Proyek kasebut , sing ngembangake alat kanggo njupuk lan nganalisa lalu lintas, release saka toolkit inspeksi paket jero , nerusake pangembangan perpustakaan . Proyèk nDPI didegaké sawisé upaya sing gagal kanggo nglakoni owah-owahan OpenDPI, sing ditinggal tanpa diiringi. Kode nDPI ditulis ing C lan dilisensi ing LGPLv3.
Proyek kasebut nemtokake protokol tingkat aplikasi sing digunakake ing lalu lintas kanthi nganalisa sifat aktivitas jaringan tanpa referensi menyang port jaringan (bisa nemtokake protokol sing dikenal sing pawang nampa sambungan ing port jaringan non-standar, contone, yen http ora dikirim saka port 80, utawa , Kosok baline, nalika sawetara padha nyoba kanggo kamuflase kegiatan jaringan liyane minangka http dening mbukak ing port 80).
Bedane saka OpenDPI mudhun kanggo ndhukung protokol tambahan, porting kanggo platform Windows, optimalisasi kinerja, adaptasi kanggo digunakake ing aplikasi ngawasi lalu lintas wektu nyata (sawetara fitur spesifik sing nyuda mesin wis dibusak),
kemampuan perakitan ing wangun modul kernel Linux lan dhukungan kanggo nemtokake subprotokol.
Total 238 protokol lan definisi aplikasi didhukung, saka
OpenVPN, Tor, QUIC, SOCKS, BitTorrent lan IPsec kanggo Telegram,
Viber, WhatsApp, PostgreSQL lan telpon menyang Gmail, Office365
GoogleDocs lan YouTube. Ana dekoder sertifikat SSL server lan klien sing ngidini sampeyan nemtokake protokol (contone, Citrix Online lan Apple iCloud) nggunakake sertifikat enkripsi. Utilitas nDPIreader diwenehake kanggo nganalisa isi pcap dumps utawa lalu lintas saiki liwat antarmuka jaringan.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Protokol sing dideteksi:
Paket DNS: 57 byte: 7904 alur: 28
Paket SSL_No_Cert: 483 byte: 229203 alur: 6
Paket Facebook: 136 byte: 74702 alur: 4
Paket DropBox: 9 byte: 668 alur: 3
Paket Skype: 5 byte: 339 alur: 3
Paket Google: 1700 byte: 619135 alur: 34
Ing release anyar:
- Informasi protokol saiki ditampilake langsung nalika dideteksi, tanpa ngenteni metadata lengkap ditampa (sanajan kolom tartamtu durung diurai amarga ora ditampa paket jaringan sing cocog), sing penting kanggo penganalisis lalu lintas sing kudu langsung nanggapi. menyang jinis lalu lintas tartamtu. Kanggo aplikasi sing mbutuhake dissection protokol lengkap, kasedhiya ndpi_extra_dissection_possible () API kanggo mesthekake yen kabeh metadata protokol ditetepake.
- Ngleksanakake analisis TLS sing luwih jero kanthi ekstraksi informasi babagan kabeneran sertifikat lan hash SHA-1 sertifikat kasebut.
- Gendéra "-C" wis ditambahake menyang aplikasi nDPIreader kanggo ngekspor ing format CSV, sing ngidini, nggunakake toolkit ntop tambahan sampel statistik cukup rumit. Contone, kanggo nemtokake IP pangguna sing paling dawa nonton film ing NetFlix:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "pilih src_ip,SUM(src2dst_bytes+dst2src_bytes) saka /tmp/netflix.csv ngendi ndpi_proto kaya grup '%NetFlix%' dening src_ip"192.168.1.7,6151821
- Dhukungan ditambahake disaranake ing ngenali kegiatan angkoro didhelikake ing lalu lintas ndhelik nggunakake ukuran paket lan ngirim analisis wektu / tundha. Ing ndpiReader, metode kasebut diaktifake kanthi pilihan "-J".
- Klasifikasi protokol miturut kategori diwenehake.
- Dhukungan ditambahake kanggo ngitung IAT (Inter-Arrival Time) kanggo ndeteksi anomali ing panggunaan protokol, contone, kanggo ndeteksi panggunaan protokol sajrone serangan DoS.
- Kapabilitas analisis data sing ditambahake adhedhasar metrik sing diwilang kayata entropi, rata-rata, standar deviasi, lan varian.
- Versi awal bindings kanggo basa Python ngajokaken.
- Nambahake mode kanggo ndeteksi garis sing bisa diwaca ing lalu lintas kanggo ndeteksi bocor data. ING
Mode ndpiReader diaktifake kanthi pilihan "-e". - Dhukungan tambahan kanggo metode identifikasi klien TLS , sing ngidini, adhedhasar fitur rembugan sambungan lan paramèter sing ditemtokake, kanggo nemtokake piranti lunak sing digunakake kanggo nggawe sambungan (contone, ngidini sampeyan nemtokake panggunaan Tor lan aplikasi khas liyane).
- Dhukungan tambahan kanggo metode identifikasi implementasi SSH () lan DHCP.
- Ditambahake fungsi kanggo serializing lan deserializing data ing
Format Type-Length-Value (TLV) lan JSON. - Dhukungan tambahan kanggo protokol lan layanan: DTLS (TLS liwat UDP),
hulu,
TikTok/Musical.ly,
Video Whatsapp,
DNSoverHTTPS
data saver,
baris,
Google Duo, Hangout,
wireGuard VPN,
imo,
zoom.us. - Dhukungan sing luwih apik kanggo analisis TLS, SIP, STUN,
viber,
Tampilan Whatsapp,
video amazon,
snapchat,
ftp,
QUIK
OpenVPN UDP,
Facebook Messenger lan Hangout.
Source: opennet.ru