โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > nDPI 3.0 Deep Packet Inspection พร้อมใช้งาน

nDPI 3.0 Deep Packet Inspection พร้อมใช้งาน

โครงการ ไม่หยุดการพัฒนาเครื่องมือในการจับภาพและวิเคราะห์การจราจร ตีพิมพ์ การเปิดตัวเครื่องมือสำหรับการตรวจสอบบรรจุภัณฑ์แบบเจาะลึก nDPI 3.0ดำเนินการพัฒนาห้องสมุดอย่างต่อเนื่อง เปิดDPI. โครงการ nDPI ก่อตั้งขึ้นหลังจากพยายามถ่ายโอนการเปลี่ยนแปลงไปไม่สำเร็จ ที่เก็บ OpenDPI ซึ่งถูกทิ้งให้อยู่ตามลำพัง รหัส nDPI เขียนด้วยภาษา C และ จัดจำหน่ายโดย ได้รับอนุญาตภายใต้ LGPLv3

โครงการ ช่วยให้ กำหนดโปรโตคอลระดับแอปพลิเคชันที่ใช้ในการรับส่งข้อมูล วิเคราะห์ลักษณะของกิจกรรมเครือข่ายโดยไม่ต้องเชื่อมโยงกับพอร์ตเครือข่าย (สามารถระบุโปรโตคอลที่รู้จักกันดีซึ่งตัวจัดการยอมรับการเชื่อมต่อบนพอร์ตเครือข่ายที่ไม่ได้มาตรฐาน เช่น หากไม่ได้ส่ง http จาก พอร์ต 80 หรือในทางกลับกัน เมื่อบางคนพยายามอำพรางกิจกรรมเครือข่ายอื่น ๆ เป็น http โดยเรียกใช้บนพอร์ต 80)

ความแตกต่างจาก OpenDPI ลงมาเพื่อรองรับโปรโตคอลเพิ่มเติม, การย้ายสำหรับแพลตฟอร์ม Windows, การเพิ่มประสิทธิภาพการทำงาน, การปรับเพื่อใช้ในแอปพลิเคชันเพื่อตรวจสอบการรับส่งข้อมูลแบบเรียลไทม์ (คุณลักษณะเฉพาะบางอย่างที่ทำให้เครื่องยนต์ช้าลงได้ถูกลบออกแล้ว)
ความสามารถในการประกอบในรูปแบบของโมดูลเคอร์เนล Linux และการสนับสนุนการกำหนดโปรโตคอลย่อย

รองรับโปรโตคอลและคำจำกัดความแอปพลิเคชันทั้งหมด 238 รายการตั้งแต่
OpenVPN, Tor, QUIC, SOCKS, BitTorrent และ IPsec ถึง Telegram,
Viber, WhatsApp, PostgreSQL และการโทรไปที่ GMail, Office365
Google เอกสาร และ YouTube มีตัวถอดรหัสใบรับรอง SSL ของเซิร์ฟเวอร์และไคลเอนต์ที่ให้คุณกำหนดโปรโตคอล (เช่น Citrix Online และ Apple iCloud) โดยใช้ใบรับรองการเข้ารหัส ยูทิลิตี้ nDPIreader จัดทำขึ้นเพื่อวิเคราะห์เนื้อหาของดัมพ์ pcap หรือการรับส่งข้อมูลปัจจุบันผ่านอินเทอร์เฟซเครือข่าย

$ ./nDPIreader -i eth0 -s 20 -f "โฮสต์ 192.168.1.10"

โปรโตคอลที่ตรวจพบ:
แพ็กเก็ต DNS: 57 ไบต์: 7904 โฟลว์: 28
แพ็กเก็ต SSL_No_Cert: 483 ไบต์: 229203 กระแส: 6
แพ็กเก็ต Facebook: 136 ไบต์: 74702 โฟลว์: 4
แพ็กเก็ต DropBox: 9 ไบต์: 668 โฟลว์: 3
แพ็กเก็ต Skype: 5 ไบต์: 339 โฟลว์: 3
แพ็กเก็ต Google: 1700 ไบต์: 619135 โฟลว์: 34

ในรุ่นใหม่:

