Projek ntop, yang membangunkan alatan untuk menangkap dan menganalisis trafik, telah menerbitkan keluaran kit alat pemeriksaan paket dalam nDPI 4.0, yang meneruskan pembangunan perpustakaan OpenDPI. Projek nDPI diasaskan selepas percubaan yang tidak berjaya untuk menolak perubahan pada repositori OpenDPI, yang tidak diselenggara. Kod nDPI ditulis dalam C dan dilesenkan di bawah LGPLv3.
Projek ini membolehkan anda menentukan protokol peringkat aplikasi yang digunakan dalam trafik, menganalisis sifat aktiviti rangkaian tanpa terikat pada port rangkaian (ia boleh menentukan protokol yang diketahui yang pengendalinya menerima sambungan pada port rangkaian bukan standard, contohnya, jika http adalah dihantar daripada port selain daripada port 80, atau, sebaliknya, apabila mereka cuba menyamarkan aktiviti rangkaian lain sebagai http dengan menjalankannya pada port 80).
Perbezaan daripada OpenDPI termasuk sokongan untuk protokol tambahan, pemindahan ke platform Windows, pengoptimuman prestasi, penyesuaian untuk digunakan dalam aplikasi pemantauan trafik masa nyata (beberapa ciri khusus yang memperlahankan enjin telah dialih keluar), keupayaan untuk membina dalam bentuk Modul kernel Linux, dan sokongan untuk mentakrifkan subprotokol .
Sebanyak 247 protokol dan definisi aplikasi disokong, daripada OpenVPN, Tor, QUIC, SOCKS, BitTorrent dan IPsec kepada Telegram, Viber, WhatsApp, PostgreSQL dan panggilan ke GMail, Office365 GoogleDocs dan YouTube. Terdapat penyahkod sijil SSL pelayan dan pelanggan yang membolehkan anda menentukan protokol (contohnya, Citrix Online dan Apple iCloud) menggunakan sijil penyulitan. Utiliti nDPIreader dibekalkan untuk menganalisis kandungan pembuangan pcap atau trafik semasa melalui antara muka rangkaian.
$ ./nDPIreader -i eth0 -s 20 -f "hos 192.168.1.10" Protokol yang dikesan: Paket DNS: 57 bait: 7904 aliran: 28 SSL_No_Cert paket: 483 bait: 229203 aliran mengikut: 6 FaceBook 136 paket: 74702 alir: 4 FaceBook 9 668 paket DropBox: 3 bait: 5 aliran: 339 paket Skype: 3 bait: 1700 aliran: 619135 paket Google: 34 bait: XNUMX aliran: XNUMX
Dalam keluaran baharu:
- Sokongan yang dipertingkatkan untuk kaedah analisis trafik yang disulitkan (ETA - Analisis Trafik Disulitkan).
- Sokongan telah dilaksanakan untuk kaedah pengenalan pelanggan JA3+ TLS yang dipertingkatkan, yang membolehkan, berdasarkan ciri rundingan sambungan dan parameter yang ditentukan, untuk menentukan perisian mana yang digunakan untuk mewujudkan sambungan (contohnya, ia membolehkan anda menentukan penggunaan Tor dan aplikasi biasa lain). Tidak seperti kaedah JA3 yang disokong sebelum ini, JA3+ mempunyai kurang positif palsu.
- Bilangan ancaman rangkaian yang dikenal pasti dan masalah yang dikaitkan dengan risiko kompromi (risiko aliran) telah diperluaskan kepada 33. Pengesan ancaman baharu telah ditambah berkaitan dengan desktop dan perkongsian fail, trafik HTTP yang mencurigakan, JA3 dan SHA1 yang berniat jahat serta akses kepada bermasalah. domain dan sistem autonomi, penggunaan sijil TLS dengan sambungan yang mencurigakan atau tempoh sah yang terlalu lama.
- Pengoptimuman prestasi yang ketara telah dijalankan; berbanding cawangan 3.0, kelajuan pemprosesan trafik telah meningkat sebanyak 2.5 kali ganda.
- Menambah sokongan GeoIP untuk menentukan lokasi melalui alamat IP.
- Menambahkan API untuk mengira RSI (Indeks Kekuatan Relatif).
- Kawalan pecahan telah dilaksanakan.
- Menambahkan API untuk mengira keseragaman aliran (jitter).
- Sokongan tambahan untuk protokol dan perkhidmatan: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, Pengurusan Kumpulan Mesin Maya HP (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Pembantu Maya ( Alexa , Siri), Z39.50.
- Penghuraian dan pengesanan AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, Kawalan FTP yang lebih baik, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP dipertingkatkan. protokol , RTSP melalui HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, pengawal wayar.
Sumber: opennet.ru