Projekti ntop, i cili zhvillon mjete për kapjen dhe analizimin e trafikut, ka publikuar lëshimin e paketës së inspektimit të paketave të thella nDPI 4.0, e cila vazhdon zhvillimin e bibliotekës OpenDPI. Projekti nDPI u themelua pas një përpjekjeje të pasuksesshme për të shtyrë ndryshimet në depon e OpenDPI, e cila mbeti e pamirëmbajtur. Kodi nDPI është shkruar në C dhe është i licencuar sipas LGPLv3.
Projekti ju lejon të përcaktoni protokollet e nivelit të aplikacionit të përdorura në trafik, duke analizuar natyrën e aktivitetit të rrjetit pa u lidhur me portet e rrjetit (ai mund të përcaktojë protokolle të njohura, mbajtësit e të cilëve pranojnë lidhje në porte rrjeti jo standarde, për shembull, nëse http është dërguar nga një port tjetër nga porti 80, ose, anasjelltas, kur ata po përpiqen të maskojnë aktivitetin tjetër të rrjetit si http duke e ekzekutuar atë në portin 80).
Dallimet nga OpenDPI përfshijnë mbështetjen për protokolle shtesë, transferimin në platformën Windows, optimizimin e performancës, përshtatjen për përdorim në aplikacionet e monitorimit të trafikut në kohë reale (disa veçori specifike që ngadalësuan motorin u hoqën), aftësinë për të ndërtuar në formën e një Moduli i kernelit Linux dhe mbështetje për përcaktimin e nënprotokolleve.
Mbështeten gjithsej 247 përkufizime të protokolleve dhe aplikacioneve, nga OpenVPN, Tor, QUIC, SOCKS, BitTorrent dhe IPsec tek Telegram, Viber, WhatsApp, PostgreSQL dhe thirrjet drejt GMail, Office365 GoogleDocs dhe YouTube. Ekziston një dekoder i certifikatës SSL të serverit dhe klientit që ju lejon të përcaktoni protokollin (për shembull, Citrix Online dhe Apple iCloud) duke përdorur certifikatën e kriptimit. Programi nDPIreader ofrohet për të analizuar përmbajtjen e pcap dumps ose trafikun aktual nëpërmjet ndërfaqes së rrjetit.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" Protokollet e zbuluara: paketat DNS: 57 bajte: 7904 flukse: 28 paketa SSL_No_Cert: 483 bajte: 229203 pako 6 byte: 136 byte: 74702 pakete 4 bytes rrjedh: 9 pako DropBox: 668 byte: 3 flukse: 5 paketa Skype: 339 bajte: 3 flukse: 1700 paketa Google: 619135 bajte: 34 flukse: XNUMX
Në publikimin e ri:
- Mbështetje e përmirësuar për metodat e analizës së trafikut të koduar (ETA - Analiza e koduar e trafikut).
- Mbështetja është zbatuar për metodën e përmirësuar të identifikimit të klientit JA3+ TLS, e cila lejon, bazuar në veçoritë e negocimit të lidhjes dhe parametrat e specifikuar, të përcaktojë se cili softuer përdoret për të krijuar një lidhje (për shembull, ju lejon të përcaktoni përdorimin e Tor dhe aplikacione të tjera tipike). Ndryshe nga metoda JA3 e mbështetur më parë, JA3+ ka më pak pozitive false.
- Numri i kërcënimeve të identifikuara të rrjetit dhe problemeve që lidhen me rrezikun e kompromisit (rreziku i rrjedhës) është zgjeruar në 33. Detektorë të rinj kërcënimi janë shtuar në lidhje me ndarjen e desktopit dhe skedarëve, trafikun e dyshimtë HTTP, JA3 dhe SHA1 me qëllim të keq dhe aksesin në problematikë domenet dhe sistemet autonome, përdorimi i certifikatave TLS me zgjatime të dyshimta ose një periudhë shumë të gjatë vlefshmërie.
- Është kryer një optimizim i rëndësishëm i performancës; krahasuar me degën 3.0, shpejtësia e përpunimit të trafikut është rritur me 2.5 herë.
- U shtua mbështetje GeoIP për përcaktimin e vendndodhjes sipas adresës IP.
- U shtua API për llogaritjen e RSI (Relative Strength Index).
- Janë zbatuar kontrollet e fragmentimit.
- U shtua API për llogaritjen e uniformitetit të rrjedhës (jitter).
- Mbështetje e shtuar për protokollet dhe shërbimet: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblrt, Alexa, Siri), Z39.50.
- Analizimi dhe zbulimi i përmirësuar i AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QSPU protokollet , RTSP nëpërmjet HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, tela.
Burimi: opennet.ru