ProHoster > Blog > internetne novice > Na voljo je sistem globokega pregleda paketov nDPI 3.0

Na voljo je sistem globokega pregleda paketov nDPI 3.0

Projekt ntop, razvoj orodij za zajem in analizo prometa, objavljeno sprostitev orodij za globok pregled paketa nDPI 3.0, nadaljevanje razvoja knjižnice OpenDPI. Projekt nDPI je bil ustanovljen po neuspešnem poskusu prenosa sprememb na repozitorij OpenDPI, ki je ostal brez spremstva. Koda nDPI je zapisana v C in distributer licenciran pod LGPLv3.

Projekt omogoča določiti protokole na ravni aplikacije, ki se uporabljajo v prometu, analizirati naravo omrežne dejavnosti, ne da bi bil vezan na omrežna vrata (lahko identificira dobro znane protokole, katerih upravljavci sprejemajo povezave na nestandardnih omrežnih vratih, na primer, če http ni poslan iz vrata 80 ali, nasprotno, ko nekateri poskušajo zakamuflirati drugo omrežno dejavnost kot http tako, da jo izvajajo na vratih 80).

Razlike od OpenDPI se spuščajo v podporo dodatnim protokolom, porting za platformo Windows, optimizacijo delovanja, prilagoditev za uporabo v aplikacijah za spremljanje prometa v realnem času (odstranjene so nekatere posebne funkcije, ki so upočasnjevale motor),
zmožnosti sestavljanja v obliki modula jedra Linuxa in podpore za definiranje podprotokolov.

Podprtih je skupno 238 definicij protokolov in aplikacij, od
OpenVPN, Tor, QUIC, SOCKS, BitTorrent in IPsec v Telegram,
Viber, WhatsApp, PostgreSQL in klici na GMail, Office365
GoogleDocs in YouTube. Obstaja dekodirnik potrdila SSL strežnika in odjemalca, ki omogoča določitev protokola (na primer Citrix Online in Apple iCloud) z uporabo potrdila za šifriranje. Pripomoček nDPIreader je na voljo za analizo vsebine izpisov pcap ali trenutnega prometa prek omrežnega vmesnika.

$ ./nDPIreader -i eth0 -s 20 -f "gostitelj 192.168.1.10"

Zaznani protokoli:
DNS paketi: 57 bajtov: 7904 tokov: 28
Paketi SSL_No_Cert: 483 bajtov: 229203 tokov: 6
FaceBook paketi: 136 bajtov: 74702 pretokov: 4
Paketi DropBox: 9 bajtov: 668 tokov: 3
Skype paketi: 5 bajtov: 339 pretokov: 3
Google paketi: 1700 bajtov: 619135 pretokov: 34

V novi izdaji:

  • Informacije o protokolu so zdaj prikazane takoj po definiciji, brez čakanja na prejem celotnih metapodatkov (tudi če določena polja še niso bila razčlenjena zaradi neuspešnega sprejema ustreznih omrežnih paketov), ​​kar je pomembno za analizatorje prometa, ki morajo takoj odzivajo na določene vrste prometa. Za aplikacije, ki zahtevajo popolno razčlenitev protokola, je na voljo API ndpi_extra_dissection_possible(), ki zagotavlja, da so definirani vsi metapodatki protokola.
  • Implementirano globlje razčlenjevanje TLS, pridobivanje informacij o pravilnosti potrdila in SHA-1 hash potrdila.
  • Aplikaciji nDPIreader je dodana zastavica "-C" za izvoz v format CSV, kar omogoča uporabo dodatnega orodja ntop izvesti precej zapletene statistične vzorce. Če želite na primer določiti IP uporabnika, ki je najdlje gledal filme na NetFlixu:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "izberite src_ip,SUM(src2dst_bytes+dst2src_bytes) iz /tmp/netflix.csv, kjer ndpi_proto kot '%NetFlix%' združi po src_ip"

    192.168.1.7,6151821

  • Dodana podpora za to, kar je bilo predlagano v Cisco Joy tehniki prepoznavanje zlonamerne dejavnosti, skrite v šifriranem prometu z uporabo velikosti paketa in analize časa/zakasnitve pošiljanja. V ndpiReader se metoda aktivira z možnostjo “-J”.
  • Podana je razvrstitev protokolov v kategorije.
  • Dodana podpora za izračun IAT (Inter-Arrival Time) za prepoznavanje anomalij v uporabi protokola, na primer za prepoznavanje uporabe protokola med napadi DoS.
  • Dodane zmožnosti analize podatkov na podlagi izračunanih meritev, kot so entropija, povprečje, standardni odklon in varianca.
  • Predlagana je bila začetna različica povezav za jezik Python.
  • Dodan način za odkrivanje berljivih nizov v prometu za odkrivanje uhajanja podatkov. IN
    Način ndpiReader je omogočen z možnostjo »-e«.

  • Dodana podpora za metodo identifikacije odjemalca TLS JA3, ki vam omogoča, da na podlagi značilnosti koordinacije povezave in določenih parametrov ugotovite, s katero programsko opremo se vzpostavi povezava (na primer omogoča ugotavljanje uporabe Tor in drugih standardnih aplikacij).
  • Dodana podpora za metode za prepoznavanje izvedb SSH (HAŠ) in DHCP.
  • Dodane funkcije za serializacijo in deserializacijo podatkov v
    Formati Type-Length-Value (TLV) in JSON.

  • Dodana podpora za protokole in storitve: DTLS (TLS prek UDP),
    hulu,
    TikTok/Musical.ly,
    WhatsApp Video,
    DNSoverHTTPS
    Varčevalec podatkov
    črta,
    Google Duo, pogovor Hangout,
    WireGuard VPN,
    IMO
    Zoom.us.

  • Izboljšana podpora za analizo TLS, SIP, STUN,
    viber,
    WhatsApp,
    Amazon Video,
    Snapchat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger in Hangout.

Vir: opennet.ru

Dodaj komentar