Proġett ntop, li tiżviluppa għodod għall-qbid u l-analiżi tat-traffiku, ippubblikati rilaxx ta 'għodda ta' spezzjoni fil-fond tal-pakkett nDPI 3.0, tkompli l-iżvilupp tal-librerija Iftaħ DPI. Il-proġett nDPI twaqqaf wara tentattiv bla suċċess biex jiġu kommessi bidliet repożitorju OpenDPI, li tħalla mhux akkumpanjat. Il-kodiċi nDPI huwa miktub f'Ċ u imqassma minn liċenzjat taħt LGPLv3.
Proġett tippermetti tiddetermina l-protokolli fil-livell tal-applikazzjoni użati fit-traffiku billi tanalizza n-natura tal-attività tan-netwerk mingħajr referenza għall-portijiet tan-netwerk (tista 'tiddetermina protokolli magħrufa li l-handlers tagħhom jaċċettaw konnessjonijiet fuq portijiet tan-netwerk mhux standard, pereżempju, jekk http ma tintbagħatx mill-port 80, jew , bil-maqlub, meta xi wħud jippruvaw jaħbu attività oħra tan-netwerk bħala http billi jnieduha fuq il-port 80).
Id-differenzi minn OpenDPI jinżlu għall-appoġġ għal protokolli addizzjonali, porting għall-pjattaforma Windows, ottimizzazzjoni tal-prestazzjoni, adattament għall-użu f'applikazzjonijiet ta 'monitoraġġ tat-traffiku f'ħin reali (tneħħew xi karatteristiċi speċifiċi li naqqsu l-veloċità tal-magna),
kapaċitajiet ta 'assemblaġġ fil-forma ta' modulu tal-kernel Linux u appoġġ għad-definizzjoni ta 'sottoprotokolli.
Total ta '238 protokoll u definizzjoni ta' applikazzjoni huma appoġġjati, minn
OpenVPN, Tor, QUIC, SOCKS, BitTorrent u IPsec għal Telegram,
Viber, WhatsApp, PostgreSQL u sejħiet lil GMail, Office365
GoogleDocs u YouTube. Hemm decoder taċ-ċertifikat SSL ta 'server u klijent li jippermettilek tiddetermina l-protokoll (per eżempju, Citrix Online u Apple iCloud) billi tuża ċ-ċertifikat ta' encryption. L-utilità nDPIreader hija fornuta biex tanalizza l-kontenut tad-dumps tal-pcap jew tat-traffiku kurrenti permezz tal-interface tan-netwerk.
L-informazzjoni dwar il-protokoll issa tintwera immedjatament malli tinstab, mingħajr ma tistenna li tiġi riċevuta metadata sħiħa (anke meta oqsma speċifiċi jkunu għadhom ma ġewx parsed minħabba li ma rċevewx il-pakketti tan-netwerk korrispondenti), li huwa importanti għall-analizzaturi tat-traffiku li jeħtieġu jirrispondu immedjatament għal ċerti tipi ta’ traffiku. Għal applikazzjonijiet li jeħtieġu dissezzjoni sħiħa tal-protokoll, l-API ndpi_extra_dissection_possible() hija pprovduta biex tiżgura li l-metadata tal-protokoll kollha tkun definita.
Implimenta analiżi aktar profonda ta 'TLS bl-estrazzjoni ta' informazzjoni dwar il-korrettezza taċ-ċertifikat u l-hash SHA-1 taċ-ċertifikat.
Il-bandiera "-C" ġiet miżjuda mal-applikazzjoni nDPIreader għall-esportazzjoni f'format CSV, li jagħmilha possibbli, bl-użu tal-għodda addizzjonali ntop iwettqu kampjuni statistiċi pjuttost kumplessi. Pereżempju, biex tiddetermina l-IP tal-utent li ra films fuq NetFlix l-itwal:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "agħżel src_ip,SUM(src2dst_bytes+dst2src_bytes) minn /tmp/netflix.csv fejn ndpi_proto bħal '%NetFlix%' grupp minn src_ip"
192.168.1.7,6151821
Appoġġ miżjud issuġġerit fi Cisco Joytekniċi tidentifika attività malizzjuża moħbija fit-traffiku kriptat billi tuża d-daqs tal-pakkett u tibgħat analiżi tal-ħin/dewmien. F'ndpiReader, il-metodu huwa attivat bl-għażla "-J".
Il-klassifikazzjoni tal-protokolli skont il-kategoriji hija pprovduta.
Appoġġ miżjud għall-kalkolu tal-IAT (Inter-Arrival Time) biex jinstabu anomaliji fl-użu tal-protokoll, pereżempju, biex jinstabu l-użu tal-protokoll waqt attakki DoS.
Miżjud kapaċitajiet ta 'analiżi tad-dejta bbażati fuq metriċi kkalkulati bħal entropija, medja, devjazzjoni standard, u varjanza.
Il-verżjoni inizjali tal-irbit għal-lingwa Python hija proposta.
Żieda mod għall-iskoperta ta 'linji li jinqraw fit-traffiku biex tiskopri tnixxijiet tad-dejta. IN
Il-modalità ndpiReader hija attivata bl-għażla "-e".
Appoġġ miżjud għall-metodu ta 'identifikazzjoni tal-klijent TLS JA3, li tippermetti, abbażi tal-karatteristiċi tan-negozjar tal-konnessjoni u l-parametri speċifikati, li tiddetermina liema softwer jintuża biex tiġi stabbilita konnessjoni (pereżempju, jippermettilek tiddetermina l-użu ta 'Tor u applikazzjonijiet tipiċi oħra).
Appoġġ miżjud għall-metodi ta 'identifikazzjoni ta' implimentazzjoni SSH (HASSX) u DHCP.
Miżjuda funzjonijiet għas-serializing u deserializing data fi
Formati tat-Tip-Tul-Valur (TLV) u JSON.
Appoġġ miżjud għal protokolli u servizzi: DTLS (TLS fuq UDP),
hulu,
TikTok/Musical.ly,
Video Whatsapp,
DNSoverHTTPS
datasaver,
linja,
Google Duo, Hangout,
wireGuard VPN,
Imo,
zoom.us.