Projekt , utveckla verktyg för att fånga och analysera trafik, släpp av verktyg för djupförpackningsinspektion , fortsätta utvecklingen av biblioteket . nDPI-projektet grundades efter ett misslyckat försök att överföra ändringar till OpenDPI, som lämnades utan sällskap. nDPI-koden skrivs i C och licensierad under LGPLv3.
Projekt bestämma de protokoll på applikationsnivå som används i trafiken, analysera karaktären av nätverksaktivitet utan att vara knuten till nätverksportar (kan identifiera välkända protokoll vars hanterare accepterar anslutningar på icke-standardiserade nätverksportar, till exempel om http inte skickas från port 80, eller omvänt, när vissa försöker kamouflera annan nätverksaktivitet som http genom att köra den på port 80).
Skillnader från OpenDPI beror på stöd för ytterligare protokoll, portering för Windows-plattformen, prestandaoptimering, anpassning för användning i applikationer för att övervaka trafik i realtid (några specifika funktioner som saktade ner motorn har tagits bort),
monteringsmöjligheter i form av en Linux-kärnmodul och stöd för att definiera underprotokoll.
Totalt stöds 238 protokoll- och applikationsdefinitioner, från
OpenVPN, Tor, QUIC, SOCKS, BitTorrent och IPsec till Telegram,
Viber, WhatsApp, PostgreSQL och samtal till Gmail, Office365
GoogleDocs och YouTube. Det finns en server- och klient-SSL-certifikatavkodare som låter dig bestämma protokollet (till exempel Citrix Online och Apple iCloud) med hjälp av krypteringscertifikatet. Verktyget nDPIreader tillhandahålls för att analysera innehållet i pcap-dumpar eller aktuell trafik via nätverksgränssnittet.
$ ./nDPIreader -i eth0 -s 20 -f "värd 192.168.1.10"
Upptäckta protokoll:
DNS-paket: 57 byte: 7904 flöden: 28
SSL_No_Cert-paket: 483 byte: 229203 flöden: 6
FaceBook-paket: 136 byte: 74702 flöden: 4
DropBox-paket: 9 byte: 668 flöden: 3
Skype-paket: 5 byte: 339 flöden: 3
Google-paket: 1700 byte: 619135 flöden: 34
I den nya utgåvan:
- Information om protokollet visas nu omedelbart efter definition, utan att vänta på att fullständig metadata ska tas emot (även när specifika fält ännu inte har analyserats på grund av misslyckande att ta emot motsvarande nätverkspaket), vilket är viktigt för trafikanalysatorer som behöver omedelbart svara på vissa typer av trafik. För applikationer som kräver fullständig protokolldissektion tillhandahålls API:et ndpi_extra_dissection_possible() för att säkerställa att alla protokollmetadata är definierade.
- Implementerat djupare analys av TLS, extraherat information om certifikatets korrekthet och SHA-1-hash för certifikatet.
- Flaggan "-C" har lagts till i nDPIreader-applikationen för export i CSV-format, vilket gör det möjligt att använda den extra verktygslådan ntop ganska komplicerade statistiska urval. Till exempel, för att bestämma IP-adressen för användaren som tittat på filmer längst på Netflix:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "välj src_ip,SUM(src2dst_bytes+dst2src_bytes) från /tmp/netflix.csv där ndpi_proto som '%NetFlix%' grupperar efter src_ip"192.168.1.7,6151821
- Lade till stöd för det som föreslogs i identifiera skadlig aktivitet gömd i krypterad trafik med hjälp av paketstorlek och analys av sändningstid/latens. I ndpiReader aktiveras metoden av alternativet "-J".
- Klassificering av protokoll i kategorier tillhandahålls.
- Lade till stöd för att beräkna IAT (Inter-Arrival Time) för att identifiera anomalier i protokollanvändning, till exempel för att identifiera användningen av protokollet under DoS-attacker.
- Lade till dataanalysfunktioner baserade på beräknade mätvärden som entropi, medelvärde, standardavvikelse och varians.
- En första version av bindningar för Python-språket har föreslagits.
- Lade till ett läge för att upptäcka läsbara strängar i trafik för att upptäcka dataläckor. I
ndpiReader-läget är aktiverat med alternativet "-e". - Tillagt stöd för TLS-klientidentifieringsmetod , som låter dig bestämma, baserat på egenskaperna för anslutningskoordinering och specificerade parametrar, vilken programvara som används för att upprätta en anslutning (till exempel låter den dig bestämma användningen av Tor och andra standardapplikationer).
- Lade till stöd för metoder för att identifiera SSH-implementeringar () och DHCP.
- Tillagda funktioner för att serialisera och deserialisera data in
Typ-Length-Value (TLV) och JSON-format. - Tillagt stöd för protokoll och tjänster: DTLS (TLS over UDP),
Hulu,
TikTok/Musical.ly,
WhatsApp-video,
DNSoverHTTPS
Datasparare
Linje,
Google Duo, Hangout,
WireGuard VPN,
IMO,
Zoom.us. - Förbättrat stöd för TLS, SIP, STUN-analys,
viber,
WhatsApp,
Amazon Video,
Snapchat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger och Hangout.
Källa: opennet.ru