Proyék ntop, anu ngembangkeun alat pikeun néwak sareng nganalisa lalu lintas, parantos nyebarkeun sékrési toolkit inspeksi pakét jero nDPI 4.0, anu neraskeun pamekaran perpustakaan OpenDPI. Proyék nDPI diadegkeun saatos usaha anu gagal pikeun nyorong parobihan kana Repositori OpenDPI, anu ditinggalkeun henteu dijaga. Kodeu nDPI ditulis dina C sareng dilisensikeun dina LGPLv3.
Proyék ieu ngamungkinkeun anjeun pikeun nangtoskeun protokol tingkat aplikasi anu dianggo dina lalu lintas, nganalisa sifat kagiatan jaringan tanpa dihijikeun ka palabuhan jaringan (tiasa nangtukeun protokol anu dikenal anu pawang nampi sambungan dina palabuhan jaringan non-standar, contona, upami http nyaéta dikirim ti port lian ti 80, atawa, Sabalikna, nalika aranjeunna nyobian kamuflase aktivitas jaringan séjén salaku http ku ngajalankeun eta on port 80).
Beda ti OpenDPI kaasup rojongan pikeun protokol tambahan, porting kana platform Windows, optimasi kinerja, adaptasi pikeun pamakéan dina real-time ngawaskeun lalulintas aplikasi (sababaraha fitur husus nu kalem handap mesin dihapus), kamampuhan pikeun ngawangun dina bentuk a modul kernel Linux Ubuntu, sarta rojongan pikeun nangtukeun subprotocols.
Jumlahna aya 247 protokol sareng definisi aplikasi dirojong, ti OpenVPN, Tor, QUIC, SOCKS, BitTorrent sareng IPsec ka Telegram, Viber, WhatsApp, PostgreSQL sareng telepon ka GMail, Office365 GoogleDocs sareng YouTube. Aya server sareng klien sertipikat SSL decoder anu ngamungkinkeun anjeun pikeun nangtukeun protokol (contona, Citrix Online sareng Apple iCloud) nganggo sertipikat enkripsi. Utilitas nDPIreader disayogikeun pikeun nganalisis eusi pcap dumps atanapi lalu lintas ayeuna ngalangkungan antarmuka jaringan.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10" Protokol dideteksi: pakét DNS: 57 bait: 7904 ngalir: 28 SSL_No_Cert pakét: 483 bait: 229203 aliran: 6 FaceBook 136 aliran: 74702 pakét 4: 9 FaceBook 668. 3 pakét DropBox: 5 bait: 339 alur: 3 pakét Skype: 1700 bait: 619135 alur: 34 pakét Google: XNUMX bait: XNUMX alur: XNUMX
Dina rilis anyar:
- Ningkatkeun dukungan pikeun metode analisis lalu lintas énkripsi (ETA - Analisis Lalu Lintas Énkripsi).
- Rojongan parantos dilaksanakeun pikeun metode idéntifikasi klien JA3 + TLS anu ditingkatkeun, anu ngamungkinkeun, dumasar kana fitur rundingan sambungan sareng parameter anu ditangtukeun, pikeun nangtoskeun parangkat lunak mana anu dianggo pikeun ngadamel sambungan (contona, ngamungkinkeun anjeun pikeun nangtoskeun panggunaan Tor sareng aplikasi has sejenna). Beda sareng metodeu JA3 anu dirojong sateuacana, JA3+ gaduh langkung seueur positip palsu.
- Jumlah anceman jaringan dicirikeun jeung masalah pakait sareng resiko kompromi (risiko aliran) geus dimekarkeun pikeun 33. detéktor anceman anyar geus ditambahkeun patali desktop jeung babagi payil, lalulintas HTTP curiga, JA3 jahat jeung SHA1, sarta aksés ka masalah. domain sareng sistem otonom, panggunaan sertipikat TLS kalayan ekstensi anu curiga atanapi periode validitas anu panjang teuing.
- Optimasi kinerja anu signifikan parantos dilaksanakeun; dibandingkeun sareng cabang 3.0, laju pamrosésan lalu lintas parantos ningkat ku 2.5 kali.
- Ditambahkeun dukungan GeoIP pikeun nangtukeun lokasi ku alamat IP.
- Ditambahkeun API pikeun ngitung RSI (Indéks Kakuatan Relatif).
- Kadali fragméntasi parantos dilaksanakeun.
- Ditambahkeun API pikeun ngitung uniformity aliran (jitter).
- Ditambahkeun dukungan pikeun protokol sareng jasa: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Assitant ( Alexa , Siri), Z39.50.
- Ningkatkeun parsing sareng deteksi AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protokol , RTSP via HTTP, SNMP, Skype, SSH, uap, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
sumber: opennet.ru