetővé teszi a protokoll meghatározását (például Citrix Online és Apple iCloud) a titkosítási tanúsítvány segítségével. Az nDPIreader segédprogram a pcap kiíratások tartalmának vagy az aktuális forgalom elemzésére szolgál a hálózati interfészen keresztül.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"

Észlelt protokollok:
DNS-csomagok: 57 bájt: 7904 folyam: 28
SSL_No_Cert csomagok: 483 bájt: 229203 folyamok: 6
FaceBook-csomagok: 136 bájt: 74702 folyamok: 4
DropBox csomagok: 9 bájt: 668 folyam: 3
Skype-csomagok: 5 bájt: 339 folyam: 3
Google-csomagok: 1700 bájt: 619135 folyamok: 34

Az új kiadásban:

  • A protokollra vonatkozó információk mostantól azonnal megjelennek a definíció után, anélkül, hogy megvárnák a teljes metaadat beérkezését (még akkor is, ha az egyes mezők még nem kerültek elemzésre a megfelelő hálózati csomagok fogadásának sikertelensége miatt), ami fontos a forgalomelemzők számára, amelyeknek azonnal reagálni bizonyos típusú forgalomra. Azon alkalmazások esetében, amelyek teljes protokollbontást igényelnek, az ndpi_extra_dissection_possible() API biztosítja, hogy minden protokoll-metaadat meg legyen határozva.
  • A TLS mélyebb elemzése, a tanúsítvány helyességére és a tanúsítvány SHA-1 hash-ére vonatkozó információk kinyerése.
  • A "-C" jelző bekerült az nDPIreader alkalmazásba CSV formátumú exportálás céljából, ami lehetővé teszi a kiegészítő ntop eszközkészlet használatát végre meglehetősen összetett statisztikai minták. Például annak a felhasználónak az IP-címének meghatározásához, aki a leghosszabb ideig nézett filmeket a NetFlixen:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "válasszon src_ip,SUM(src2dst_bytes+dst2src_bytes) a /tmp/netflix.csv fájlból, ahol az ndpi_proto, mint a '%NetFlix%', az src_ip szerint csoportosítja

    192.168.1.7,6151821

  • Hozzáadott támogatást a javasolthoz Cisco Joy berendezés a titkosított forgalomban rejtett rosszindulatú tevékenységek azonosítása csomagméret és küldési idő/latencia elemzés segítségével. Az ndpiReaderben a módszert a „-J” opció aktiválja.
  • A protokollok kategóriákba sorolása biztosított.
  • Támogatás hozzáadva az IAT (Inter-Arrival Time) kiszámításához a protokollhasználat anomáliáinak azonosításához, például a protokoll DoS támadások során történő használatának azonosításához.
  • Hozzáadott adatelemzési képességek olyan kiszámított mérőszámok alapján, mint az entrópia, átlag, szórás és variancia.
  • Javasolták a Python nyelv kötéseinek kezdeti verzióját.
  • Egy mód hozzáadva a forgalom olvasható karakterláncainak észleléséhez az adatszivárgások észleléséhez. BAN BEN
    Az ndpiReader mód a „-e” opcióval engedélyezett.

  • Támogatás hozzáadva a TLS kliens azonosítási módszerhez JA3, amely lehetővé teszi a kapcsolatkoordináció jellemzői és a megadott paraméterek alapján annak meghatározását, hogy melyik szoftvert használják a kapcsolat létrehozásához (például lehetővé teszi a Tor és más szabványos alkalmazások használatának meghatározását).
  • Támogatás hozzáadva az SSH implementációk azonosítására szolgáló módszerekhez (HASSH) és a DHCP.
  • Hozzáadott funkciók az adatok sorosításához és deszerializálásához
    Type-Length-Value (TLV) és JSON formátumok.

  • Hozzáadott protokollok és szolgáltatások támogatása: DTLS (TLS over UDP),
    hulu,
    TikTok/Musical.ly,
    WhatsApp videó,
    DNSoverHTTPS
    Adatmentő
    Vonal,
    Google Duo, Hangout,
    WireGuard VPN,
    IMO
    Zoom.us.

  • Továbbfejlesztett támogatás a TLS, SIP, STUN elemzésekhez,
    viber,
    WhatsApp,
    Amazon videó,
    SnapChat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger és Hangout.

Forrás: opennet.ru

Hozzászólás