ProHoster > blog > habari za mtandao > nDPI 3.0 mfumo wa ukaguzi wa pakiti ya kina unapatikana

nDPI 3.0 mfumo wa ukaguzi wa pakiti ya kina unapatikana

Mradi kitup, kutengeneza zana za kunasa na kuchambua trafiki, kuchapishwa kutolewa kwa zana za ukaguzi wa kina wa kifurushi nDPI 3.0, kuendelea na maendeleo ya maktaba OpenDPI. Mradi wa nDPI ulianzishwa baada ya jaribio lisilofanikiwa la kuhamisha mabadiliko kwa hazina OpenDPI, ambayo iliachwa bila kusindikizwa. Nambari ya nDPI imeandikwa kwa C na kusambazwa na iliyopewa leseni chini ya LGPLv3.

Mradi inaruhusu kuamua itifaki za kiwango cha programu zinazotumiwa katika trafiki, kuchanganua asili ya shughuli za mtandao bila kuunganishwa na milango ya mtandao (inaweza kutambua itifaki zinazojulikana ambazo washughulikiaji wanakubali miunganisho kwenye bandari zisizo za kawaida za mtandao, kwa mfano, ikiwa http haijatumwa kutoka port 80, au, kinyume chake, wakati wengine wanajaribu kuficha shughuli zingine za mtandao kama http kwa kuiendesha kwenye bandari 80).

Tofauti kutoka OpenDPI zinakuja ili kusaidia itifaki za ziada, uwekaji wa tovuti ya Windows, uboreshaji wa utendakazi, urekebishaji wa matumizi katika programu za ufuatiliaji wa trafiki kwa wakati halisi (baadhi ya vipengele maalum vilivyopunguza kasi ya injini vimeondolewa),
uwezo wa kusanyiko katika mfumo wa moduli ya Linux kernel na usaidizi wa kufafanua subprotocols.

Jumla ya itifaki 238 na ufafanuzi wa programu zinaungwa mkono, kutoka
OpenVPN, Tor, QUIC, SOCKS, BitTorrent na IPsec kwa Telegraph,
Viber, WhatsApp, PostgreSQL na simu kwa Gmail, Office365
GoogleDocs na YouTube. Kuna seva na avkodare ya cheti cha mteja cha SSL ambayo hukuruhusu kuamua itifaki (kwa mfano, Citrix Online na Apple iCloud) kwa kutumia cheti cha usimbaji fiche. Huduma ya nDPIreader hutolewa ili kuchanganua yaliyomo kwenye utupaji wa pcap au trafiki ya sasa kupitia kiolesura cha mtandao.

$ ./nDPIreader -i eth0 -s 20 -f "mwenyeji 192.168.1.10"

Itifaki zilizogunduliwa:
Pakiti za DNS: baiti 57: mtiririko wa 7904: 28
Pakiti za SSL_No_Cert: baiti 483: mtiririko wa 229203: 6
Pakiti za Facebook: baiti 136: mtiririko wa 74702: 4
Pakiti za DropBox: baiti 9: mtiririko 668: 3
Pakiti za Skype: baiti 5: mtiririko 339: 3
Pakiti za Google: baiti 1700: mtiririko wa 619135: 34

Katika toleo jipya:

  • Taarifa kuhusu itifaki sasa inaonyeshwa mara moja baada ya ufafanuzi, bila kusubiri metadata kamili kupokelewa (hata wakati sehemu maalum bado hazijachanganuliwa kutokana na kushindwa kupokea pakiti za mtandao zinazolingana), ambayo ni muhimu kwa wachambuzi wa trafiki wanaohitaji mara moja. kujibu aina fulani za trafiki. Kwa programu zinazohitaji utenganishaji kamili wa itifaki, ndpi_extra_dissection_possible() API hutolewa ili kuhakikisha kuwa metadata yote ya itifaki imefafanuliwa.
  • Imetekelezwa uchanganuzi wa kina wa TLS, ukitoa maelezo kuhusu usahihi wa cheti na heshi ya SHA-1 ya cheti.
  • Bendera ya "-C" imeongezwa kwenye programu ya nDPIreader kwa ajili ya kusafirisha katika umbizo la CSV, ambayo inafanya uwezekano wa kutumia zana ya ziada ya ntop. kutekeleza sampuli ngumu kabisa za takwimu. Kwa mfano, ili kubaini IP ya mtumiaji ambaye alitazama filamu kwa muda mrefu zaidi kwenye NetFlix:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "chagua src_ip,SUM(src2dst_bytes+dst2src_bytes) kutoka /tmp/netflix.csv ambapo ndpi_proto kama '%NetFlix%' kikundi na src_ip"

    192.168.1.7,6151821

  • Aliongeza msaada kwa kile kilichopendekezwa katika Cisco Furaha mafundi kutambua shughuli hasidi iliyofichwa katika trafiki iliyosimbwa kwa njia fiche kwa kutumia saizi ya pakiti na kutuma uchanganuzi wa saa/muda wa kusubiri. Katika ndpiReader, njia imeamilishwa na chaguo la "-J".
  • Uainishaji wa itifaki katika kategoria hutolewa.
  • Usaidizi ulioongezwa wa kukokotoa IAT (Muda wa Kuwasili kwa Muda) ili kutambua hitilafu katika matumizi ya itifaki, kwa mfano, kutambua matumizi ya itifaki wakati wa mashambulizi ya DoS.
  • Umeongeza uwezo wa kuchanganua data kulingana na vipimo vilivyokokotwa kama vile entropy, wastani, mkengeuko wa kawaida na tofauti.
  • Toleo la awali la vifungo kwa lugha ya Python limependekezwa.
  • Imeongeza hali ya kugundua mifuatano inayoweza kusomeka kwenye trafiki ili kugundua uvujaji wa data. KATIKA
    ndpiReader mode imewezeshwa na chaguo la "-e".

  • Usaidizi umeongezwa kwa mbinu ya utambulisho wa mteja wa TLS JA3, ambayo inakuwezesha kuamua, kwa kuzingatia sifa za uratibu wa uunganisho na vigezo maalum, ambayo programu hutumiwa kuanzisha uhusiano (kwa mfano, inakuwezesha kuamua matumizi ya Tor na maombi mengine ya kawaida).
  • Msaada ulioongezwa kwa njia za kutambua utekelezaji wa SSH (HASSH) na DHCP.
  • Vitendo vilivyoongezwa vya kusasisha na kuondoa data ndani
    Aina ya Urefu-Thamani (TLV) na miundo ya JSON.

  • Usaidizi ulioongezwa kwa itifaki na huduma: DTLS (TLS juu ya UDP),
    Hulu
    TikTok/Musical.ly,
    Video ya WhatsApp,
    DNSoverHTTPS
    Kihifadhi Data
    Mstari,
    Google Duo, Hangout,
    WireGuard VPN,
    IMO
    Zoom.us.

  • Usaidizi ulioboreshwa kwa TLS, SIP, uchambuzi wa STUN,
    viber,
    Whatsapp,
    Video ya Amazon,
    SnapChat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger na Hangout.

Chanzo: opennet.ru

Kuongeza maoni