Project , het ontwikkelen van tools voor het vastleggen en analyseren van verkeer, vrijgave van tools voor diepgaande pakketinspectie , waarmee de ontwikkeling van de bibliotheek wordt voortgezet . Het nDPI-project is ontstaan na een mislukte poging om wijzigingen over te dragen naar OpenDPI, dat zonder begeleiding werd achtergelaten. De nDPI-code is geschreven in C en gelicentieerd onder LGPLv3.
Project de protocollen op applicatieniveau bepalen die in het verkeer worden gebruikt, waarbij de aard van netwerkactiviteit wordt geanalyseerd zonder gebonden te zijn aan netwerkpoorten (kan bekende protocollen identificeren waarvan de handlers verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet wordt verzonden vanaf poort 80, of, omgekeerd, wanneer sommigen andere netwerkactiviteit proberen te camoufleren als http door deze op poort 80 uit te voeren).
Verschillen met OpenDPI komen neer op ondersteuning voor aanvullende protocollen, portering voor het Windows-platform, prestatie-optimalisatie, aanpassing voor gebruik in applicaties voor het in realtime monitoren van verkeer (enkele specifieke functies die de engine vertraagden zijn verwijderd),
assemblagemogelijkheden in de vorm van een Linux-kernelmodule en ondersteuning voor het definiëren van subprotocollen.
Er worden in totaal 238 protocol- en applicatiedefinities ondersteund
OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec naar Telegram,
Viber, WhatsApp, PostgreSQL en bellen naar Gmail, Office365
GoogleDocs en YouTube. Er is een server- en client-SSL-certificaatdecoder waarmee u het protocol (bijvoorbeeld Citrix Online en Apple iCloud) kunt bepalen met behulp van het coderingscertificaat. Het hulpprogramma nDPIreader wordt meegeleverd om de inhoud van pcap-dumps of actueel verkeer via de netwerkinterface te analyseren.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Gedetecteerde protocollen:
DNS-pakketten: 57 bytes: 7904 stromen: 28
SSL_No_Cert-pakketten: 483 bytes: 229203 stromen: 6
FaceBook-pakketten: 136 bytes: 74702 stromen: 4
DropBox-pakketten: 9 bytes: 668 stromen: 3
Skype-pakketten: 5 bytes: 339 stromen: 3
Google-pakketten: 1700 bytes: 619135 stromen: 34
In de nieuwe uitgave:
- Informatie over het protocol wordt nu onmiddellijk na definitie weergegeven, zonder te wachten tot de volledige metagegevens zijn ontvangen (zelfs als specifieke velden nog niet zijn geparseerd omdat de corresponderende netwerkpakketten niet zijn ontvangen), wat belangrijk is voor verkeersanalysatoren die onmiddellijk moeten reageren op bepaalde soorten verkeer. Voor toepassingen die volledige protocoldissectie vereisen, is de ndpi_extra_dissection_possible() API beschikbaar om ervoor te zorgen dat alle protocolmetagegevens worden gedefinieerd.
- Een diepere parsing van TLS geïmplementeerd, waarbij informatie wordt geëxtraheerd over de juistheid van het certificaat en de SHA-1-hash van het certificaat.
- De vlag "-C" is toegevoegd aan de nDPIreader-applicatie voor export in CSV-formaat, waardoor het mogelijk is om de extra ntop-toolkit te gebruiken vrij complexe statistische steekproeven. Om bijvoorbeeld het IP-adres te bepalen van de gebruiker die het langst naar films op NetFlix heeft gekeken:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "selecteer src_ip,SUM(src2dst_bytes+dst2src_bytes) uit /tmp/netflix.csv waar ndpi_proto like '%NetFlix%' group by src_ip"192.168.1.7,6151821
- Ondersteuning toegevoegd voor wat werd voorgesteld in het identificeren van kwaadaardige activiteiten die verborgen zijn in gecodeerd verkeer met behulp van pakketgrootte en het verzenden van tijd-/latentieanalyse. In ndpiReader wordt de methode geactiveerd door de optie “-J”.
- Er wordt voorzien in classificatie van protocollen in categorieën.
- Ondersteuning toegevoegd voor het berekenen van IAT (Inter-Arrival Time) om afwijkingen in het protocolgebruik te identificeren, bijvoorbeeld om het gebruik van het protocol tijdens DoS-aanvallen te identificeren.
- Mogelijkheden voor gegevensanalyse toegevoegd op basis van berekende statistieken zoals entropie, gemiddelde, standaarddeviatie en variantie.
- Er is een eerste versie van bindingen voor de Python-taal voorgesteld.
- Een modus toegevoegd voor het detecteren van leesbare tekenreeksen in het verkeer om datalekken te detecteren. IN
De ndpiReader-modus wordt ingeschakeld met de optie “-e”. - Ondersteuning toegevoegd voor TLS-clientidentificatiemethode , waarmee u op basis van de kenmerken van verbindingscoördinatie en gespecificeerde parameters kunt bepalen welke software wordt gebruikt om een verbinding tot stand te brengen (u kunt bijvoorbeeld het gebruik van Tor en andere standaardapplicaties bepalen).
- Ondersteuning toegevoegd voor methoden voor het identificeren van SSH-implementaties () en DHCP.
- Functies toegevoegd voor het serialiseren en deserialiseren van gegevens in
Type-Length-Value (TLV) en JSON-formaten. - Ondersteuning toegevoegd voor protocollen en services: DTLS (TLS over UDP),
Hulu,
TikTok/Musical.ly,
WhatsApp-video,
DNSoverHTTPS
Databesparing
Lijn,
Google Duo, Hangout,
WireGuard-VPN,
IMO,
Zoom.us. - Verbeterde ondersteuning voor TLS-, SIP-, STUN-analyse,
Viper,
WhatsApp,
Amazon-video,
SnapChat
FTP-,
QUIC
OpenVPN-UDP,
Facebook Messenger en Hangout.
Bron: opennet.ru