Het ntop-project, dat tools ontwikkelt voor het vastleggen en analyseren van verkeer, heeft een toolkit gepubliceerd voor deep packet inspection nDPI 5.0, waarmee de ontwikkeling van de OpenDPI-bibliotheek wordt voortgezet. Het nDPI-project werd opgericht na een mislukte poging om wijzigingen door te voeren naar de OpenDPI-repository, die niet werd onderhouden. De nDPI-code is geschreven in C en is gelicentieerd onder de LGPLv3-licentie.
Met het systeem kunt u de protocollen op applicatieniveau bepalen die in het verkeer worden gebruikt, waarbij u de aard van netwerkactiviteit analyseert zonder gebonden te zijn aan netwerkpoorten (het kan bekende protocollen bepalen waarvan de handlers verbindingen op niet-standaard netwerkpoorten accepteren, bijvoorbeeld als http niet wordt verzonden vanaf poort 80, of, omgekeerd, wanneer. Ze proberen andere netwerkactiviteiten als http te camoufleren door deze op poort 80 uit te voeren).
De verschillen met OpenDPI zitten hem in de ondersteuning voor extra protocollen en de migratie naar het platform. Windows, prestatieoptimalisaties, aanpassing voor gebruik in realtime verkeersmonitoringtoepassingen (waarbij enkele specifieke functies die de engine vertraagden, zijn verwijderd) en de mogelijkheid om als kernelmodule te compileren. Linux en ondersteuning bij de definitie van subprotocollen.
Ondersteunt de detectie van 56 soorten netwerkdreigingen (flow risk) en meer dan 450 protocollen en applicaties (van OpenVPN(Tor, QUIC, SOCKS, BitTorrent en IPsec naar Telegram, Viber, WhatsApp, PostgreSQL en verzoeken naar Gmail, Office 365, Google Docs en YouTube). Er is een decoder voor zowel de server als de client. SSL-certificatenHiermee kunt u een protocol (bijvoorbeeld Citrix Online en Apple iCloud) identificeren aan de hand van een encryptiecertificaat. Het hulpprogramma nDPIreader is beschikbaar voor het analyseren van de inhoud van pcap-dumps of het actuele netwerkverkeer.
In de nieuwe uitgave:
- Er is een universeel verkeersidentificatiemechanisme geïmplementeerd dat metadata over TCP-vingerafdrukken, TLS-certificaathashes en JA4 (identificatiegegevens voor netwerkprotocollen en applicaties) combineert in één verkeersmarkering (vingerafdruk). Dit nieuwe mechanisme maakt nauwkeurigere identificatie en matching van versleuteld of verduisterd verkeer mogelijk.
- We hebben de mogelijkheid toegevoegd om TLS-, QUIC- en HTTP-stromen te detecteren die hostnamen bevatten (bijvoorbeeld in de SNI voor TLS/QUIC en in de Host-header voor HTTP) die niet eerder via DNS werden omgezet. Deze activiteit kan worden gebruikt om afwijkingen, verborgen gegevensoverdrachtskanalen en filteromzeilingsmethoden te identificeren.
- De limiet voor het aantal detecteerbare protocollen en verkeerscategorieën is verhoogd naar 2^16, waardoor een vrijwel onbeperkt aantal protocollen kan worden gedetecteerd tijdens verkeersinspectie. Alle beschikbare protocollen zijn nu standaard ingeschakeld.
- Er zijn nieuwe opties toegevoegd aan de regels voor het classificeren van verkeer op basis van vingerafdrukken, JA4-toepassings- en protocol-ID's, HTTP-URL's en categorieën.
- Verbeterde ondersteuning voor FPC-technologie (First Packet Classification), die protocollen, applicaties en services identificeert op basis van het eerste pakket dat wordt verzonden bij het tot stand brengen van een verbinding. FPC vermindert de CPU-belasting aanzienlijk tijdens verkeersinspectie.
- Ondersteuning voor pseudoprotocollen zoals ADULT_CONTENT, LLM en ADS_ANALYTICS_TRACK is verwijderd en in plaats daarvan wordt nu gebruikgemaakt van categoriegebaseerde classificatie.
- Ondersteuning en parsing toegevoegd voor nieuwe protocollen, waaronder Microsoft Delivery Optimization, Rockstar Games, Kick.com, MELSEC, Hamachi, GLBP, Matter, TriStation, Samsung SDP, ESPN en Akamai.
- Er zijn nieuwe subcategorieën toegevoegd en de classificatie van Amazon/AWS-services is uitgebreid.
- Er zijn ongeveer 30 nieuwe categorieën toegevoegd en het detailniveau van de verkeersanalyse is verhoogd.
- Gegevensblokgrootte-analysator toegevoegd voor TLS-verbindingen.
- De mogelijkheid is toegevoegd om protocolstacks te maken die twee of meer protocollen omvatten bij het classificeren van verkeer.
- Nieuwe API's toegevoegd voor verkeersrangschikking en codering/decodering van hexadecimale reeksen.
- Bijgewerkte lijsten met bots, netwerkscanners en miningpools.
- Bijgewerkte code voor het parseren van HTTP-, TLS- en STUN-protocollen.
- De initialisatie is versneld en de efficiëntie van het geheugenbeheer is verbeterd.
Bron: opennet.ru
