Progetto , sviluppando strumenti per acquisire e analizzare il traffico, rilascio di strumenti per l'ispezione approfondita dei pacchetti , continuando lo sviluppo della biblioteca . Il progetto nDPI è stato fondato dopo un tentativo fallito di trasferire le modifiche a OpenDPI, che è stato lasciato non accompagnato. Il codice nDPI è scritto in C e concesso in licenza sotto LGPLv3.
Progetto determinare i protocolli a livello di applicazione utilizzati nel traffico, analizzando la natura dell'attività di rete senza essere vincolati alle porte di rete (può identificare protocolli noti i cui gestori accettano connessioni su porte di rete non standard, ad esempio, se http non viene inviato da porta 80 o, al contrario, quando alcuni cercano di camuffare altre attività di rete come http eseguendole sulla porta 80).
Le differenze rispetto a OpenDPI riguardano il supporto per protocolli aggiuntivi, il porting per la piattaforma Windows, l'ottimizzazione delle prestazioni, l'adattamento per l'utilizzo in applicazioni per il monitoraggio del traffico in tempo reale (sono state rimosse alcune funzionalità specifiche che rallentavano il motore),
capacità di assemblaggio sotto forma di modulo del kernel Linux e supporto per la definizione di sottoprotocolli.
Sono supportate in totale 238 definizioni di protocolli e applicazioni, da
OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec su Telegram,
Viber, WhatsApp, PostgreSQL e chiamate a GMail, Office365
GoogleDocs e YouTube. Esiste un decodificatore di certificati SSL server e client che consente di determinare il protocollo (ad esempio Citrix Online e Apple iCloud) utilizzando il certificato di crittografia. L'utilità nDPIreader viene fornita per analizzare il contenuto dei dump pcap o del traffico corrente tramite l'interfaccia di rete.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Protocolli rilevati:
Pacchetti DNS: 57 byte: 7904 flussi: 28
Pacchetti SSL_No_Cert: 483 byte: 229203 flussi: 6
Pacchetti FaceBook: 136 byte: 74702 flussi: 4
Pacchetti DropBox: 9 byte: 668 flussi: 3
Pacchetti Skype: 5 byte: 339 flussi: 3
Pacchetti Google: 1700 byte: 619135 flussi: 34
Nella nuova versione:
- Le informazioni sul protocollo vengono ora visualizzate immediatamente dopo la definizione, senza attendere la ricezione dei metadati completi (anche quando campi specifici non sono stati ancora analizzati a causa della mancata ricezione dei pacchetti di rete corrispondenti), cosa importante per gli analizzatori di traffico che devono immediatamente rispondere a determinati tipi di traffico. Per le applicazioni che richiedono la dissezione completa del protocollo, viene fornita l'API ndpi_extra_dissection_possible() per garantire che tutti i metadati del protocollo siano definiti.
- Implementata un'analisi più approfondita di TLS, estraendo informazioni sulla correttezza del certificato e sull'hash SHA-1 del certificato.
- Nell'applicazione nDPIreader è stato aggiunto il flag "-C" per l'esportazione in formato CSV, che rende possibile l'utilizzo del toolkit aggiuntivo ntop campioni statistici piuttosto complessi. Ad esempio, per determinare l'IP dell'utente che ha guardato film su NetFlix più a lungo:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "seleziona src_ip,SUM(src2dst_bytes+dst2src_bytes) da /tmp/netflix.csv dove ndpi_proto come '%NetFlix%' raggruppa per src_ip"192.168.1.7,6151821
- Aggiunto supporto per quanto proposto in identificare attività dannose nascoste nel traffico crittografato utilizzando la dimensione del pacchetto e l'analisi del tempo/latenza di invio. In ndpiReader, il metodo è attivato dall'opzione "-J".
- Viene fornita la classificazione dei protocolli in categorie.
- Aggiunto supporto per il calcolo IAT (Inter-Arrival Time) per identificare anomalie nell'utilizzo del protocollo, ad esempio, per identificare l'utilizzo del protocollo durante gli attacchi DoS.
- Aggiunte funzionalità di analisi dei dati basate su metriche calcolate come entropia, media, deviazione standard e varianza.
- È stata proposta una versione iniziale dei collegamenti per il linguaggio Python.
- Aggiunta una modalità per rilevare stringhe leggibili nel traffico per rilevare fughe di dati. IN
La modalità ndpiReader è abilitata con l'opzione "-e". - Aggiunto supporto per il metodo di identificazione del client TLS , che consente di determinare, in base alle caratteristiche del coordinamento della connessione e ai parametri specificati, quale software viene utilizzato per stabilire una connessione (ad esempio, consente di determinare l'uso di Tor e altre applicazioni standard).
- Aggiunto il supporto per i metodi per identificare le implementazioni SSH () e DHCP.
- Aggiunte funzioni per serializzare e deserializzare i dati in
Formati tipo-lunghezza-valore (TLV) e JSON. - Aggiunto supporto per protocolli e servizi: DTLS (TLS over UDP),
Hulu,
TikTok/Musical.ly,
Video WhatsApp,
DNS su HTTPS
Risparmio dati
Linea,
Google Duo, Hangout,
WireGuardVPN,
io,
Zoom.us. - Supporto migliorato per analisi TLS, SIP, STUN,
Viper,
WhatsApp,
AmazonVideo,
SnapChat
FTP,
QUIC
OpenVPNUDP,
Facebook Messenger e Hangout.
Fonte: opennet.ru