Sistema de inspeção profunda de pacotes nDPI 3.0 disponível
Projeto ntop, desenvolvendo ferramentas para captura e análise de tráfego, опубликовал lançamento de ferramentas para inspeção profunda de embalagens nDPI 3.0, continuando o desenvolvimento da biblioteca OpenDPI. O projeto nDPI foi fundado após uma tentativa frustrada de transferir alterações para repositório OpenDPI, que ficou desacompanhado. O código nDPI é escrito em C e distribuído por licenciado sob LGPLv3.
Projeto permite determinar os protocolos de nível de aplicação usados no tráfego, analisando a natureza da atividade da rede sem estar vinculado às portas da rede (pode identificar protocolos bem conhecidos cujos manipuladores aceitam conexões em portas de rede não padrão, por exemplo, se http não for enviado de porta 80, ou, inversamente, quando alguns tentam camuflar outras atividades de rede como http, executando-o na porta 80).
As diferenças do OpenDPI se resumem ao suporte a protocolos adicionais, portabilidade para a plataforma Windows, otimização de desempenho, adaptação para uso em aplicações de monitoramento de tráfego em tempo real (alguns recursos específicos que desaceleravam o motor foram removidos),
recursos de montagem na forma de um módulo do kernel Linux e suporte para definição de subprotocolos.
Um total de 238 definições de protocolos e aplicações são suportadas, desde
OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec para Telegram,
Viber, WhatsApp, PostgreSQL e chamadas para GMail, Office365
GoogleDocs e YouTube. Existe um decodificador de certificado SSL de servidor e cliente que permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) usando o certificado de criptografia. O utilitário nDPIreader é fornecido para analisar o conteúdo de dumps pcap ou tráfego atual por meio da interface de rede.
As informações sobre o protocolo agora são exibidas imediatamente após a definição, sem esperar pelo recebimento de metadados completos (mesmo quando campos específicos ainda não foram analisados devido à falha no recebimento dos pacotes de rede correspondentes), o que é importante para analisadores de tráfego que precisam analisar imediatamente responder a certos tipos de tráfego. Para aplicativos que exigem dissecação completa do protocolo, a API ndpi_extra_dissection_possible() é fornecida para garantir que todos os metadados do protocolo sejam definidos.
Implementada análise mais profunda de TLS, extraindo informações sobre a exatidão do certificado e o hash SHA-1 do certificado.
O sinalizador "-C" foi adicionado ao aplicativo nDPIreader para exportação em formato CSV, o que possibilita o uso do kit de ferramentas ntop adicional realizar amostras estatísticas bastante complexas. Por exemplo, para determinar o IP do usuário que assistiu filmes no NetFlix por mais tempo:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "selecione src_ip,SUM(src2dst_bytes+dst2src_bytes) de /tmp/netflix.csv onde ndpi_proto gosta do grupo '%NetFlix%' por src_ip"
192.168.1.7,6151821
Adicionado suporte para o que foi proposto em Cisco Alegriatécnicos identificar atividades maliciosas ocultas no tráfego criptografado usando tamanho de pacote e análise de tempo/latência de envio. No ndpiReader, o método é ativado pela opção “-J”.
A classificação dos protocolos em categorias é fornecida.
Adicionado suporte para cálculo de IAT (tempo entre chegadas) para identificar anomalias no uso do protocolo, por exemplo, para identificar o uso do protocolo durante ataques DoS.
Adicionados recursos de análise de dados com base em métricas calculadas, como entropia, média, desvio padrão e variância.
Uma versão inicial de ligações para a linguagem Python foi proposta.
Adicionado um modo para detectar strings legíveis no tráfego para detectar vazamentos de dados. EM
O modo ndpiReader é habilitado com a opção “-e”.
Adicionado suporte para método de identificação de cliente TLS JA3, que permite determinar, com base nas características de coordenação da conexão e nos parâmetros especificados, qual software é usado para estabelecer uma conexão (por exemplo, permite determinar o uso do Tor e outros aplicativos padrão).
Adicionado suporte para métodos de identificação de implementações SSH (HASSH) e DHCP.
Funções adicionadas para serializar e desserializar dados em
Formatos Type-Length-Value (TLV) e JSON.
Adicionado suporte para protocolos e serviços: DTLS (TLS sobre UDP),
Hulu
TikTok/Musical.ly,
Vídeo WhatsApp,
DNS sobre HTTPS
Economia de dados
Linha ,
Google Duo, Hangouts,
VPN WireGuard,
IMO,
Zoom.us.
Suporte aprimorado para análise TLS, SIP, STUN,
Viper,
WhatsApp,
Amazon Vídeo,
SnapChat
FTP,
QUIC
OpenVPN UDP,
Facebook Messenger e Hangout.