ProHoster > blog > aħbarijiet fuq l-internet > nDPI 3.0 Deep Packet Inspection disponibbli

nDPI 3.0 Deep Packet Inspection disponibbli

Proġett ntop, li tiżviluppa għodod għall-qbid u l-analiżi tat-traffiku, ippubblikati rilaxx ta 'għodda ta' spezzjoni fil-fond tal-pakkett nDPI 3.0, tkompli l-iżvilupp tal-librerija Iftaħ DPI. Il-proġett nDPI twaqqaf wara tentattiv bla suċċess biex jiġu kommessi bidliet repożitorju OpenDPI, li tħalla mhux akkumpanjat. Il-kodiċi nDPI huwa miktub f'Ċ u imqassma minn liċenzjat taħt LGPLv3.

Proġett tippermetti tiddetermina l-protokolli fil-livell tal-applikazzjoni użati fit-traffiku billi tanalizza n-natura tal-attività tan-netwerk mingħajr referenza għall-portijiet tan-netwerk (tista 'tiddetermina protokolli magħrufa li l-handlers tagħhom jaċċettaw konnessjonijiet fuq portijiet tan-netwerk mhux standard, pereżempju, jekk http ma tintbagħatx mill-port 80, jew , bil-maqlub, meta xi wħud jippruvaw jaħbu attività oħra tan-netwerk bħala http billi jnieduha fuq il-port 80).

Id-differenzi minn OpenDPI jinżlu għall-appoġġ għal protokolli addizzjonali, porting għall-pjattaforma Windows, ottimizzazzjoni tal-prestazzjoni, adattament għall-użu f'applikazzjonijiet ta 'monitoraġġ tat-traffiku f'ħin reali (tneħħew xi karatteristiċi speċifiċi li naqqsu l-veloċità tal-magna),
kapaċitajiet ta 'assemblaġġ fil-forma ta' modulu tal-kernel Linux u appoġġ għad-definizzjoni ta 'sottoprotokolli.

Total ta '238 protokoll u definizzjoni ta' applikazzjoni huma appoġġjati, minn
OpenVPN, Tor, QUIC, SOCKS, BitTorrent u IPsec għal Telegram,
Viber, WhatsApp, PostgreSQL u sejħiet lil GMail, Office365
GoogleDocs u YouTube. Hemm decoder taċ-ċertifikat SSL ta 'server u klijent li jippermettilek tiddetermina l-protokoll (per eżempju, Citrix Online u Apple iCloud) billi tuża ċ-ċertifikat ta' encryption. L-utilità nDPIreader hija fornuta biex tanalizza l-kontenut tad-dumps tal-pcap jew tat-traffiku kurrenti permezz tal-interface tan-netwerk.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"

Protokolli skoperti:
Pakketti DNS: 57 bytes: 7904 flussi: 28
Pakketti SSL_No_Cert: 483 bytes: 229203 flussi: 6
Pakketti FaceBook: 136 bytes: 74702 flussi: 4
Pakketti DropBox: 9 bytes: 668 flussi: 3
Pakketti Skype: 5 bytes: 339 flussi: 3
Pakketti Google: 1700 bytes: 619135 flussi: 34

Fir-rilaxx il-ġdid:

  • L-informazzjoni dwar il-protokoll issa tintwera immedjatament malli tinstab, mingħajr ma tistenna li tiġi riċevuta metadata sħiħa (anke meta oqsma speċifiċi jkunu għadhom ma ġewx parsed minħabba li ma rċevewx il-pakketti tan-netwerk korrispondenti), li huwa importanti għall-analizzaturi tat-traffiku li jeħtieġu jirrispondu immedjatament għal ċerti tipi ta’ traffiku. Għal applikazzjonijiet li jeħtieġu dissezzjoni sħiħa tal-protokoll, l-API ndpi_extra_dissection_possible() hija pprovduta biex tiżgura li l-metadata tal-protokoll kollha tkun definita.
  • Implimenta analiżi aktar profonda ta 'TLS bl-estrazzjoni ta' informazzjoni dwar il-korrettezza taċ-ċertifikat u l-hash SHA-1 taċ-ċertifikat.
  • Il-bandiera "-C" ġiet miżjuda mal-applikazzjoni nDPIreader għall-esportazzjoni f'format CSV, li jagħmilha possibbli, bl-użu tal-għodda addizzjonali ntop iwettqu kampjuni statistiċi pjuttost kumplessi. Pereżempju, biex tiddetermina l-IP tal-utent li ra films fuq NetFlix l-itwal:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "agħżel src_ip,SUM(src2dst_bytes+dst2src_bytes) minn /tmp/netflix.csv fejn ndpi_proto bħal '%NetFlix%' grupp minn src_ip"

    192.168.1.7,6151821

  • Appoġġ miżjud issuġġerit fi Cisco Joy tekniċi tidentifika attività malizzjuża moħbija fit-traffiku kriptat billi tuża d-daqs tal-pakkett u tibgħat analiżi tal-ħin/dewmien. F'ndpiReader, il-metodu huwa attivat bl-għażla "-J".
  • Il-klassifikazzjoni tal-protokolli skont il-kategoriji hija pprovduta.
  • Appoġġ miżjud għall-kalkolu tal-IAT (Inter-Arrival Time) biex jinstabu anomaliji fl-użu tal-protokoll, pereżempju, biex jinstabu l-użu tal-protokoll waqt attakki DoS.
  • Miżjud kapaċitajiet ta 'analiżi tad-dejta bbażati fuq metriċi kkalkulati bħal entropija, medja, devjazzjoni standard, u varjanza.
  • Il-verżjoni inizjali tal-irbit għal-lingwa Python hija proposta.
  • Żieda mod għall-iskoperta ta 'linji li jinqraw fit-traffiku biex tiskopri tnixxijiet tad-dejta. IN
    Il-modalità ndpiReader hija attivata bl-għażla "-e".

  • Appoġġ miżjud għall-metodu ta 'identifikazzjoni tal-klijent TLS JA3, li tippermetti, abbażi tal-karatteristiċi tan-negozjar tal-konnessjoni u l-parametri speċifikati, li tiddetermina liema softwer jintuża biex tiġi stabbilita konnessjoni (pereżempju, jippermettilek tiddetermina l-użu ta 'Tor u applikazzjonijiet tipiċi oħra).
  • Appoġġ miżjud għall-metodi ta 'identifikazzjoni ta' implimentazzjoni SSH (HASSX) u DHCP.
  • Miżjuda funzjonijiet għas-serializing u deserializing data fi
    Formati tat-Tip-Tul-Valur (TLV) u JSON.

  • Appoġġ miżjud għal protokolli u servizzi: DTLS (TLS fuq UDP),
    hulu,
    TikTok/Musical.ly,
    Video Whatsapp,
    DNSoverHTTPS
    datasaver,
    linja,
    Google Duo, Hangout,
    wireGuard VPN,
    Imo,
    zoom.us.

  • Appoġġ imtejjeb għall-analiżi TLS, SIP, STUN,
    viber,
    WhatsApp,
    amazonvideo,
    Snapchat,
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger u Hangout.

Sors: opennet.ru

Żid kumment