Projeto , desenvolvendo ferramentas para captura e análise de tráfego, lançamento de ferramentas para inspeção profunda de embalagens , continuando o desenvolvimento da biblioteca . O projeto nDPI foi fundado após uma tentativa frustrada de transferir alterações para OpenDPI, que ficou desacompanhado. O código nDPI é escrito em C e licenciado sob LGPLv3.
Projeto determinar os protocolos de nível de aplicação usados no tráfego, analisando a natureza da atividade da rede sem estar vinculado às portas da rede (pode identificar protocolos bem conhecidos cujos manipuladores aceitam conexões em portas de rede não padrão, por exemplo, se http não for enviado de porta 80, ou, inversamente, quando alguns tentam camuflar outras atividades de rede como http, executando-o na porta 80).
As diferenças do OpenDPI se resumem ao suporte a protocolos adicionais, portabilidade para a plataforma Windows, otimização de desempenho, adaptação para uso em aplicações de monitoramento de tráfego em tempo real (alguns recursos específicos que desaceleravam o motor foram removidos),
recursos de montagem na forma de um módulo do kernel Linux e suporte para definição de subprotocolos.
Um total de 238 definições de protocolos e aplicações são suportadas, desde
OpenVPN, Tor, QUIC, SOCKS, BitTorrent e IPsec para Telegram,
Viber, WhatsApp, PostgreSQL e chamadas para GMail, Office365
GoogleDocs e YouTube. Existe um decodificador de certificado SSL de servidor e cliente que permite determinar o protocolo (por exemplo, Citrix Online e Apple iCloud) usando o certificado de criptografia. O utilitário nDPIreader é fornecido para analisar o conteúdo de dumps pcap ou tráfego atual por meio da interface de rede.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Protocolos detectados:
Pacotes DNS: 57 bytes: 7904 fluxos: 28
Pacotes SSL_No_Cert: 483 bytes: 229203 fluxos: 6
Pacotes do Facebook: 136 bytes: 74702 fluxos: 4
Pacotes DropBox: 9 bytes: 668 fluxos: 3
Pacotes Skype: 5 bytes: 339 fluxos: 3
Pacotes do Google: 1700 bytes: 619135 fluxos: 34
Na nova versão:
- As informações sobre o protocolo agora são exibidas imediatamente após a definição, sem esperar pelo recebimento de metadados completos (mesmo quando campos específicos ainda não foram analisados devido à falha no recebimento dos pacotes de rede correspondentes), o que é importante para analisadores de tráfego que precisam analisar imediatamente responder a certos tipos de tráfego. Para aplicativos que exigem dissecação completa do protocolo, a API ndpi_extra_dissection_possible() é fornecida para garantir que todos os metadados do protocolo sejam definidos.
- Implementada análise mais profunda de TLS, extraindo informações sobre a exatidão do certificado e o hash SHA-1 do certificado.
- O sinalizador "-C" foi adicionado ao aplicativo nDPIreader para exportação em formato CSV, o que possibilita o uso do kit de ferramentas ntop adicional amostras estatísticas bastante complexas. Por exemplo, para determinar o IP do usuário que assistiu filmes no NetFlix por mais tempo:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "selecione src_ip,SUM(src2dst_bytes+dst2src_bytes) de /tmp/netflix.csv onde ndpi_proto gosta do grupo '%NetFlix%' por src_ip"192.168.1.7,6151821
- Adicionado suporte para o que foi proposto em identificar atividades maliciosas ocultas no tráfego criptografado usando tamanho de pacote e análise de tempo/latência de envio. No ndpiReader, o método é ativado pela opção “-J”.
- A classificação dos protocolos em categorias é fornecida.
- Adicionado suporte para cálculo de IAT (tempo entre chegadas) para identificar anomalias no uso do protocolo, por exemplo, para identificar o uso do protocolo durante ataques DoS.
- Adicionados recursos de análise de dados com base em métricas calculadas, como entropia, média, desvio padrão e variância.
- Uma versão inicial de ligações para a linguagem Python foi proposta.
- Adicionado um modo para detectar strings legíveis no tráfego para detectar vazamentos de dados. EM
O modo ndpiReader é habilitado com a opção “-e”. - Adicionado suporte para método de identificação de cliente TLS , que permite determinar, com base nas características de coordenação da conexão e nos parâmetros especificados, qual software é usado para estabelecer uma conexão (por exemplo, permite determinar o uso do Tor e outros aplicativos padrão).
- Adicionado suporte para métodos de identificação de implementações SSH () e DHCP.
- Funções adicionadas para serializar e desserializar dados em
Formatos Type-Length-Value (TLV) e JSON. - Adicionado suporte para protocolos e serviços: DTLS (TLS sobre UDP),
Hulu
TikTok/Musical.ly,
Vídeo WhatsApp,
DNS sobre HTTPS
Economia de dados
Linha ,
Google Duo, Hangouts,
VPN WireGuard,
IMO,
Zoom.us. - Suporte aprimorado para análise TLS, SIP, STUN,
Viper,
WhatsApp,
Amazon Vídeo,
SnapChat
FTP,
QUIC
OpenVPN UDP,
Facebook Messenger e Hangout.
Fonte: opennet.ru