Projekt , duke zhvilluar mjete për kapjen dhe analizimin e trafikut, lirimi i mjeteve për inspektimin e thellë të paketimit , duke vazhduar zhvillimin e bibliotekës . Projekti nDPI u themelua pas një përpjekjeje të pasuksesshme për të transferuar ndryshimet në OpenDPI, i cili u la i pashoqëruar. Kodi nDPI është shkruar në C dhe licencuar sipas LGPLv3.
Projekt të përcaktojë protokollet e nivelit të aplikacionit të përdorur në trafik, duke analizuar natyrën e aktivitetit të rrjetit pa u lidhur me portet e rrjetit (mund të identifikojë protokolle të njohura, mbajtësit e të cilëve pranojnë lidhje në portet e rrjetit jo standarde, për shembull, nëse http nuk dërgohet nga portin 80, ose, anasjelltas, kur disa përpiqen të kamuflojnë aktivitete të tjera të rrjetit si http duke e ekzekutuar në portin 80).
Dallimet nga OpenDPI vijnë tek mbështetja për protokollet shtesë, portimi për platformën Windows, optimizimi i performancës, përshtatja për përdorim në aplikacione për monitorimin e trafikut në kohë reale (disa veçori specifike që ngadalësuan motorin janë hequr),
aftësitë e montimit në formën e një moduli kernel Linux dhe mbështetje për përcaktimin e nënprotokolleve.
Mbështeten gjithsej 238 përkufizime të protokolleve dhe aplikacioneve, nga
OpenVPN, Tor, QUIC, SOCKS, BitTorrent dhe IPsec në Telegram,
Viber, WhatsApp, PostgreSQL dhe thirrje në GMail, Office365
GoogleDocs dhe YouTube. Ekziston një dekoder i certifikatës SSL të serverit dhe klientit që ju lejon të përcaktoni protokollin (për shembull, Citrix Online dhe Apple iCloud) duke përdorur certifikatën e kriptimit. Programi nDPIreader ofrohet për të analizuar përmbajtjen e pcap dumps ose trafikun aktual nëpërmjet ndërfaqes së rrjetit.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Protokollet e zbuluara:
Paketat DNS: 57 bajt: 7904 rrjedha: 28
SSL_No_Cert paketat: 483 byte: 229203 rrjedhat: 6
Paketat e Facebook: 136 byte: 74702 flukse: 4
Paketat DropBox: 9 bajt: 668 rrjedha: 3
Paketat Skype: 5 bajt: 339 rrjedha: 3
Paketat e Google: 1700 byte: 619135 rrjedha: 34
Në publikimin e ri:
- Informacioni rreth protokollit shfaqet tani menjëherë pas përcaktimit, pa pritur marrjen e meta të dhënave të plota (edhe kur fusha specifike nuk janë analizuar ende për shkak të dështimit për të marrë paketat përkatëse të rrjetit), gjë që është e rëndësishme për analizuesit e trafikut që duhet të përgjigjet ndaj llojeve të caktuara të trafikut. Për aplikacionet që kërkojnë zbërthim të plotë të protokollit, API-ja ndpi_extra_dissection_possible() ofrohet për të siguruar që të gjitha meta të dhënat e protokollit të përcaktohen.
- Zbatoi analizë më të thellë të TLS, duke nxjerrë informacione në lidhje me korrektësinë e certifikatës dhe hash-in SHA-1 të certifikatës.
- Flamuri "-C" është shtuar në aplikacionin nDPIreader për eksport në formatin CSV, gjë që bën të mundur përdorimin e veglave shtesë ntop mostra statistikore mjaft komplekse. Për shembull, për të përcaktuar IP-në e përdoruesit që ka parë më gjatë filma në NetFlix:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "zgjidh src_ip,SUM(src2dst_bytes+dst2src_bytes) nga /tmp/netflix.csv ku ndpi_proto si '%NetFlix%' grupohet sipas src_ip"192.168.1.7,6151821
- Mbështetje e shtuar për atë që u propozua në identifikimi i aktivitetit keqdashës të fshehur në trafikun e koduar duke përdorur madhësinë e paketës dhe dërgimin e analizës së kohës/latencës. Në ndpiReader, metoda aktivizohet nga opsioni "-J".
- Parashikohet klasifikimi i protokolleve në kategori.
- Mbështetje e shtuar për llogaritjen e IAT (Inter-Arrival Time) për të identifikuar anomalitë në përdorimin e protokollit, për shembull, për të identifikuar përdorimin e protokollit gjatë sulmeve DoS.
- U shtuan aftësitë e analizës së të dhënave bazuar në metrikat e llogaritura si entropia, mesatarja, devijimi standard dhe varianca.
- Është propozuar një version fillestar i lidhjeve për gjuhën Python.
- U shtua një modalitet për zbulimin e vargjeve të lexueshme në trafik për të zbuluar rrjedhjet e të dhënave. NË
Modaliteti ndpiReader aktivizohet me opsionin "-e". - Mbështetje e shtuar për metodën e identifikimit të klientit TLS , i cili ju lejon të përcaktoni, bazuar në karakteristikat e koordinimit të lidhjes dhe parametrave të specifikuar, cili softuer përdoret për të krijuar një lidhje (për shembull, ju lejon të përcaktoni përdorimin e Tor dhe aplikacioneve të tjera standarde).
- Mbështetje e shtuar për metodat për identifikimin e zbatimeve SSH () dhe DHCP.
- Funksione të shtuara për serializimin dhe deserializimin e të dhënave në
Formatet Type-Length-Value (TLV) dhe JSON. - Mbështetje e shtuar për protokollet dhe shërbimet: DTLS (TLS mbi UDP),
hulu,
TikTok/Musical.ly,
Video WhatsApp,
DNSoverHTTPS
Mbrojtësi i të dhënave
Linjë,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Mbështetje e përmirësuar për analizën TLS, SIP, STUN,
viber,
WhatsApp,
Video Amazon,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger dhe Hangout.
Burimi: opennet.ru