Projektas , kuriant įrankius srautui fiksuoti ir analizuoti, įrankių išleidimas giliam pakuotės patikrinimui , tęsiant bibliotekos plėtrą . nDPI projektas buvo įkurtas po nesėkmingo bandymo perkelti pakeitimus į OpenDPI, kuris liko be palydos. nDPI kodas parašytas C ir licencijuota pagal LGPLv3.
Projektas nustatyti sraute naudojamus taikomosios programos lygio protokolus, analizuojant tinklo veiklos pobūdį neprisirišant prie tinklo prievadų (gali nustatyti gerai žinomus protokolus, kurių tvarkytojai priima ryšius nestandartiniuose tinklo prievaduose, pvz., jei http nesiunčiamas iš 80 prievadą arba, atvirkščiai, kai kai kurie bando užmaskuoti kitą tinklo veiklą kaip http, paleisdami ją 80 prievadu).
Skirtumai nuo „OpenDPI“ susiję su papildomų protokolų palaikymu, „Windows“ platformos perkėlimu, našumo optimizavimu, pritaikymu naudoti srauto stebėjimo programose realiuoju laiku (pašalintos kai kurios specifinės funkcijos, kurios sulėtino variklį),
surinkimo galimybės Linux branduolio modulio pavidalu ir palaikymas apibrėžiant antrinius protokolus.
Iš viso palaikomi 238 protokolų ir programų apibrėžimai
„OpenVPN“, „Tor“, „QUIC“, „SOCKS“, „BitTorrent“ ir „IPsec“ į „Telegram“,
„Viber“, „WhatsApp“, „PostgreSQL“ ir skambučiai į „GMail“, „Office365“.
GoogleDocs ir YouTube. Yra serverio ir kliento SSL sertifikato dekoderis, leidžiantis nustatyti protokolą (pvz., Citrix Online ir Apple iCloud) naudojant šifravimo sertifikatą. Pateikiama „nDPIreader“ programa, skirta analizuoti „pcap“ išmetimų turinį arba esamą srautą per tinklo sąsają.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Aptikti protokolai:
DNS paketai: 57 baitai: 7904 srautai: 28
SSL_No_Cert paketai: 483 baitai: 229203 srautai: 6
FaceBook paketai: 136 baitai: 74702 srautai: 4
DropBox paketai: 9 baitai: 668 srautai: 3
„Skype“ paketai: 5 baitai: 339 srautai: 3
„Google“ paketai: 1700 baitų: 619135 srautai: 34
Naujame leidime:
- Informacija apie protokolą dabar rodoma iškart po apibrėžimo, nelaukiant, kol bus gauti visi metaduomenys (net kai konkretūs laukai dar nebuvo išanalizuoti, nes nepavyko gauti atitinkamų tinklo paketų), o tai svarbu srauto analizatoriams, kuriems reikia nedelsiant reaguoti į tam tikro tipo eismą. Programoms, kurioms reikalingas visiškas protokolo išskaidymas, pateikiama ndpi_extra_dissection_possible() API, užtikrinanti, kad visi protokolo metaduomenys būtų apibrėžti.
- Įdiegtas gilesnis TLS analizavimas, išgaunant informaciją apie sertifikato teisingumą ir sertifikato SHA-1 maišą.
- „-C“ vėliavėlė buvo pridėta prie „nDPIreader“ programos, skirtos eksportuoti CSV formatu, todėl galima naudoti papildomą „ntop“ įrankių rinkinį gana sudėtingos statistinės imtys. Pavyzdžiui, norėdami nustatyti vartotojo, kuris ilgiausiai žiūrėjo filmus „NetFlix“, IP:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "pasirinkite src_ip,SUM(src2dst_bytes+dst2src_bytes) iš /tmp/netflix.csv, kur ndpi_proto kaip '%NetFlix%' sugrupuoja pagal src_ip"192.168.1.7,6151821
- Pridėta parama tam, kas buvo pasiūlyta kenkėjiškos veiklos, paslėptos užšifruotame sraute, nustatymas naudojant paketo dydį ir siuntimo laiko / delsos analizę. „ndpiReader“ metodas suaktyvinamas pasirinkus „-J“.
- Pateikiamas protokolų klasifikavimas į kategorijas.
- Pridėtas palaikymas skaičiuojant IAT (tarp atvykimo laiką), kad būtų galima nustatyti protokolo naudojimo anomalijas, pavyzdžiui, siekiant nustatyti protokolo naudojimą per DoS atakas.
- Pridėtos duomenų analizės galimybės, pagrįstos apskaičiuotomis metrikomis, tokiomis kaip entropija, vidurkis, standartinis nuokrypis ir dispersija.
- Buvo pasiūlyta pradinė Python kalbos susiejimo versija.
- Pridėtas skaitomų eilučių sraute aptikimo režimas, siekiant aptikti duomenų nutekėjimą. IN
ndpiReader režimas įjungtas su „-e“ parinktimi. - Pridėtas TLS kliento identifikavimo metodo palaikymas , kuri leidžia pagal ryšio koordinavimo charakteristikas ir nurodytus parametrus nustatyti, kokia programinė įranga naudojama ryšiui užmegzti (pavyzdžiui, leidžia nustatyti Tor ir kitų standartinių programų naudojimą).
- Pridėtas palaikymas SSH diegimų identifikavimo metodams () ir DHCP.
- Pridėtos funkcijos, skirtos duomenų serializavimui ir serializavimui
Tipas-ilgis-reikšmė (TLV) ir JSON formatai. - Pridėtas protokolų ir paslaugų palaikymas: DTLS (TLS per UDP),
hulu,
TikTok/Musical.ly,
„WhatsApp“ vaizdo įrašas,
DNSoverHTTPS
Duomenų užsklanda
linija,
„Google Duo“, „Hangout“,
„WireGuard“ VPN,
TJO,
Zoom.us. - Pagerintas TLS, SIP, STUN analizės palaikymas,
„Viber“,
WhatsApp
„Amazon“ vaizdo įrašas,
SnapChat
ftp,
QUIC
OpenVPN UDP,
„Facebook Messenger“ ir „Hangout“.
Šaltinis: opennet.ru
