Il progetto ntop, che sviluppa strumenti per catturare e analizzare il traffico, ha pubblicato il rilascio del toolkit di ispezione approfondita dei pacchetti nDPI 4.0, che continua lo sviluppo della libreria OpenDPI. Il progetto nDPI è stato fondato dopo un tentativo fallito di inviare modifiche al repository OpenDPI, che non è stato mantenuto. Il codice nDPI è scritto in C ed è concesso in licenza sotto LGPLv3.
Il progetto consente di determinare i protocolli a livello di applicazione utilizzati nel traffico, analizzando la natura dell'attività di rete senza essere vincolati alle porte di rete (può determinare protocolli noti i cui gestori accettano connessioni su porte di rete non standard, ad esempio, se http è inviati da una porta diversa dalla porta 80 o, al contrario, quando si tenta di camuffare altre attività di rete come http eseguendole sulla porta 80).
Le differenze rispetto a OpenDPI includono il supporto per protocolli aggiuntivi, il porting sulla piattaforma Windows, l'ottimizzazione delle prestazioni, l'adattamento per l'uso in applicazioni di monitoraggio del traffico in tempo reale (alcune funzionalità specifiche che rallentavano il motore sono state rimosse), la capacità di costruire sotto forma di a Modulo del kernel Linux e supporto per la definizione di sottoprotocolli.
Sono supportate un totale di 247 definizioni di protocolli e applicazioni, da OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec a Telegram, Viber, WhatsApp, PostgreSQL e chiamate a GMail, Office365 GoogleDocs e YouTube. Esiste un decodificatore di certificati SSL server e client che consente di determinare il protocollo (ad esempio Citrix Online e Apple iCloud) utilizzando il certificato di crittografia. L'utilità nDPIreader viene fornita per analizzare il contenuto dei dump pcap o del traffico corrente tramite l'interfaccia di rete.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Protocolli rilevati: Pacchetti DNS: 57 byte: 7904 flussi: 28 Pacchetti SSL_No_Cert: 483 byte: 229203 flussi: 6 Pacchetti FaceBook: 136 byte: 74702 flussi: 4 pacchetti DropBox: 9 byte: 668 flussi: 3 pacchetti Skype: 5 byte: 339 flussi: 3 pacchetti Google: 1700 byte: 619135 flussi: 34
Nella nuova versione:
- Migliorato il supporto ai metodi di analisi del traffico crittografato (ETA - Encrypted Traffic Analysis).
- È stato implementato il supporto per il metodo di identificazione del client JA3+ TLS migliorato, che consente, in base alle funzionalità di negoziazione della connessione e ai parametri specificati, di determinare quale software viene utilizzato per stabilire una connessione (ad esempio, consente di determinare l'uso di Tor e altre applicazioni tipiche). A differenza del metodo JA3 precedentemente supportato, JA3+ presenta meno falsi positivi.
- Il numero di minacce di rete identificate e di problemi associati al rischio di compromissione (rischio di flusso) è stato esteso a 33. Sono stati aggiunti nuovi rilevatori di minacce relativi alla condivisione di desktop e file, traffico HTTP sospetto, JA3 e SHA1 dannosi e accesso a problemi domini e sistemi autonomi, utilizzo di certificati TLS con estensioni sospette o periodo di validità troppo lungo.
- È stata effettuata un'ottimizzazione significativa delle prestazioni: rispetto al ramo 3.0 la velocità di elaborazione del traffico è aumentata di 2.5 volte.
- Aggiunto supporto GeoIP per determinare la posizione tramite indirizzo IP.
- Aggiunta API per il calcolo dell'RSI (Relative Strength Index).
- Sono stati implementati i controlli di frammentazione.
- Aggiunta API per il calcolo dell'uniformità del flusso (jitter).
- Aggiunto supporto per protocolli e servizi: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Analisi e rilevamento dei protocolli migliorati AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP, RTSP tramite HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Fonte: opennet.ru