A forgalom rögzítésére és elemzésére szolgáló eszközöket fejlesztő ntop projekt közzétette az nDPI 4.0 mély csomagvizsgáló eszközkészlet kiadását, amely az OpenDPI könyvtár fejlesztését folytatja. Az nDPI projektet egy sikertelen kísérlet után hozták létre az OpenDPI repository módosítására, amely karbantartás nélkül maradt. Az nDPI kód C nyelven íródott, és az LGPLv3 licenc alatt van.
A projekt lehetővé teszi a forgalomban használt alkalmazásszintű protokollok meghatározását, a hálózati tevékenység természetének elemzését anélkül, hogy hálózati portokhoz kötődne (meg tudja határozni azokat az ismert protokollokat, amelyek kezelői elfogadják a nem szabványos hálózati portokon történő kapcsolatokat, például ha a http a 80-as porttól eltérő portról küldött, vagy fordítva, amikor a többi hálózati tevékenységet a 80-as porton futtatva http-ként próbálják álcázni).
Az OpenDPI-től való eltérések közé tartozik a további protokollok támogatása, a Windows platformra történő portolás, a teljesítmény optimalizálás, a valós idejű forgalomfigyelő alkalmazásokhoz való adaptálás (néhány speciális funkció, amely lelassította a motort, eltávolítva), az építhetőség Linux kernel modul és alprotokollok meghatározásának támogatása.
Összesen 247 protokoll- és alkalmazásdefiníció támogatott, az OpenVPN-től, Tor-tól, QUIC-tól, SOCKS-tól, BitTorrent-től és IPsec-től a Telegramon, Viberen, WhatsApp-on, PostgreSQL-ig, valamint a GMail, Office365 GoogleDocs és YouTube hívásaiig. Van egy szerver és kliens SSL-tanúsítvány-dekódoló, amely lehetővé teszi a protokoll meghatározását (például Citrix Online és Apple iCloud) a titkosítási tanúsítvány segítségével. Az nDPIreader segédprogram a pcap kiíratások tartalmának vagy az aktuális forgalom elemzésére szolgál a hálózati interfészen keresztül.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" Észlelt protokollok: DNS-csomagok: 57 bájt: 7904 folyamok: 28 SSL_No_Cert csomagok: 483 bájt: 229203 folyam6 csomag136: 74702 Face: folyam4 csomag9: 668 DropBox csomag: 3 bájt: 5 folyam: 339 Skype csomag: 3 bájt: 1700 folyam: 619135 Google csomag: 34 bájt: XNUMX folyam: XNUMX
Az új kiadásban:
- Továbbfejlesztett támogatás a titkosított forgalomelemzési módszerekhez (ETA – Encrypted Traffic Analysis).
- Támogatást valósítottunk meg a továbbfejlesztett JA3+ TLS kliens azonosítási módszerhez, amely lehetővé teszi a kapcsolat egyeztetési jellemzők és a megadott paraméterek alapján annak meghatározását, hogy melyik szoftvert használjuk a kapcsolat létrehozásához (például lehetővé teszi a Tor, ill. egyéb jellemző alkalmazások). A korábban támogatott JA3 módszerrel ellentétben a JA3+-nak kevesebb a hamis pozitívuma.
- Az azonosított hálózati fenyegetések és a kompromittálással kapcsolatos problémák (folyamati kockázat) száma 33-ra bővült. Új fenyegetésérzékelőkkel bővült az asztali számítógép- és fájlmegosztás, a gyanús HTTP-forgalom, a rosszindulatú JA3 és SHA1, valamint a problémás forrásokhoz való hozzáférés. tartományok és autonóm rendszerek, gyanús kiterjesztésű TLS-tanúsítványok használata vagy túl hosszú érvényességi idő.
- Jelentős teljesítményoptimalizálás történt, a 3.0-s ághoz képest a forgalomfeldolgozás sebessége 2.5-szeresére nőtt.
- Hozzáadott GeoIP támogatás a hely IP-cím alapján történő meghatározásához.
- Hozzáadott API az RSI (Relative Strength Index) kiszámításához.
- A töredezettség ellenőrzése megtörtént.
- Hozzáadott API az áramlási egyenletesség (jitter) kiszámításához.
- Protokollok és szolgáltatások hozzáadott támogatása: amongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssit Alexa, Siri), Z39.50.
- Az AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP továbbfejlesztett elemzése és észlelése protokollok, RTSP HTTP-n keresztül, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, vezetékvédő.
Forrás: opennet.ru