Het ntop-project, dat tools ontwikkelt voor het vastleggen en analyseren van verkeer, heeft de release gepubliceerd van de nDPI 4.0 deep packet inspection toolkit, die de ontwikkeling van de OpenDPI-bibliotheek voortzet. Het nDPI-project werd opgericht na een mislukte poging om wijzigingen door te voeren naar de OpenDPI-repository, die niet werd onderhouden. De nDPI-code is geschreven in C en is gelicentieerd onder LGPLv3.
Met dit project kunt u de protocollen op applicatieniveau bepalen die in het verkeer worden gebruikt, waarbij u de aard van netwerkactiviteit analyseert zonder gebonden te zijn aan netwerkpoorten (het kan bekende protocollen bepalen waarvan de handlers verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http is verzonden vanaf een andere poort dan poort 80, of, omgekeerd, wanneer ze andere netwerkactiviteit proberen te camoufleren als http door deze op poort 80 uit te voeren).
Verschillen met OpenDPI zijn onder meer ondersteuning voor aanvullende protocollen, portering naar het Windows-platform, prestatie-optimalisatie, aanpassing voor gebruik in realtime verkeersmonitoringtoepassingen (enkele specifieke functies die de engine vertraagden zijn verwijderd), de mogelijkheid om in de vorm van een Linux-kernelmodule en ondersteuning voor het definiëren van subprotocollen.
Er worden in totaal 247 protocol- en applicatiedefinities ondersteund, van OpenVPN, Tor, QUIC, SOCKS, BitTorrent en IPsec tot Telegram, Viber, WhatsApp, PostgreSQL en oproepen naar GMail, Office365 GoogleDocs en YouTube. Er is een server- en client-SSL-certificaatdecoder waarmee u het protocol (bijvoorbeeld Citrix Online en Apple iCloud) kunt bepalen met behulp van het coderingscertificaat. Het hulpprogramma nDPIreader wordt meegeleverd om de inhoud van pcap-dumps of actueel verkeer via de netwerkinterface te analyseren.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Gedetecteerde protocollen: DNS-pakketten: 57 bytes: 7904 stromen: 28 SSL_No_Cert-pakketten: 483 bytes: 229203 stromen: 6 FaceBook-pakketten: 136 bytes: 74702 stromen: 4 DropBox-pakketten: 9 bytes: 668 stromen: 3 Skype-pakketten: 5 bytes: 339 stromen: 3 Google-pakketten: 1700 bytes: 619135 stromen: 34
In de nieuwe uitgave:
- Verbeterde ondersteuning voor gecodeerde verkeersanalysemethoden (ETA - Encrypted Traffic Analysis).
- Er is ondersteuning geïmplementeerd voor de verbeterde JA3+ TLS-clientidentificatiemethode, waarmee u, op basis van de verbindingsonderhandelingsfuncties en gespecificeerde parameters, kunt bepalen welke software wordt gebruikt om een verbinding tot stand te brengen (u kunt hiermee bijvoorbeeld het gebruik van Tor en andere typische toepassingen). In tegenstelling tot de eerder ondersteunde JA3-methode heeft JA3+ minder valse positieven.
- Het aantal geïdentificeerde netwerkbedreigingen en problemen die verband houden met het risico op compromittering (stroomrisico) is uitgebreid naar 33. Er zijn nieuwe bedreigingsdetectoren toegevoegd met betrekking tot het delen van desktops en bestanden, verdacht HTTP-verkeer, kwaadaardige JA3 en SHA1, en toegang tot problematische netwerken. domeinen en autonome systemen, het gebruik van TLS-certificaten met verdachte extensies of een te lange geldigheidsduur.
- Er is een aanzienlijke prestatieoptimalisatie doorgevoerd; vergeleken met tak 3.0 is de snelheid van de verkeersverwerking 2.5 keer toegenomen.
- GeoIP-ondersteuning toegevoegd voor het bepalen van de locatie op basis van IP-adres.
- API toegevoegd voor het berekenen van RSI (Relative Strength Index).
- Er zijn fragmentatiecontroles geïmplementeerd.
- API toegevoegd voor het berekenen van stroomuniformiteit (jitter).
- Ondersteuning toegevoegd voor protocollen en services: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Verbeterde parsering en detectie van AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protocollen, RTSP via HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Bron: opennet.ru