Projekt ntop, rozwijający narzędzia do przechwytywania i analizowania ruchu, opublikował wydanie zestawu narzędzi do głębokiej inspekcji pakietów nDPI 4.0, który stanowi kontynuację rozwoju biblioteki OpenDPI. Projekt nDPI powstał po nieudanej próbie wypchnięcia zmian do repozytorium OpenDPI, które pozostało bez opieki. Kod nDPI jest napisany w języku C i jest objęty licencją LGPLv3.
Projekt pozwala określić protokoły na poziomie aplikacji wykorzystywane w ruchu, analizując charakter aktywności sieciowej bez wiązania się z portami sieciowymi (może określić znane protokoły, których procedury obsługi akceptują połączenia na niestandardowych portach sieciowych, np. jeśli http jest wysyłane z portu innego niż 80 lub odwrotnie, gdy próbują zamaskować inną aktywność sieciową jako http, uruchamiając ją na porcie 80).
Różnice w stosunku do OpenDPI obejmują obsługę dodatkowych protokołów, przeniesienie na platformę Windows, optymalizację wydajności, przystosowanie do stosowania w aplikacjach monitorujących ruch w czasie rzeczywistym (usunięto niektóre specyficzne funkcje spowalniające silnik), możliwość budowania w formie Moduł jądra Linux i obsługa definiowania podprotokołów.
Obsługiwanych jest łącznie 247 definicji protokołów i aplikacji, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent i IPsec po Telegram, Viber, WhatsApp, PostgreSQL i połączenia z Gmailem, Office365 GoogleDocs i YouTube. Istnieje dekoder certyfikatu SSL serwera i klienta, który pozwala określić protokół (na przykład Citrix Online i Apple iCloud) za pomocą certyfikatu szyfrowania. Narzędzie nDPIreader służy do analizowania zawartości zrzutów pcap lub bieżącego ruchu poprzez interfejs sieciowy.
$ ./nDPIreader -i eth0 -s 20 -f „host 192.168.1.10” Wykryte protokoły: Pakiety DNS: 57 bajtów: 7904 przepływów: 28 pakietów SSL_No_Cert: 483 bajty: 229203 przepływów: 6 pakietów FaceBook: 136 bajtów: 74702 przepływów: 4 pakiety DropBox: 9 bajtów: 668 przepływów: 3 pakiety Skype: 5 bajtów: 339 przepływów: 3 pakiety Google: 1700 bajtów: 619135 przepływów: 34
W nowym wydaniu:
- Ulepszona obsługa metod analizy ruchu szyfrowanego (ETA - Encrypted Traffic Analysis).
- Zaimplementowano obsługę ulepszonej metody identyfikacji klienta JA3+ TLS, która pozwala na podstawie funkcji negocjacji połączenia i określonych parametrów określić, jakie oprogramowanie jest używane do nawiązania połączenia (na przykład pozwala określić użycie Tora i inne typowe zastosowania). W przeciwieństwie do wcześniej obsługiwanej metody JA3, JA3+ ma mniej fałszywych alarmów.
- Liczba zidentyfikowanych zagrożeń sieciowych i problemów związanych z ryzykiem naruszenia bezpieczeństwa (ryzyko przepływu) została zwiększona do 33. Dodano nowe detektory zagrożeń związanych z udostępnianiem pulpitu i plików, podejrzanym ruchem HTTP, złośliwymi JA3 i SHA1 oraz dostępem do problematycznych domen i systemów autonomicznych, stosowanie certyfikatów TLS z podejrzanymi rozszerzeniami czy zbyt długi okres ważności.
- Przeprowadzono znaczną optymalizację wydajności, w porównaniu do gałęzi 3.0, prędkość przetwarzania ruchu wzrosła 2.5-krotnie.
- Dodano obsługę GeoIP do określania lokalizacji na podstawie adresu IP.
- Dodano API do obliczania RSI (wskaźnik siły względnej).
- Wdrożono kontrolę fragmentacji.
- Dodano API do obliczania jednorodności przepływu (jitter).
- Dodano obsługę protokołów i usług: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assisitant ( Alexa, Siri), Z39.50.
- Ulepszone parsowanie i wykrywanie AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoły, RTSP przez HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Źródło: opennet.ru