Projekt ntop, ktorý vyvíja nástroje na zachytávanie a analýzu prevádzky, zverejnil vydanie sady nástrojov na hĺbkovú kontrolu paketov nDPI 4.0, ktorá pokračuje vo vývoji knižnice OpenDPI. Projekt nDPI vznikol po neúspešnom pokuse presadiť zmeny do OpenDPI úložiska, ktoré zostalo neudržiavané. Kód nDPI je napísaný v jazyku C a je licencovaný pod LGPLv3.
Projekt vám umožňuje určiť protokoly na aplikačnej úrovni používané v prevádzke, analyzovať povahu sieťovej aktivity bez toho, aby bol viazaný na sieťové porty (môže určiť známe protokoly, ktorých handlery akceptujú pripojenia na neštandardných sieťových portoch, napríklad ak je http odoslané z iného portu ako port 80, alebo naopak, kedy sa snažia inú sieťovú aktivitu zamaskovať ako http spustením na porte 80).
Rozdiely oproti OpenDPI zahŕňajú podporu dodatočných protokolov, portovanie na platformu Windows, optimalizáciu výkonu, prispôsobenie pre použitie v aplikáciách na sledovanie premávky v reálnom čase (odstránili sa niektoré špecifické funkcie, ktoré spomaľovali engine), možnosť zostavenia vo forme tzv. Modul linuxového jadra a podpora pre definovanie podprotokolov .
Celkovo je podporovaných 247 definícií protokolov a aplikácií, od OpenVPN, Tor, QUIC, SOCKS, BitTorrent a IPsec až po Telegram, Viber, WhatsApp, PostgreSQL a volania do GMail, Office365 GoogleDocs a YouTube. Existuje serverový a klientsky dekodér certifikátov SSL, ktorý vám umožňuje určiť protokol (napríklad Citrix Online a Apple iCloud) pomocou šifrovacieho certifikátu. Nástroj nDPIreader sa dodáva na analýzu obsahu výpisov pcap alebo aktuálnej prevádzky cez sieťové rozhranie.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Zistené protokoly: pakety DNS: 57 bajtov: 7904 tokov: 28 paketov SSL_No_Cert: 483 bajtov: 229203 tokov: 6 tokov: 136 FaceBook: 74702 tokov FaceBook: 4 bajtov: 9 tokov 668 pakety DropBox: 3 bajtov: 5 tokov: 339 pakety Skype: 3 bajtov: 1700 tokov: 619135 pakety Google: 34 bajtov: XNUMX tokov: XNUMX
V novom vydaní:
- Vylepšená podpora pre šifrované metódy analýzy návštevnosti (ETA – Encrypted Traffic Analysis).
- Bola implementovaná podpora pre vylepšenú metódu identifikácie klienta JA3+ TLS, ktorá umožňuje na základe funkcií vyjednávania o pripojení a špecifikovaných parametrov určiť, ktorý softvér sa použije na vytvorenie spojenia (umožňuje napríklad určiť použitie Tor a iné typické aplikácie). Na rozdiel od predtým podporovanej metódy JA3 má JA3+ menej falošných poplachov.
- Počet identifikovaných sieťových hrozieb a problémov spojených s rizikom kompromitácie (flow risk) bol rozšírený na 33. Pribudli nové detektory hrozieb súvisiace so zdieľaním pracovnej plochy a súborov, podozrivou HTTP návštevnosťou, škodlivými JA3 a SHA1 a prístupom k problematickým domény a autonómne systémy, používanie TLS certifikátov s podozrivými príponami alebo príliš dlhá doba platnosti.
- Uskutočnila sa výrazná optimalizácia výkonu, v porovnaní s vetvou 3.0 sa rýchlosť spracovania prevádzky zvýšila 2.5-krát.
- Pridaná podpora GeoIP pre určenie polohy podľa IP adresy.
- Pridané API pre výpočet RSI (Relative Strength Index).
- Boli implementované kontroly fragmentácie.
- Pridané API na výpočet rovnomernosti toku (jitter).
- Pridaná podpora pre protokoly a služby: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assistant ( Alexa, Siri), Z39.50.
- Vylepšená analýza a detekcia AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokoly , RTSP cez HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, Wireguard.
Zdroj: opennet.ru