  • ขณะนี้ข้อมูลเกี่ยวกับโปรโตคอลจะแสดงทันทีตามคำจำกัดความ โดยไม่ต้องรอรับข้อมูลเมตาแบบเต็ม (แม้ว่าจะยังไม่ได้แยกวิเคราะห์ช่องใดช่องหนึ่งเนื่องจากความล้มเหลวในการรับแพ็คเก็ตเครือข่ายที่เกี่ยวข้อง) ซึ่งเป็นสิ่งสำคัญสำหรับเครื่องวิเคราะห์การรับส่งข้อมูลที่ต้องดำเนินการทันที ตอบสนองต่อการรับส่งข้อมูลบางประเภท สำหรับแอปพลิเคชันที่ต้องการการแยกโปรโตคอลแบบเต็ม จะมีการจัดหา ndpi_extra_dissection_possible() API เพื่อให้แน่ใจว่ามีการกำหนดข้อมูลเมตาของโปรโตคอลทั้งหมด
  • ใช้การแยกวิเคราะห์ TLS ในเชิงลึกยิ่งขึ้น โดยแยกข้อมูลเกี่ยวกับความถูกต้องของใบรับรองและแฮช SHA-1 ของใบรับรอง
  • เพิ่มแฟล็ก "-C" ลงในแอปพลิเคชัน nDPIreader เพื่อส่งออกในรูปแบบ CSV ซึ่งทำให้สามารถใช้ชุดเครื่องมือ ntop เพิ่มเติมได้ ดำเนินการ ตัวอย่างทางสถิติที่ค่อนข้างซับซ้อน ตัวอย่างเช่น หากต้องการกำหนด IP ของผู้ใช้ที่ดูภาพยนตร์บน NetFlix นานที่สุด:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "เลือก src_ip,SUM(src2dst_bytes+dst2src_bytes) จาก /tmp/netflix.csv โดยที่ ndpi_proto เช่น '%NetFlix%' จัดกลุ่มโดย src_ip"

    192.168.1.7,6151821

  • เพิ่มการสนับสนุนสำหรับสิ่งที่เสนอมา ซิสโก้ จอย อุปกรณ์ การระบุกิจกรรมที่เป็นอันตรายที่ซ่อนอยู่ในการรับส่งข้อมูลที่เข้ารหัสโดยใช้ขนาดแพ็คเก็ตและการวิเคราะห์เวลา/เวลาแฝงในการส่ง ใน ndpiReader วิธีการนี้จะถูกเปิดใช้งานโดยตัวเลือก “-J”
  • มีการจำแนกประเภทของโปรโตคอลเป็นหมวดหมู่
  • เพิ่มการรองรับสำหรับการคำนวณ IAT (Inter-Arrival Time) เพื่อระบุความผิดปกติในการใช้งานโปรโตคอล เช่น เพื่อระบุการใช้โปรโตคอลระหว่างการโจมตี DoS
  • เพิ่มความสามารถในการวิเคราะห์ข้อมูลตามตัวชี้วัดที่คำนวณได้ เช่น เอนโทรปี ค่าเฉลี่ย ส่วนเบี่ยงเบนมาตรฐาน และความแปรปรวน
  • มีการเสนอเวอร์ชันแรกของการเชื่อมโยงสำหรับภาษา Python
  • เพิ่มโหมดสำหรับการตรวจจับสตริงที่อ่านได้ในการรับส่งข้อมูลเพื่อตรวจจับการรั่วไหลของข้อมูล ใน
    โหมด ndpiReader ถูกเปิดใช้งานด้วยตัวเลือก “-e”

  • เพิ่มการรองรับวิธีการระบุตัวตนไคลเอ็นต์ TLS JA3ซึ่งช่วยให้คุณกำหนดตามลักษณะของการประสานงานการเชื่อมต่อและพารามิเตอร์ที่ระบุว่าซอฟต์แวร์ใดใช้ในการสร้างการเชื่อมต่อ (เช่น ช่วยให้คุณสามารถกำหนดการใช้ Tor และแอปพลิเคชันมาตรฐานอื่นๆ)
  • เพิ่มการรองรับวิธีการระบุการใช้งาน SSH (ฮัสช) และ DHCP
  • เพิ่มฟังก์ชันสำหรับซีเรียลไลซ์และดีซีเรียลไลซ์ข้อมูล
    รูปแบบประเภท-ความยาว-ค่า (TLV) และ JSON

  • เพิ่มการรองรับโปรโตคอลและบริการ: DTLS (TLS ผ่าน UDP)
    ฮูลู
    TikTok/Musical.ly,
    วิดีโอ WhatsApp,
    DNSoverHTTPS
    โปรแกรมรักษาข้อมูล
    เส้น,
    Google Duo, แฮงเอาท์,
    WireGuard VPN,
    ไอเอ็มโอ
    ซูม.เรา

  • ปรับปรุงการรองรับสำหรับการวิเคราะห์ TLS, SIP, STUN
    ไวเบอร์
    WhatsApp,
    วิดีโออเมซอน
    สแน็ปแชท
    เอฟทีพี,
    QUIC
    OpenVPN UDP,
    Facebook Messenger และแฮงเอาท์

ที่มา: opennet.ru

เพิ่มความคิดเห็น