Жоба трафикті түсіру және талдау үшін құралдарды әзірлейтін, терең қаптаманы тексеру құралын шығару , кітапхананың дамуын жалғастыру . nDPI жобасы өзгертулер енгізудің сәтсіз әрекетінен кейін құрылды Жетексіз қалдырылған OpenDPI. nDPI коды C және тілінде жазылған LGPLv3 бойынша лицензияланған.
Жоба желілік порттарға сілтемесіз желі әрекетінің сипатын талдау арқылы трафикте қолданылатын қолданбалы деңгейдегі хаттамаларды анықтау (өңдеушілер стандартты емес желілік порттардағы қосылымдарды қабылдайтын белгілі протоколдарды анықтай алады, мысалы, http 80 порттан жіберілмесе немесе , керісінше, кейбіреулер басқа желілік әрекетті 80 портында іске қосу арқылы http ретінде жасыруға тырысқанда).
OpenDPI айырмашылығы қосымша хаттамаларды қолдауға, Windows платформасына портингке, өнімділікті оңтайландыруға, нақты уақыттағы трафикті бақылау қолданбаларында қолдануға бейімделуге (қозғалтқышты баяулататын кейбір ерекше мүмкіндіктер жойылды),
Linux ядросының модулі түріндегі құрастыру мүмкіндіктері және ішкі хаттамаларды анықтауға қолдау көрсету.
Барлығы 238 протокол мен қолданба анықтамаларына қолдау көрсетіледі
OpenVPN, Tor, QUIC, SOCKS, BitTorrent және Telegram-қа IPsec,
Viber, WhatsApp, PostgreSQL және GMail, Office365 қызметіне қоңыраулар
GoogleDocs және YouTube. Шифрлау сертификатын пайдалана отырып, хаттаманы (мысалы, Citrix Online және Apple iCloud) анықтауға мүмкіндік беретін сервер мен клиенттің SSL сертификатының декодері бар. nDPIreader утилитасы pcap демптерінің мазмұнын немесе желі интерфейсі арқылы ағымдағы трафикті талдау үшін жеткізіледі.
$ ./nDPIreader -i eth0 -s 20 -f "хост 192.168.1.10"
Анықталған хаттамалар:
DNS пакеттері: 57 байт: 7904 ағыны: 28
SSL_No_Cert пакеттері: 483 байт: 229203 ағыны: 6
Facebook пакеттері: 136 байт: 74702 ағыны: 4
DropBox пакеттері: 9 байт: 668 ағын: 3
Skype пакеттері: 5 байт: 339 ағын: 3
Google пакеттері: 1700 байт: 619135 ағыны: 34
Жаңа шығарылымда:
- Протокол туралы ақпарат енді анықталған кезде толық метадеректерді алуды күтпей-ақ бірден көрсетіледі (тіпті сәйкес желі пакеттерінің алынбауына байланысты нақты өрістер әлі талданбаған болса да), бұл дереу жауап беруі қажет трафик анализаторлары үшін маңызды. трафиктің белгілі бір түрлеріне. Толық протоколды бөлуді қажет ететін қолданбалар үшін ndpi_extra_dissection_possible() API протоколының барлық метадеректері анықталғанына көз жеткізу үшін беріледі.
- Сертификаттың дұрыстығы және сертификаттың SHA-1 хэші туралы ақпаратты алу арқылы TLS тереңірек талдау жүргізілді.
- "-C" жалаушасы nDPIreader қолданбасына CSV пішімінде экспорттау үшін қосылды, бұл қосымша ntop құралдар жинағын пайдалануды мүмкін етеді. өте күрделі статистикалық үлгілер. Мысалы, NetFlix-те фильмдерді ең ұзақ көрген пайдаланушының IP-ін анықтау үшін:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "/tmp/netflix.csv ішінен src_ip,SUM(src2dst_bytes+dst2src_bytes) таңдаңыз, мұнда ndpi_proto src_ip бойынша '%NetFlix%' тобы сияқты"192.168.1.7,6151821
- Қолдау ұсынылған пакет өлшемін пайдалана отырып, шифрланған трафикте жасырылған зиянды әрекетті анықтау және жіберу уақыты/кідіріс талдауы. NdpiReader бағдарламасында әдіс "-J" опциясымен белсендірілген.
- Хаттамаларды санаттар бойынша жіктеу қарастырылған.
- Хаттаманы пайдаланудағы ауытқуларды анықтау үшін, мысалы, DoS шабуылдары кезінде хаттаманы пайдалануды анықтау үшін IAT (Inter-Arrival Time) есептеуге қолдау қосылды.
- Энтропия, орташа, стандартты ауытқу және дисперсия сияқты есептелген көрсеткіштерге негізделген деректерді талдау мүмкіндіктері қосылды.
- Python тілі үшін байланыстырудың бастапқы нұсқасы ұсынылған.
- Деректердің ағып кетуін анықтау үшін трафиктегі оқылатын сызықтарды анықтау режимі қосылды. IN
ndpiReader режимі "-e" опциясымен қосылған. - TLS клиентінің сәйкестендіру әдісіне қолдау қосылды , бұл қосылу келіссөздерінің ерекшеліктеріне және көрсетілген параметрлерге сүйене отырып, қосылымды орнату үшін қандай бағдарламалық құрал пайдаланылатынын анықтауға мүмкіндік береді (мысалы, ол Tor және басқа типтік қолданбаларды пайдалануды анықтауға мүмкіндік береді).
- SSH енгізу сәйкестендіру әдістеріне қолдау қосылды () және DHCP.
- Деректерді сериялауға және сериядан шығаруға арналған функциялар қосылды
Type-Length-Value (TLV) және JSON пішімдері. - Хаттамалар мен қызметтерге қосымша қолдау: DTLS (UDP арқылы TLS),
Хулу,
TikTok/Musical.ly,
Whatsapp бейне,
DNSoverHTTPS
деректерді сақтаушы,
түзу,
Google Duo, Hangout,
wireGuard VPN,
ХМО,
zoom.us. - TLS, SIP, STUN талдауларына жақсартылған қолдау,
вибер,
WhatsApp,
amazonvideo,
snapchat,
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger және Hangout.
Ақпарат көзі: opennet.ru