ntop-prosjektet, som utvikler verktøy for å fange og analysere trafikk, har publisert utgivelsen av nDPI 4.0 deep packet inspection toolkit, som fortsetter utviklingen av OpenDPI-biblioteket. nDPI-prosjektet ble grunnlagt etter et mislykket forsøk på å presse endringer i OpenDPI-depotet, som ikke ble vedlikeholdt. nDPI-koden er skrevet i C og er lisensiert under LGPLv3.
Prosjektet lar deg bestemme applikasjonsnivåprotokollene som brukes i trafikken, analysere innholdet av nettverksaktivitet uten å være knyttet til nettverksporter (det kan bestemme kjente protokoller hvis behandlere aksepterer tilkoblinger på ikke-standard nettverksporter, for eksempel hvis http er sendt fra en annen port enn port 80, eller omvendt, når som De prøver å kamuflere annen nettverksaktivitet som http ved å kjøre den på port 80).
Forskjeller fra OpenDPI inkluderer støtte for tilleggsprotokoller, portering til Windows-plattformen, ytelsesoptimalisering, tilpasning for bruk i sanntids trafikkovervåkingsapplikasjoner (noen spesifikke funksjoner som bremset motoren ble fjernet), muligheten til å bygge i form av en Linux-kjernemodul, og støtte for å definere underprotokoller.
Totalt 247 protokoll- og applikasjonsdefinisjoner støttes, fra OpenVPN, Tor, QUIC, SOCKS, BitTorrent og IPsec til Telegram, Viber, WhatsApp, PostgreSQL og anrop til Gmail, Office365 GoogleDocs og YouTube. Det er en server- og klient-SSL-sertifikatdekoder som lar deg bestemme protokollen (for eksempel Citrix Online og Apple iCloud) ved hjelp av krypteringssertifikatet. nDPIreader-verktøyet leveres for å analysere innholdet i pcap-dumper eller gjeldende trafikk via nettverksgrensesnittet.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Registrerte protokoller: DNS-pakker: 57 byte: 7904 flyter: 28 SSL_No_Cert-pakker: 483 byte: 229203 flyter: 6 Facebook-pakker: 136 byte 74702 DropBox-pakker: 4 byte: 9 flyter: 668 Skype-pakker: 3 byte: 5 flyter: 339 Google-pakker: 3 byte: 1700 flyter: 619135
I den nye utgivelsen:
- Forbedret støtte for krypterte trafikkanalysemetoder (ETA - Encrypted Traffic Analysis).
- Støtte er implementert for den forbedrede JA3+ TLS-klientidentifikasjonsmetoden, som lar deg, basert på tilkoblingsforhandlingsfunksjonene og spesifiserte parametere, bestemme hvilken programvare som brukes til å etablere en tilkobling (det lar deg for eksempel bestemme bruken av Tor og andre typiske applikasjoner). I motsetning til den tidligere støttede JA3-metoden, har JA3+ færre falske positiver.
- Antall identifiserte nettverkstrusler og problemer knyttet til risikoen for kompromiss (flytrisiko) er utvidet til 33. Nye trusseldetektorer er lagt til relatert til skrivebord- og fildeling, mistenkelig HTTP-trafikk, ondsinnet JA3 og SHA1, og tilgang til problematisk domener og autonome systemer, bruk av TLS-sertifikater med mistenkelige utvidelser eller for lang gyldighetsperiode.
- Betydelig ytelsesoptimalisering er utført; sammenlignet med gren 3.0 har hastigheten på trafikkbehandlingen økt med 2.5 ganger.
- Lagt til GeoIP-støtte for å bestemme plassering etter IP-adresse.
- Lagt til API for beregning av RSI (Relative Strength Index).
- Fragmenteringskontroller er implementert.
- Lagt til API for beregning av strømningsuniformitet (jitter).
- Lagt til støtte for protokoller og tjenester: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa , Siri), Z39.50.
- Forbedret parsing og gjenkjenning av AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoller, RTSP via HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Kilde: opennet.ru