புரோஹோஸ்டர் > Блог > இணைய செய்தி > nDPI 3.0 ஆழமான பாக்கெட் ஆய்வு கிடைக்கிறது

nDPI 3.0 ஆழமான பாக்கெட் ஆய்வு கிடைக்கிறது

திட்டம் மேல், போக்குவரத்தைப் பிடிக்க மற்றும் பகுப்பாய்வு செய்வதற்கான கருவிகளை உருவாக்குதல், வெளியிடப்பட்ட ஆழமான தொகுப்பு ஆய்வுக்கான கருவிகளின் வெளியீடு nDPI 3.0, நூலகத்தின் வளர்ச்சி தொடர்கிறது OpenDPI. nDPI திட்டமானது மாற்றங்களை மாற்றுவதற்கான ஒரு தோல்வியுற்ற முயற்சிக்குப் பிறகு நிறுவப்பட்டது களஞ்சியம் துணையின்றி விடப்பட்ட OpenDPI. nDPI குறியீடு C இல் எழுதப்பட்டுள்ளது மற்றும் வழங்கியது LGPLv3 இன் கீழ் உரிமம் பெற்றது.

திட்டம் அது அனுமதிக்கிறது ட்ராஃபிக்கில் பயன்படுத்தப்படும் பயன்பாட்டு நிலை நெறிமுறைகளைத் தீர்மானிக்கவும், நெட்வொர்க் போர்ட்களுடன் இணைக்கப்படாமல் பிணைய செயல்பாட்டின் தன்மையை பகுப்பாய்வு செய்யவும் (நன்கு அறியப்பட்ட நெறிமுறைகளை அடையாளம் காண முடியும், அதன் கையாளுபவர்கள் தரமற்ற நெட்வொர்க் போர்ட்களில் இணைப்புகளை ஏற்றுக்கொள்கிறார்கள், எடுத்துக்காட்டாக, http அனுப்பப்படவில்லை என்றால் போர்ட் 80, அல்லது, மாறாக, சிலர் மற்ற நெட்வொர்க் செயல்பாட்டை போர்ட் 80 இல் இயக்குவதன் மூலம் http என மறைக்க முயலும்போது).

கூடுதல் நெறிமுறைகளுக்கான ஆதரவு, விண்டோஸ் இயங்குதளத்திற்கான போர்டிங், செயல்திறன் மேம்படுத்தல், நிகழ்நேரத்தில் போக்குவரத்தை கண்காணிப்பதற்கான பயன்பாடுகளில் பயன்படுத்துவதற்கான தழுவல் (இன்ஜினை மெதுவாக்கும் சில குறிப்பிட்ட அம்சங்கள் அகற்றப்பட்டுள்ளன)
லினக்ஸ் கர்னல் தொகுதி வடிவில் சட்டசபை திறன்கள் மற்றும் துணை நெறிமுறைகளை வரையறுப்பதற்கான ஆதரவு.

மொத்தம் 238 நெறிமுறைகள் மற்றும் பயன்பாட்டு வரையறைகள் ஆதரிக்கப்படுகின்றன
OpenVPN, Tor, QUIC, SOCKS, BitTorrent மற்றும் IPsec to Telegram,
Viber, WhatsApp, PostgreSQL மற்றும் GMail, Office365க்கான அழைப்புகள்
GoogleDocs மற்றும் YouTube. குறியாக்க சான்றிதழைப் பயன்படுத்தி நெறிமுறையை (உதாரணமாக, சிட்ரிக்ஸ் ஆன்லைன் மற்றும் ஆப்பிள் ஐக்ளவுட்) தீர்மானிக்க உங்களை அனுமதிக்கும் சேவையகம் மற்றும் கிளையன்ட் SSL சான்றிதழ் குறிவிலக்கி உள்ளது. nDPIreader பயன்பாடு பிணைய இடைமுகம் வழியாக pcap dumps அல்லது தற்போதைய போக்குவரத்தின் உள்ளடக்கங்களை பகுப்பாய்வு செய்ய வழங்கப்படுகிறது.

$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"

கண்டறியப்பட்ட நெறிமுறைகள்:
DNS பாக்கெட்டுகள்: 57 பைட்டுகள்: 7904 ஓட்டங்கள்: 28
SSL_No_Cert பாக்கெட்டுகள்: 483 பைட்டுகள்: 229203 ஓட்டங்கள்: 6
முகநூல் பாக்கெட்டுகள்: 136 பைட்டுகள்: 74702 ஓட்டங்கள்: 4
டிராப்பாக்ஸ் பாக்கெட்டுகள்: 9 பைட்டுகள்: 668 ஓட்டங்கள்: 3
ஸ்கைப் பாக்கெட்டுகள்: 5 பைட்டுகள்: 339 ஓட்டங்கள்: 3
கூகுள் பாக்கெட்டுகள்: 1700 பைட்டுகள்: 619135 ஓட்டங்கள்: 34

புதிய வெளியீட்டில்:

