nDPI 3.0ディープパケットインスペクションが利用可能

プロジェクト ntopトラフィックをキャプチャして分析するためのツールを開発しています。 опубликовал ディープパッケージ検査ツールキットのリリース nDPI 3.0、ライブラリの開発を継続 オープン DPI。 nDPI プロジェクトは、変更をコミットしようとして失敗した後に設立されました。 リポジトリ そのまま放置されていたOpenDPI。 nDPI コードは C で書かれており、 によって配布 LGPLv3 に基づいてライセンスされています。

プロジェクト 許可する ネットワーク ポートを参照せずにネットワーク アクティビティの性質を分析することで、トラフィックで使用されるアプリケーション レベルのプロトコルを決定します (たとえば、http がポート 80 から送信されない場合など、非標準のネットワーク ポートでの接続をハンドラーが受け入れる既知のプロトコルを決定できます)。逆に、ポート 80 で起動して他のネットワーク アクティビティを http として偽装しようとする場合もあります)。

OpenDPI との違いは、追加プロトコルのサポート、Windows プラットフォームへの移植、パフォーマンスの最適化、リアルタイム トラフィック監視アプリケーションでの使用への適応 (エンジンの速度を低下させるいくつかの特定の機能は削除されました) になります。
Linux カーネル モジュールの形式でのアセンブリ機能と、サブプロトコルの定義のサポート。

合計 238 のプロトコルおよびアプリケーション定義がサポートされています。
OpenVPN、Tor、QUIC、SOCKS、BitTorrent、および IPsec から Telegram、
Viber、WhatsApp、PostgreSQL、および GMail、Office365 への通話
GoogleドキュメントとYouTube。 サーバーおよびクライアントの SSL 証明書デコーダがあり、暗号化証明書を使用してプロトコル (Citrix Online や Apple iCloud など) を決定できます。 nDPIreader ユーティリティは、pcap ダンプの内容やネットワーク インターフェイスを介した現在のトラフィックを分析するために提供されています。

$ ./nDPIreader -i eth0 -s 20 -f "ホスト 192.168.1.10"

検出されたプロトコル:
DNS パケット: 57 バイト: 7904 フロー: 28
SSL_No_Cert パケット: 483 バイト: 229203 フロー: 6
FaceBook パケット: 136 バイト: 74702 フロー: 4
DropBox パケット: 9 バイト: 668 フロー: 3
Skype パケット: 5 バイト: 339 フロー: 3
Google パケット: 1700 バイト: 619135 フロー: 34

新しいリリースでは:

• プロトコル情報は、完全なメタデータの受信を待たずに（対応するネットワーク パケットが受信されないために特定のフィールドがまだ解析されていない場合でも）、検出後すぐに表示されるようになりました。これは、即時に応答する必要があるトラフィック アナライザーにとって重要です。特定の種類のトラフィックに適用されます。 完全なプロトコル分析が必要なアプリケーションの場合、すべてのプロトコル メタデータが確実に定義されるように ndpi_extra_dissection_possible() API が提供されます。
• 証明書の正確性と証明書の SHA-1 ハッシュに関する情報を抽出する、TLS のより詳細な分析を実装しました。
• CSV 形式でエクスポートするための「-C」フラグが nDPIreader アプリケーションに追加されました。これにより、追加の ntop ツールキットを使用してエクスポートが可能になります。 実施する かなり複雑な統計サンプル。 たとえば、NetFlix で映画を最も長く視聴したユーザーの IP を特定するには、次のようにします。

  $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
  $ q -H -d ',' "src_ip,SUM(src2dst_bytes+dst2src_bytes) を /tmp/netflix.csv から選択します。ここで、ndpi_proto は '%NetFlix%' のように src_ip でグループ化されています"

  192.168.1.7,6151821

• で提案されているサポートを追加しました シスコジョイ 機器 パケット サイズと送信時間/遅延分析を使用して、暗号化されたトラフィックに隠された悪意のあるアクティビティを特定します。 ndpiReader では、このメソッドは「-J」オプションでアクティブ化されます。
• カテゴリごとのプロトコルの分類が提供されます。
• たとえば、DoS 攻撃中のプロトコルの使用を検出するために、プロトコルの使用における異常を検出するための IAT (到着間隔) の計算のサポートが追加されました。
• エントロピー、平均、標準偏差、分散などの計算されたメトリクスに基づくデータ分析機能が追加されました。
• Python 言語のバインディングの初期バージョンが提案されています。
• データ漏洩を検出するために、トラフィック内の読み取り可能な行を検出するモードを追加しました。 で
  ndpiReader モードは、「-e」オプションで有効になります。

• TLS クライアント識別方法のサポートを追加しました JA3これにより、接続ネゴシエーションの機能と指定されたパラメーターに基づいて、接続の確立にどのソフトウェアが使用されるかを決定できます (たとえば、Tor やその他の一般的なアプリケーションの使用を決定できます)。
• SSH実装識別方法のサポートを追加しました(ハッシー) と DHCP。
• データをシリアル化および逆シリアル化する関数を追加しました。
  Type-Length-Value (TLV) および JSON 形式。

• プロトコルとサービスのサポートを追加しました: DTLS (TLS over UDP)、
  Hulu、
  TikTok/Musical.ly、
  Whatsappビデオ、
  DNSoverHTTPS、
  データセーバー、
  ライン、
  Google Duo、ハングアウト、
  ワイヤーガードVPN、
  IMO、
  ズーム.us.

• TLS、SIP、STUN 分析のサポートの向上
  Viber、
  WhatsApp、
  アマゾンビデオ、
  スナップチャット、
  FTP、
  QUIC
  OpenVPN UDP、
  Facebook メッセンジャーとハングアウト。

出所： オープンネット.ru