Proiect , dezvoltarea de instrumente pentru captarea și analiza traficului, eliberarea de instrumente pentru inspecția profundă a pachetului , continuând dezvoltarea bibliotecii . Proiectul nDPI a fost fondat după o încercare nereușită de a transfera modificări în OpenDPI, care a fost lăsat neînsoțit. Codul nDPI este scris în C și licențiat conform LGPLv3.
Proiect determina protocoalele la nivel de aplicație utilizate în trafic, analizând natura activității de rețea fără a fi legat de porturile de rețea (poate identifica protocoale binecunoscute ai căror gestionari acceptă conexiuni pe porturi de rețea non-standard, de exemplu, dacă http nu este trimis de la portul 80 sau, dimpotrivă, când unii încearcă să camufleze altă activitate de rețea ca http, rulând-o pe portul 80).
Diferențele față de OpenDPI se reduc la suport pentru protocoale suplimentare, portare pentru platforma Windows, optimizare a performanței, adaptare pentru utilizare în aplicații pentru monitorizarea traficului în timp real (au fost eliminate unele caracteristici specifice care au încetinit motorul),
capabilități de asamblare sub forma unui modul de nucleu Linux și suport pentru definirea subprotocoalelor.
Un total de 238 de definiții de protocol și aplicații sunt acceptate, de la
OpenVPN, Tor, QUIC, SOCKS, BitTorrent și IPsec la Telegram,
Viber, WhatsApp, PostgreSQL și apeluri către GMail, Office365
GoogleDocs și YouTube. Există un decodor de certificat SSL pentru server și client care vă permite să determinați protocolul (de exemplu, Citrix Online și Apple iCloud) folosind certificatul de criptare. Utilitarul nDPIreader este furnizat pentru a analiza conținutul dump-urilor pcap sau a traficului curent prin interfața de rețea.
$ ./nDPIreader -i eth0 -s 20 -f "gazdă 192.168.1.10"
Protocoale detectate:
Pachete DNS: 57 octeți: 7904 fluxuri: 28
Pachete SSL_No_Cert: 483 octeți: 229203 fluxuri: 6
Pachete FaceBook: 136 octeți: 74702 fluxuri: 4
Pachete DropBox: 9 octeți: 668 fluxuri: 3
Pachete Skype: 5 octeți: 339 fluxuri: 3
Pachete Google: 1700 octeți: 619135 fluxuri: 34
În noua versiune:
- Informațiile despre protocol sunt acum afișate imediat după definire, fără a aștepta să fie primite metadatele complete (chiar și atunci când anumite câmpuri nu au fost încă analizate din cauza eșecului în primirea pachetelor de rețea corespunzătoare), ceea ce este important pentru analizatorii de trafic care trebuie să efectueze imediat răspunde la anumite tipuri de trafic. Pentru aplicațiile care necesită disecție completă a protocolului, este furnizat API-ul ndpi_extra_dissection_possible() pentru a se asigura că toate metadatele protocolului sunt definite.
- S-a implementat o analiză mai profundă a TLS, extragerea informațiilor despre corectitudinea certificatului și hash-ul SHA-1 al certificatului.
- Indicatorul „-C” a fost adăugat la aplicația nDPIreader pentru exportul în format CSV, ceea ce face posibilă utilizarea setului de instrumente suplimentar ntop mostre statistice destul de complexe. De exemplu, pentru a determina IP-ul utilizatorului care a vizionat filme pe NetFlix cel mai mult:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "selectați src_ip,SUM(src2dst_bytes+dst2src_bytes) din /tmp/netflix.csv unde ndpi_proto ca grupul „%NetFlix%” de src_ip”192.168.1.7,6151821
- S-a adăugat suport pentru ceea ce a fost propus în identificarea activităților rău intenționate ascunse în traficul criptat folosind dimensiunea pachetului și trimiterea analizei de timp/latență. În ndpiReader, metoda este activată prin opțiunea „-J”.
- Se oferă clasificarea protocoalelor pe categorii.
- S-a adăugat suport pentru calcularea IAT (Inter-Arrival Time) pentru a identifica anomalii în utilizarea protocolului, de exemplu, pentru a identifica utilizarea protocolului în timpul atacurilor DoS.
- S-au adăugat capabilități de analiză a datelor bazate pe metrici calculate, cum ar fi entropia, media, abaterea standard și varianța.
- A fost propusă o versiune inițială a legăturilor pentru limbajul Python.
- S-a adăugat un mod pentru detectarea șirurilor care pot fi citite în trafic pentru a detecta scurgerile de date. ÎN
Modul ndpiReader este activat cu opțiunea „-e”. - S-a adăugat suport pentru metoda de identificare a clientului TLS , care vă permite să determinați, pe baza caracteristicilor de coordonare a conexiunii și a parametrilor specificați, ce software este utilizat pentru a stabili o conexiune (de exemplu, vă permite să determinați utilizarea Tor și a altor aplicații standard).
- S-a adăugat suport pentru metodele de identificare a implementărilor SSH () și DHCP.
- S-au adăugat funcții pentru serializarea și deserializarea datelor în
Formate tip-lungime-valoare (TLV) și JSON. - S-a adăugat suport pentru protocoale și servicii: DTLS (TLS peste UDP),
hulu,
TikTok/Musical.ly,
Video WhatsApp,
DNSoverHTTPS
Salvator de date
Linia,
Google Duo, Hangout,
WireGuard VPN,
OMI,
Zoom.us. - Suport îmbunătățit pentru analiza TLS, SIP, STUN,
Viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger și Hangout.
Sursa: opennet.ru