nDPI 3.0 심층 패킷 검사 가능

계획 엔탑, 트래픽 캡처 및 분석 도구 개발, 출판 심층 패키지 검사 도구 출시 nDPI 3.0, 도서관의 지속적인 개발 오픈DPI. nDPI 프로젝트는 변경 사항을 전송하려는 시도가 실패한 후 설립되었습니다. 저장소 동반되지 않은 OpenDPI. nDPI 코드는 C로 작성되었으며 배포자 LGPLv3에 따라 라이센스가 부여되었습니다.

계획 그것은 수 있습니다 네트워크 포트에 묶이지 않고 네트워크 활동의 특성을 분석하여 트래픽에 사용되는 애플리케이션 수준 프로토콜을 결정합니다. 예를 들어 http가 전송되지 않은 경우 비표준 네트워크 포트에서 연결을 허용하는 핸들러가 있는 잘 알려진 프로토콜을 식별할 수 있습니다. 포트 80을 사용하거나 반대로 다른 네트워크 활동을 포트 80에서 실행하여 http로 위장하려고 하는 경우도 있습니다.

OpenDPI와의 차이점은 추가 프로토콜 지원, Windows 플랫폼 포팅, 성능 최적화, 실시간 트래픽 모니터링을 위한 애플리케이션 사용에 대한 적응(엔진 속도를 늦추는 일부 특정 기능이 제거됨) 등입니다.
Linux 커널 모듈 형태의 어셈블리 기능과 하위 프로토콜 정의 지원.

총 238개의 프로토콜 및 애플리케이션 정의가 지원됩니다.
OpenVPN, Tor, QUIC, SOCKS, BitTorrent 및 IPsec에서 텔레그램으로,
Viber, WhatsApp, PostgreSQL 및 GMail, Office365 호출
GoogleDocs 및 YouTube. 암호화 인증서를 사용하여 프로토콜(예: Citrix Online 및 Apple iCloud)을 확인할 수 있는 서버 및 클라이언트 SSL 인증서 디코더가 있습니다. nDPIreader 유틸리티는 네트워크 인터페이스를 통해 pcap 덤프 내용이나 현재 트래픽을 분석하기 위해 제공됩니다.

$ ./nDPIreader -i eth0 -s 20 -f "호스트 192.168.1.10"

감지된 프로토콜:
DNS 패킷: 57바이트: 7904 흐름: 28
SSL_No_Cert 패킷: 483바이트: 229203 흐름: 6
FaceBook 패킷: 136바이트: 74702 흐름: 4
DropBox 패킷: 9바이트: 668개 흐름: 3
Skype 패킷: 5바이트: 339 흐름: 3
Google 패킷: 1700바이트: 619135 흐름: 34

새 릴리스에서:

• 이제 프로토콜에 대한 정보는 전체 메타데이터가 수신될 때까지 기다리지 않고 정의 즉시 표시됩니다(해당 네트워크 패킷 수신 실패로 인해 특정 필드가 아직 구문 분석되지 않은 경우에도 마찬가지). 이는 즉시 처리해야 하는 트래픽 분석기에 중요합니다. 특정 유형의 트래픽에 응답합니다. 전체 프로토콜 분석이 필요한 애플리케이션의 경우 모든 프로토콜 메타데이터가 정의되었는지 확인하기 위해 ndpi_extra_dissection_possible() API가 제공됩니다.
• TLS의 심층 구문 분석을 구현하여 인증서의 정확성과 인증서의 SHA-1 해시에 대한 정보를 추출했습니다.
• CSV 형식으로 내보내기 위해 nDPIreader 애플리케이션에 "-C" 플래그가 추가되어 추가 ntop 툴킷을 사용할 수 있습니다. 수행하다 매우 복잡한 통계 샘플. 예를 들어, NetFlix에서 영화를 가장 오랫동안 시청한 사용자의 IP를 확인하려면 다음을 수행하세요.

  $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
  $ q -H -d ',' "/tmp/netflix.csv에서 src_ip,SUM(src2dst_bytes+dst2src_bytes)을 선택합니다. 여기서 '%NetFlix%'와 같은 ndpi_proto는 src_ip별로 그룹화됩니다."

  192.168.1.7,6151821

• 제안된 내용에 대한 지원이 추가되었습니다. 시스코 조이 장비 패킷 크기 및 전송 시간/지연 시간 분석을 사용하여 암호화된 트래픽에 숨겨진 악성 활동을 식별합니다. ndpiReader에서 메소드는 "-J" 옵션에 의해 활성화됩니다.
• 프로토콜을 범주로 분류하는 기능이 제공됩니다.
• 예를 들어 DoS 공격 중 프로토콜 사용을 식별하기 위해 프로토콜 사용의 이상을 식별하기 위해 IAT(도착 간 시간) 계산에 대한 지원이 추가되었습니다.
• 엔트로피, 평균, 표준편차, 분산 등 계산된 지표를 기반으로 데이터 분석 기능이 추가되었습니다.
• Python 언어에 대한 바인딩의 초기 버전이 제안되었습니다.
• 데이터 유출을 감지하기 위해 트래픽에서 읽을 수 있는 문자열을 감지하는 모드를 추가했습니다. 안에
  ndpiReader 모드는 "-e" 옵션으로 활성화됩니다.

• TLS 클라이언트 식별 방법에 대한 지원이 추가되었습니다. JA3, 연결 조정의 특성과 지정된 매개변수를 기반으로 연결을 설정하는 데 사용되는 소프트웨어를 결정할 수 있습니다(예를 들어 Tor 및 기타 표준 응용 프로그램의 사용을 결정할 수 있습니다).
• SSH 구현을 식별하는 방법에 대한 지원이 추가되었습니다(해시) 및 DHCP.
• 데이터를 직렬화 및 역직렬화하는 기능이 추가되었습니다.
  TLV(유형-길이-값) 및 JSON 형식.

• 프로토콜 및 서비스에 대한 지원 추가: DTLS(TLS over UDP),
  Hulu,
  TikTok/Musical.ly,
  왓츠앱 비디오,
  DNSoverHTTPS
  데이터 세이버
  선,
  구글 듀오, ​​행아웃,
  와이어가드 VPN,
  아이모,
  Zoom.us.

• TLS, SIP, STUN 분석에 대한 지원이 향상되었습니다.
  바이퍼,
  WhatsApp,
  아마존 비디오,
  스냅챗
  FTP,
  QUIC
  OpenVPN UDP,
  페이스북 메신저와 행아웃.

출처 : opennet.ru