Project , þróa verkfæri til að fanga og greina umferð, losun verkfæra fyrir djúpa pakkaskoðun , áframhaldandi uppbyggingu bókasafnsins . nDPI verkefnið var stofnað eftir árangurslausa tilraun til að flytja breytingar á OpenDPI, sem var skilið eftir án fylgdar. nDPI kóðinn er skrifaður í C og leyfi samkvæmt LGPLv3.
Project ákvarða samskiptareglur á forritastigi sem notaðar eru í umferðinni, greina eðli netvirkni án þess að vera bundin við nettengi (getur greint vel þekktar samskiptareglur þar sem umsjónarmenn samþykkja tengingar á óstöðluðum netgáttum, til dæmis ef http er ekki sent frá port 80, eða öfugt, þegar sumir reyna að fela aðra netvirkni sem http með því að keyra það á port 80).
Mismunur frá OpenDPI kemur niður á stuðningi við viðbótarsamskiptareglur, flutning fyrir Windows vettvang, hagræðingu afkasta, aðlögun til notkunar í forritum til að fylgjast með umferð í rauntíma (sumir sérstakir eiginleikar sem hægðu á vélinni hafa verið fjarlægðir),
samsetningargetu í formi Linux kjarnaeininga og stuðning til að skilgreina undirsamskiptareglur.
Alls eru 238 samskiptareglur og skilgreiningar á forritum studdar, frá
OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram,
Viber, WhatsApp, PostgreSQL og símtöl í Gmail, Office365
GoogleDocs og YouTube. Það er SSL vottorðsafkóðari fyrir netþjón og viðskiptavin sem gerir þér kleift að ákvarða samskiptareglur (til dæmis Citrix Online og Apple iCloud) með því að nota dulkóðunarvottorðið. nDPIreader tólið er til staðar til að greina innihald pcap dumpa eða núverandi umferð um netviðmótið.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Uppgötvuð samskiptareglur:
DNS pakkar: 57 bæti: 7904 flæði: 28
SSL_No_Cert pakkar: 483 bæti: 229203 flæði: 6
FaceBook pakkar: 136 bæti: 74702 flæði: 4
DropBox pakkar: 9 bæti: 668 flæði: 3
Skype pakkar: 5 bæti: 339 flæði: 3
Google pakkar: 1700 bæti: 619135 flæði: 34
Í nýju útgáfunni:
- Upplýsingar um samskiptareglur birtast nú strax við skilgreiningu, án þess að bíða eftir að full lýsigögn berist (jafnvel þegar tilteknir reitir hafa ekki enn verið flokkaðir vegna þess að ekki tókst að taka á móti samsvarandi netpakka), sem er mikilvægt fyrir umferðargreiningartæki sem þurfa strax bregðast við ákveðnum tegundum umferðar. Fyrir forrit sem krefjast fullrar samskiptagreiningar er ndpi_extra_dissection_possible() API útvegað til að tryggja að öll samskiptalýsigögn séu skilgreind.
- Innleiddi dýpri þáttun TLS, dregur út upplýsingar um réttmæti vottorðsins og SHA-1 kjötkássa vottorðsins.
- "-C" fánanum hefur verið bætt við nDPIreader forritið til útflutnings á CSV sniði, sem gerir það mögulegt að nota viðbótar ntop verkfærakistuna nokkuð flókið tölfræðileg úrtök. Til dæmis, til að ákvarða IP notandans sem horfði lengst á kvikmyndir á NetFlix:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "veljið src_ip,SUM(src2dst_bytes+dst2src_bytes) frá /tmp/netflix.csv þar sem ndpi_proto eins og '%NetFlix%' flokkar eftir src_ip"192.168.1.7,6151821
- Bætti við stuðningi við það sem lagt var til í að bera kennsl á skaðsemi sem er falin í dulkóðuðu umferð með því að nota pakkastærð og greiningu á sendingartíma/leynd. Í ndpiReader er aðferðin virkjuð með „-J“ valkostinum.
- Flokkun samskiptareglna í flokka er veitt.
- Bætti við stuðningi við útreikning á IAT (Inter-Arrival Time) til að bera kennsl á frávik í samskiptareglum, til dæmis til að bera kennsl á notkun samskiptareglunnar við DoS árásir.
- Bætt við gagnagreiningarmöguleika byggða á reiknuðum mæligildum eins og óreiðu, meðaltali, staðalfráviki og dreifni.
- Upphafleg útgáfa af bindingum fyrir Python tungumálið hefur verið lögð til.
- Bætt við ham til að greina læsilega strengi í umferð til að greina gagnaleka. IN
ndpiReader háttur er virkur með „-e“ valkostinum. - Bætti við stuðningi við auðkenningaraðferð TLS viðskiptavinar , sem gerir þér kleift að ákvarða, byggt á eiginleikum samhæfingar tenginga og tilgreindra breytur, hvaða hugbúnaður er notaður til að koma á tengingu (til dæmis gerir það þér kleift að ákvarða notkun Tor og annarra staðlaðra forrita).
- Bætti við stuðningi við aðferðir til að bera kennsl á SSH útfærslur () og DHCP.
- Bætt við aðgerðum til að raðgreina og afserða gögnum inn
Type-Length-Value (TLV) og JSON snið. - Bætt við stuðningi við samskiptareglur og þjónustu: DTLS (TLS yfir UDP),
hulu,
TikTok/Musical.ly,
WhatsApp myndband,
DNSoverHTTPS
Gagnasparnaður
Lína,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Bættur stuðningur við TLS, SIP, STUN greiningu,
viber,
WhatsApp,
Amazon myndband,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger og Hangout.
Heimild: opennet.ru