  • நெறிமுறை பற்றிய தகவல் இப்போது முழு மெட்டாடேட்டாவைப் பெறுவதற்குக் காத்திருக்காமல், வரையறையின்படி உடனடியாகக் காட்டப்படும் (குறிப்பிட்ட புலங்கள் இன்னும் தொடர்புடைய நெட்வொர்க் பாக்கெட்டுகளைப் பெறத் தவறியதால் பாகுபடுத்தப்படாவிட்டாலும் கூட), இது போக்குவரத்து பகுப்பாய்விகளுக்கு உடனடியாகத் தேவைப்படும். சில வகையான போக்குவரத்திற்கு பதிலளிக்கவும். முழு நெறிமுறை துண்டிப்பு தேவைப்படும் பயன்பாடுகளுக்கு, ndpi_extra_dissection_possible() API ஆனது அனைத்து நெறிமுறை மெட்டாடேட்டாவும் வரையறுக்கப்படுவதை உறுதிசெய்யும்.
  • TLS இன் ஆழமான பாகுபடுத்தல், சான்றிதழின் சரியான தன்மை மற்றும் சான்றிதழின் SHA-1 ஹாஷ் பற்றிய தகவல்களைப் பிரித்தெடுத்தல் செயல்படுத்தப்பட்டது.
  • CSV வடிவத்தில் ஏற்றுமதி செய்வதற்காக "-C" கொடி nDPIreader பயன்பாட்டில் சேர்க்கப்பட்டுள்ளது, இது கூடுதல் ntop கருவித்தொகுப்பைப் பயன்படுத்துவதை சாத்தியமாக்குகிறது. முன்னெடுங்கள் மிகவும் சிக்கலான புள்ளிவிவர மாதிரிகள். எடுத்துக்காட்டாக, நெட்ஃபிளிக்ஸில் அதிக நேரம் திரைப்படங்களைப் பார்த்த பயனரின் ஐபியைத் தீர்மானிக்க:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "/tmp/netflix.csv இலிருந்து src_ip,SUM(src2dst_bytes+dst2src_bytes) ஐத் தேர்ந்தெடுக்கவும், ndpi_proto போன்ற '%NetFlix%' குழுவை src_ip மூலம் தேர்ந்தெடுக்கவும்"

    192.168.1.7,6151821

  • முன்மொழியப்பட்டவற்றிற்கு ஆதரவு சேர்க்கப்பட்டது சிஸ்கோ ஜாய் உபகரணங்கள் மறைகுறியாக்கப்பட்ட போக்குவரத்தில் மறைந்திருக்கும் தீங்கிழைக்கும் செயல்பாட்டைக் கண்டறிதல் மற்றும் பாக்கெட் அளவைப் பயன்படுத்தி நேரம்/தாமதப் பகுப்பாய்வை அனுப்புதல். ndpiReader இல், இந்த முறை "-J" விருப்பத்தால் செயல்படுத்தப்படுகிறது.
  • நெறிமுறைகளின் வகைப்பாடு வகைகளாக வழங்கப்படுகிறது.
  • நெறிமுறை பயன்பாட்டில் உள்ள முரண்பாடுகளை அடையாளம் காண IAT (இடை-வருகை நேரம்) கணக்கிடுவதற்கான ஆதரவு சேர்க்கப்பட்டது, எடுத்துக்காட்டாக, DoS தாக்குதல்களின் போது நெறிமுறையின் பயன்பாட்டைக் கண்டறிய.
  • என்ட்ரோபி, சராசரி, நிலையான விலகல் மற்றும் மாறுபாடு போன்ற கணக்கிடப்பட்ட அளவீடுகளின் அடிப்படையில் தரவு பகுப்பாய்வு திறன்கள் சேர்க்கப்பட்டன.
  • பைதான் மொழிக்கான பிணைப்புகளின் ஆரம்ப பதிப்பு முன்மொழியப்பட்டது.
  • தரவு கசிவுகளைக் கண்டறிவதற்காக ட்ராஃபிக்கில் படிக்கக்கூடிய சரங்களைக் கண்டறிவதற்கான பயன்முறை சேர்க்கப்பட்டது. IN
    ndpiReader பயன்முறையானது “-e” விருப்பத்துடன் இயக்கப்பட்டது.

  • TLS கிளையன்ட் அடையாள முறைக்கான ஆதரவு சேர்க்கப்பட்டது JA3, இணைப்பு பேச்சுவார்த்தையின் பண்புகள் மற்றும் குறிப்பிட்ட அளவுருக்கள் ஆகியவற்றின் அடிப்படையில், இணைப்பை நிறுவ எந்த மென்பொருள் பயன்படுத்தப்படுகிறது என்பதை தீர்மானிக்க உங்களை அனுமதிக்கிறது (எடுத்துக்காட்டாக, இது Tor மற்றும் பிற நிலையான பயன்பாடுகளின் பயன்பாட்டை தீர்மானிக்க உங்களை அனுமதிக்கிறது).
  • SSH செயலாக்கங்களை அடையாளம் காணும் முறைகளுக்கான ஆதரவு சேர்க்கப்பட்டது (ஹாஷ்) மற்றும் DHCP.
  • தரவை வரிசைப்படுத்துதல் மற்றும் சீரமைத்தல் ஆகியவற்றுக்கான செயல்பாடுகள் சேர்க்கப்பட்டன
    வகை-நீளம்-மதிப்பு (TLV) மற்றும் JSON வடிவங்கள்.

  • நெறிமுறைகள் மற்றும் சேவைகளுக்கான ஆதரவு சேர்க்கப்பட்டது: டிடிஎல்எஸ் (டிஎல்எஸ் ஓவர் யுடிபி),
    ஹுலு,
    TikTok/Musical.ly,
    வாட்ஸ்அப் வீடியோ,
    DNSoverHTTPS
    டேட்டாசேவர்
    வரி,
    Google Duo, Hangout,
    வயர்கார்டு VPN,
    IMO
    Zoom.us.

  • TLS, SIP, STUN பகுப்பாய்வுக்கான மேம்படுத்தப்பட்ட ஆதரவு,
    வைபர்,
    பயன்கள்,
    அமேசான் வீடியோ,
    SnapChat
    ftp,
    இது QUIC
    OpenVPN UDP,
    Facebook Messenger மற்றும் Hangout.

ஆதாரம்: opennet.ru

கருத்தைச் சேர்