ProHoster > Օրագիր > ինտերնետ նորություններ > Հասանելի է nDPI 3.0 Deep Packet Inspection

Հասանելի է nDPI 3.0 Deep Packet Inspection

Ծրագիր ntopերթևեկությունը ֆիքսելու և վերլուծելու գործիքների մշակում, հրատարակվել գործիքների թողարկում խորը փաթեթի ստուգման համար nDPI 3.0, շարունակելով գրադարանի զարգացումը OpenDPI. nDPI նախագիծը հիմնադրվել է փոփոխությունները փոխանցելու անհաջող փորձից հետո պահոց OpenDPI, որը մնացել է առանց ուղեկցության: nDPI կոդը գրված է C և տարածվում է լիցենզավորված LGPLv3-ի համաձայն:

Ծրագիր թույլ է տալիս որոշել երթևեկության մեջ օգտագործվող հավելվածի մակարդակի արձանագրությունները՝ վերլուծելով ցանցի գործունեության բնույթը՝ առանց ցանցի նավահանգիստների հետ կապվելու (կարող է բացահայտել հայտնի արձանագրությունները, որոնց մշակողները միացումներ են ընդունում ցանցի ոչ ստանդարտ պորտերի վրա, օրինակ՝ եթե http-ը չի ուղարկվում։ նավահանգիստ 80, կամ, ընդհակառակը, երբ ոմանք փորձում են քողարկել ցանցի այլ գործունեությունը որպես http՝ գործարկելով այն 80 նավահանգստում):

OpenDPI-ի տարբերությունները կապված են լրացուցիչ արձանագրությունների աջակցության, Windows պլատֆորմի համար տեղափոխման, կատարողականի օպտիմալացման, իրական ժամանակում երթևեկության մոնիտորինգի համար հավելվածներում օգտագործման հարմարեցման հետ (շարժիչը դանդաղեցնող որոշ առանձնահատկություններ հանվել են),
հավաքման հնարավորություններ Linux միջուկի մոդուլի տեսքով և ենթաարձանագրությունների սահմանման աջակցություն:

Ընդհանուր առմամբ 238 արձանագրության և հավելվածի սահմանումներ են աջակցվում՝ սկսած
OpenVPN, Tor, QUIC, SOCKS, BitTorrent և IPsec դեպի Telegram,
Viber, WhatsApp, PostgreSQL և զանգեր դեպի GMail, Office365
GoogleDocs և YouTube: Կա սերվերի և հաճախորդի SSL վկայագրի ապակոդավորիչ, որը թույլ է տալիս որոշել արձանագրությունը (օրինակ՝ Citrix Online և Apple iCloud)՝ օգտագործելով կոդավորման վկայականը: nDPIreader ծրագիրը տրամադրվում է ցանցային ինտերֆեյսի միջոցով pcap dumps-ի կամ ընթացիկ տրաֆիկի բովանդակությունը վերլուծելու համար:

$ ./nDPIreader -i eth0 -s 20 -f «հյուրընկալող 192.168.1.10»

Հայտնաբերված արձանագրություններ.
DNS փաթեթներ՝ 57 բայթ՝ 7904 հոսք՝ 28
SSL_No_Cert փաթեթներ՝ 483 բայթ՝ 229203 հոսքեր՝ 6
FaceBook փաթեթներ՝ 136 բայթ՝ 74702 հոսք՝ 4
DropBox փաթեթներ՝ 9 բայթ՝ 668 հոսք՝ 3
Skype փաթեթներ՝ 5 բայթ՝ 339 հոսք՝ 3
Google փաթեթներ՝ 1700 բայթ՝ 619135 հոսք՝ 34

Նոր թողարկումում.

