Projekts ntop, kas izstrādā rīkus trafika uztveršanai un analīzei, ir publicējis nDPI 4.0 dziļās pakešu pārbaudes rīku komplekta izlaidumu, kas turpina OpenDPI bibliotēkas attīstību. nDPI projekts tika dibināts pēc neveiksmīga mēģinājuma virzīt izmaiņas OpenDPI repozitorijā, kas palika neapkopta. nDPI kods ir rakstīts C valodā un ir licencēts saskaņā ar LGPLv3.
Projekts ļauj noteikt trafikā izmantotos lietojumprogrammu līmeņa protokolus, analizējot tīkla darbības raksturu, nesaistot tos ar tīkla portiem (var noteikt zināmus protokolus, kuru apstrādātāji pieņem savienojumus nestandarta tīkla portos, piemēram, ja http ir nosūtīts no porta, kas nav ports 80, vai, gluži pretēji, kad viņi mēģina maskēt citu tīkla darbību kā http, palaižot to portā 80).
Atšķirības no OpenDPI ietver papildu protokolu atbalstu, pārnešanu uz Windows platformu, veiktspējas optimizāciju, pielāgošanu izmantošanai reāllaika satiksmes uzraudzības lietojumprogrammās (tika noņemtas dažas specifiskas funkcijas, kas palēnināja dzinēja darbību), iespēja veidot Linux kodola modulis un atbalsts apakšprotokolu definēšanai.
Kopā tiek atbalstītas 247 protokolu un lietojumprogrammu definīcijas, sākot no OpenVPN, Tor, QUIC, SOCKS, BitTorrent un IPsec līdz Telegram, Viber, WhatsApp, PostgreSQL un zvaniem uz Gmail, Office365 GoogleDocs un YouTube. Ir servera un klienta SSL sertifikāta dekodētājs, kas ļauj noteikt protokolu (piemēram, Citrix Online un Apple iCloud), izmantojot šifrēšanas sertifikātu. Tiek piegādāta nDPIreader utilīta, lai analizētu pcap izgāztuvju saturu vai pašreizējo trafiku, izmantojot tīkla interfeisu.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Atklātie protokoli: DNS paketes: 57 baiti: 7904 plūsmas: 28 SSL_No_Cert paketes: 483 baiti: 229203 plūsmas 6 bytes: Face 136 packets 74702 by: : 4 DropBox paketes: 9 baiti: 668 plūsmas: 3 Skype paketes: 5 baiti: 339 plūsmas: 3 Google paketes: 1700 baiti: 619135 plūsmas: 34
Jaunajā laidienā:
- Uzlabots atbalsts šifrētām trafika analīzes metodēm (ETA — Encrypted Traffic Analysis).
- Ir ieviests atbalsts uzlabotajai JA3+ TLS klienta identifikācijas metodei, kas ļauj, pamatojoties uz savienojuma sarunu iespējām un norādītajiem parametriem, noteikt, kura programmatūra tiek izmantota savienojuma izveidošanai (piemēram, tā ļauj noteikt Tor lietojumu un citi tipiski lietojumi). Atšķirībā no iepriekš atbalstītās JA3 metodes, JA3+ ir mazāk viltus pozitīvu rezultātu.
- Identificēto tīkla draudu un problēmu skaits, kas saistītas ar kompromitēšanas risku (plūsmas risks), ir palielināts līdz 33. Ir pievienoti jauni draudu detektori, kas saistīti ar darbvirsmas un failu koplietošanu, aizdomīgu HTTP trafiku, ļaunprātīgu JA3 un SHA1, kā arī piekļuvi problemātiskiem. domēni un autonomās sistēmas, TLS sertifikātu izmantošana ar aizdomīgiem paplašinājumiem vai pārāk garš derīguma termiņš.
- Veikta būtiska veiktspējas optimizācija, salīdzinot ar 3.0 atzaru, trafika apstrādes ātrums ir pieaudzis 2.5 reizes.
- Pievienots GeoIP atbalsts atrašanās vietas noteikšanai pēc IP adreses.
- Pievienots API RSI (relative Strength Index) aprēķināšanai.
- Ir ieviestas sadrumstalotības kontroles.
- Pievienots API plūsmas vienmērīguma (trīces) aprēķināšanai.
- Pievienots atbalsts protokoliem un pakalpojumiem: amongUs, AVAST SecureDNS, CPHA (CheckPoint augstas pieejamības protokols), DisneyPlus, DTLS, Genshin Impact, HP virtuālās mašīnas grupas pārvaldība (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant Alexa, Siri), Z39.50.
- Uzlabota AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC, RTSP parsēšana un noteikšana. protokoli, RTSP, izmantojot HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, vadu aizsargs.
Avots: opennet.ru