Prosjekt , utvikle verktøy for å fange opp og analysere trafikk, utgivelse av verktøy for dyp pakkeinspeksjon , fortsetter utviklingen av biblioteket . nDPI-prosjektet ble grunnlagt etter et mislykket forsøk på å overføre endringer til OpenDPI, som ble stående uten følge. nDPI-koden skrives i C og lisensiert under LGPLv3.
Prosjekt bestemme applikasjonsnivåprotokollene som brukes i trafikken, analysere innholdet av nettverksaktivitet uten å være knyttet til nettverksporter (kan identifisere velkjente protokoller hvis behandlere godtar tilkoblinger på ikke-standard nettverksporter, for eksempel hvis http ikke sendes fra port 80, eller omvendt, når noen prøver å kamuflere annen nettverksaktivitet som http ved å kjøre den på port 80).
Forskjeller fra OpenDPI kommer ned til støtte for tilleggsprotokoller, portering for Windows-plattformen, ytelsesoptimalisering, tilpasning for bruk i applikasjoner for overvåking av trafikk i sanntid (noen spesifikke funksjoner som bremset motoren har blitt fjernet),
monteringsmuligheter i form av en Linux-kjernemodul og støtte for å definere underprotokoller.
Totalt støttes 238 protokoll- og applikasjonsdefinisjoner, fra
OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram,
Viber, WhatsApp, PostgreSQL og anrop til Gmail, Office365
GoogleDocs og YouTube. Det er en server- og klient-SSL-sertifikatdekoder som lar deg bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjelp av krypteringssertifikatet. nDPIreader-verktøyet leveres for å analysere innholdet i pcap-dumper eller gjeldende trafikk via nettverksgrensesnittet.
$ ./nDPIreader -i eth0 -s 20 -f "vert 192.168.1.10"
Oppdagede protokoller:
DNS-pakker: 57 byte: 7904 flyter: 28
SSL_No_Cert-pakker: 483 byte: 229203 flyter: 6
FaceBook-pakker: 136 byte: 74702 flyter: 4
DropBox-pakker: 9 byte: 668 flyter: 3
Skype-pakker: 5 byte: 339 flyter: 3
Google-pakker: 1700 byte: 619135 flyter: 34
I den nye utgivelsen:
- Informasjon om protokollen vises nå umiddelbart ved definisjon, uten å vente på at full metadata skal mottas (selv når spesifikke felt ennå ikke er analysert på grunn av manglende mottak av de tilsvarende nettverkspakkene), noe som er viktig for trafikkanalysatorer som må umiddelbart reagere på visse typer trafikk. For applikasjoner som krever full protokolldisseksjon, leveres ndpi_extra_dissection_possible() API for å sikre at alle protokollmetadata er definert.
- Implementert dypere parsing av TLS, hentet ut informasjon om sertifikatets korrekthet og SHA-1-hashen til sertifikatet.
- "-C"-flagget er lagt til nDPIreader-applikasjonen for eksport i CSV-format, noe som gjør det mulig å bruke det ekstra ntop-verktøysettet ganske komplekse statistiske utvalg. For eksempel, for å bestemme IP-en til brukeren som så filmer på Netflix lengst:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "velg src_ip,SUM(src2dst_bytes+dst2src_bytes) fra /tmp/netflix.csv hvor ndpi_proto som '%NetFlix%' grupperer etter src_ip"192.168.1.7,6151821
- Lagt til støtte for det som ble foreslått i identifisere ondsinnet aktivitet skjult i kryptert trafikk ved hjelp av pakkestørrelse og analyse av sendingstid/latency. I ndpiReader aktiveres metoden av alternativet "-J".
- Klassifisering av protokoller i kategorier er gitt.
- Lagt til støtte for å beregne IAT (Inter-Arrival Time) for å identifisere anomalier i protokollbruk, for eksempel for å identifisere bruken av protokollen under DoS-angrep.
- Lagt til dataanalysefunksjoner basert på beregnede beregninger som entropi, gjennomsnitt, standardavvik og varians.
- En første versjon av bindinger for Python-språket er foreslått.
- Lagt til en modus for å oppdage lesbare strenger i trafikken for å oppdage datalekkasjer. I
ndpiReader-modus er aktivert med "-e"-alternativet. - Lagt til støtte for TLS-klientidentifikasjonsmetode , som lar deg bestemme, basert på egenskapene til tilkoblingskoordinering og spesifiserte parametere, hvilken programvare som brukes til å etablere en tilkobling (for eksempel lar den deg bestemme bruken av Tor og andre standardapplikasjoner).
- Lagt til støtte for metoder for å identifisere SSH-implementeringer () og DHCP.
- Lagt til funksjoner for serialisering og deserialisering av data
Type-Length-Value (TLV) og JSON-formater. - Lagt til støtte for protokoller og tjenester: DTLS (TLS over UDP),
Hulu,
TikTok/Musical.ly,
WhatsApp-video,
DNSoverHTTPS
Datasparing
Linje,
Google Duo, Hangout,
WireGuard VPN,
IMO,
Zoom.us. - Forbedret støtte for TLS, SIP, STUN-analyse,
Viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger og Hangout.
Kilde: opennet.ru