Den ntop Projet, deen Tools entwéckelt fir de Verkéier z'erfaassen an ze analyséieren, huet d'Verëffentlechung vum nDPI 4.0 Deep Packet Inspection Toolkit publizéiert, deen d'Entwécklung vun der OpenDPI Bibliothéik weiderféiert. Den nDPI-Projet gouf gegrënnt no engem net erfollegräiche Versuch fir Ännerunge vum OpenDPI-Repository ze drécken, deen net erhale gelooss gouf. Den nDPI Code ass a C geschriwwe ginn an ass ënner LGPLv3 lizenzéiert.
De Projet erlaabt Iech d'Protokoller op Applikatiounsniveau ze bestëmmen, déi am Traffic benotzt ginn, d'Natur vun der Netzwierkaktivitéit ze analyséieren ouni un Netzwierkhäfen gebonnen ze sinn (et kann bekannte Protokoller bestëmmen, deenen hir Handler Verbindungen op net-Standard Netzwierkporten akzeptéieren, zum Beispill, wann http ass aus engem aneren Hafen wéi den Hafen geschéckt 80, oder, am Géigendeel, wann déi Si probéieren aner Netzwierkaktivitéiten als http ze camoufléiren andeems se op Hafen lafen 80).
D'Ënnerscheeder vun OpenDPI enthalen Ënnerstëtzung fir zousätzlech Protokoller, Porting op d'Windows Plattform, Leeschtungsoptimiséierung, Adaptatioun fir d'Benotzung an Echtzäit Traffic Iwwerwaachungsapplikatiounen (e puer spezifesch Funktiounen, déi de Motor verlangsamt hunn, goufen ewechgeholl), d'Fäegkeet fir a Form vun engem Linux Kernel Modul, an Ënnerstëtzung fir Ënnerprotokoller ze definéieren.
Insgesamt 247 Protokoll- an Applikatiounsdefinitioune ginn ënnerstëtzt, vun OpenVPN, Tor, QUIC, SOCKS, BitTorrent an IPsec bis Telegram, Viber, WhatsApp, PostgreSQL an Uriff op Gmail, Office365 GoogleDocs an YouTube. Et gëtt e Server a Client SSL Zertifikat Decoder deen Iech erlaabt de Protokoll ze bestëmmen (zum Beispill Citrix Online an Apple iCloud) mam Verschlësselungszertifika. Den nDPIreader Utility gëtt geliwwert fir den Inhalt vu pcap Dumps oder aktuellen Traffic iwwer d'Netzwierkinterface ze analyséieren.
$ ./nDPIreader -i eth0 -s 20 -f "Host 192.168.1.10" Detektéiert Protokoller: DNS Pakete: 57 Bytes: 7904 Flëss: 28 SSL_No_Cert Pakete: 483 Bytes: 229203 Flëss: 6 FaceBook Pakete: 136 FaceBook Pakete: 74702 FaceBook Pakete 4 DropBox Pakete: 9 Bytes: 668 Flux: 3 Skype Pakete: 5 Bytes: 339 Flux: 3 Google Pakete: 1700 Bytes: 619135 Flux: 34
An der neier Verëffentlechung:
- Verbesserte Ënnerstëtzung fir verschlësselte Verkéiersanalysemethoden (ETA - Encrypted Traffic Analysis).
- Ënnerstëtzung gouf fir déi verbessert JA3+ TLS Client Identifikatiounsmethod implementéiert, déi et erlaabt, baséiert op de Verbindungsverhandlungsfeatures a spezifizéierte Parameteren, ze bestëmmen, wéi eng Software benotzt gëtt fir eng Verbindung z'etabléieren (zum Beispill, et erlaabt Iech d'Benotzung vun Tor an ze bestëmmen. aner typesch Uwendungen). Am Géigesaz zu der virdru ënnerstëtzter JA3 Method, huet JA3+ manner falsch Positiver.
- D'Zuel vun identifizéierten Netzwierkbedrohungen a Probleemer verbonne mam Risiko vu Kompromëss (Flowrisiko) gouf op 33 erweidert. Domainen an autonom Systemer, d'Benotzung vun TLS Certificaten mat verdächtegen Extensiounen oder ze laang Validitéitsperiod.
- Bedeitend Leeschtungsoptimiséierung gouf duerchgefouert; am Verglach zum Branche 3.0 ass d'Geschwindegkeet vun der Trafficveraarbechtung ëm 2.5 Mol eropgaang.
- GeoIP Ënnerstëtzung bäigefüügt fir d'Plaz per IP Adress ze bestëmmen.
- Added API fir d'Berechnung vum RSI (Relative Strength Index).
- Fragmentatiounskontrolle goufen ëmgesat.
- Added API fir d'Berechnung vun der Flowuniformitéit (Jitter).
- Zousätzlech Ënnerstëtzung fir Protokoller a Servicer: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Verbesserte Parsing an Detektioun vun AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Kontroll, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla Speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP Protokoller , RTSP iwwer HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Source: opennet.ru