  • Արձանագրության մասին տեղեկատվությունը այժմ ցուցադրվում է անմիջապես սահմանումից հետո, առանց սպասելու ամբողջական մետատվյալների ստացմանը (նույնիսկ երբ կոնկրետ դաշտերը դեռ չեն վերլուծվել համապատասխան ցանցային փաթեթները չստանալու պատճառով), ինչը կարևոր է երթևեկության անալիզատորների համար, որոնք պետք է անհապաղ արձագանքել որոշակի տեսակի երթևեկությանը. Ծրագրերի համար, որոնք պահանջում են ամբողջական արձանագրության մասնատում, տրամադրվում է ndpi_extra_dissection_possible() API՝ ապահովելու, որ բոլոր արձանագրությունների մետատվյալները սահմանված են:
  • Իրականացրել է TLS-ի ավելի խորը վերլուծություն՝ ստանալով վկայագրի ճշգրտության և վկայագրի SHA-1 հեշի մասին տեղեկատվություն:
  • «-C» դրոշը ավելացվել է nDPIreader հավելվածում՝ CSV ձևաչափով արտահանման համար, ինչը հնարավորություն է տալիս օգտագործել լրացուցիչ ntop գործիքակազմը: իրականացնել բավական բարդ վիճակագրական նմուշներ։ Օրինակ՝ NetFlix-ում ամենաերկար դիտած օգտատիրոջ IP-ն որոշելու համար.

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "ընտրեք src_ip,SUM(src2dst_bytes+dst2src_bytes) /tmp/netflix.csv-ից, որտեղ ndpi_proto-ն, ինչպիսին է '%NetFlix%' խումբը ըստ src_ip-ի:"

    192.168.1.7,6151821

  • Ավելացվեց աջակցություն նրան, ինչ առաջարկվում էր Cisco Joy տեխնիկները բացահայտելով գաղտնագրված տրաֆիկի մեջ թաքնված վնասակար գործողությունները՝ օգտագործելով փաթեթի չափը և փոխանցման ժամանակը/հետաձգման վերլուծությունը: ndpiReader-ում մեթոդն ակտիվանում է «-J» տարբերակով:
  • Տրված է արձանագրությունների դասակարգում ըստ կատեգորիաների:
  • Ավելացվել է IAT (Inter-Arrival Time) հաշվարկման աջակցություն՝ արձանագրության օգտագործման անոմալիաները որոշելու համար, օրինակ՝ բացահայտելու արձանագրության օգտագործումը DoS հարձակումների ժամանակ:
  • Ավելացվել է տվյալների վերլուծության հնարավորություններ՝ հիմնված հաշվարկված չափումների վրա, ինչպիսիք են էնտրոպիան, միջինը, ստանդարտ շեղումը և շեղումը:
  • Առաջարկվել է Python լեզվի համար կապերի նախնական տարբերակը:
  • Ավելացրել է երթևեկության մեջ ընթեռնելի տողերի հայտնաբերման ռեժիմ՝ տվյալների արտահոսքը հայտնաբերելու համար: IN
    ndpiReader ռեժիմը միացված է «-e» տարբերակով:
  • Ավելացված է աջակցություն TLS հաճախորդի նույնականացման մեթոդին Jaxnumx, որը թույլ է տալիս որոշել կապի համակարգման բնութագրերի և նշված պարամետրերի հիման վրա, թե որ ծրագրաշարն է օգտագործվում կապ հաստատելու համար (օրինակ՝ թույլ է տալիս որոշել Tor-ի և այլ ստանդարտ հավելվածների օգտագործումը):
  • Ավելացված է աջակցություն SSH-ի իրականացման մեթոդներին (ՀԱՍՇ) և DHCP:
  • Ավելացվել են տվյալների սերիականացման և ապասերիալիզացիայի գործառույթներ
    Type-Length-Value (TLV) և JSON ձևաչափեր:
  • Ավելացված աջակցություն արձանագրությունների և ծառայությունների համար՝ DTLS (TLS՝ UDP-ի նկատմամբ),
    Հուլու,
    TikTok/Musical.ly,
    WhatsApp տեսանյութ,
    DNSoverHTTPS
    Տվյալների պահպանում
    Գիծ,
    Google Duo, Hangout,
    WireGuard VPN,
    IMO
    Zoom.us.
  • Բարելավված աջակցություն TLS, SIP, STUN վերլուծության համար,
    viber,
    WhatsApp,
    Amazon Video,
    SnapChat
    FTP,
    QUIC
    OpenVPN UDP,
    Facebook Messenger և Hangout:

Source: opennet.ru