Proyekto , pagbuo ng mga tool para sa pagkuha at pagsusuri ng trapiko, paglabas ng mga tool para sa malalim na inspeksyon ng pakete , nagpapatuloy sa pagpapaunlad ng aklatan . Ang proyekto ng nDPI ay itinatag pagkatapos ng isang hindi matagumpay na pagtatangka na ilipat ang mga pagbabago sa OpenDPI, na iniwang walang kasama. Ang nDPI code ay nakasulat sa C at lisensyado sa ilalim ng LGPLv3.
Proyekto tukuyin ang mga protocol sa antas ng aplikasyon na ginagamit sa trapiko, sinusuri ang katangian ng aktibidad ng network nang hindi nakatali sa mga port ng network (maaaring tukuyin ang mga kilalang protocol na ang mga humahawak ay tumatanggap ng mga koneksyon sa hindi karaniwang mga port ng network, halimbawa, kung ang http ay hindi ipinadala mula sa port 80, o, sa kabaligtaran, kapag sinubukan nilang i-camouflage ang iba pang aktibidad ng network bilang http sa pamamagitan ng pagpapatakbo nito sa port 80).
Ang mga pagkakaiba mula sa OpenDPI ay bumaba upang suportahan ang mga karagdagang protocol, porting para sa Windows platform, performance optimization, adaptation para sa paggamit sa mga application para sa pagsubaybay sa trapiko sa real time (ilang mga partikular na feature na nagpabagal sa engine ay inalis na),
mga kakayahan sa pagpupulong sa anyo ng isang Linux kernel module at suporta para sa pagtukoy ng mga subprotocol.
Isang kabuuang 238 protocol at mga kahulugan ng application ang sinusuportahan, mula sa
OpenVPN, Tor, QUIC, SOCKS, BitTorrent at IPsec sa Telegram,
Viber, WhatsApp, PostgreSQL at mga tawag sa GMail, Office365
GoogleDocs at YouTube. Mayroong server at client SSL certificate decoder na nagbibigay-daan sa iyong matukoy ang protocol (halimbawa, Citrix Online at Apple iCloud) gamit ang encryption certificate. Ang utility ng nDPIreader ay ibinibigay upang suriin ang mga nilalaman ng mga pcap dump o kasalukuyang trapiko sa pamamagitan ng interface ng network.
$ ./nDPIreader -i eth0 -s 20 -f "host 192.168.1.10"
Mga natukoy na protocol:
Mga DNS packet: 57 bytes: 7904 na daloy: 28
SSL_No_Cert packets: 483 bytes: 229203 flows: 6
Mga packet sa Facebook: 136 bytes: 74702 na daloy: 4
Mga DropBox packet: 9 bytes: 668 flows: 3
Mga Skype packet: 5 bytes: 339 flows: 3
Mga packet ng Google: 1700 bytes: 619135 na daloy: 34
Sa bagong release:
- Ang impormasyon tungkol sa protocol ay ipinapakita na ngayon kaagad sa pagtukoy, nang hindi naghihintay na matanggap ang buong metadata (kahit na hindi pa na-parse ang mga partikular na field dahil sa pagkabigo na matanggap ang mga kaukulang network packet), na mahalaga para sa mga traffic analyzer na kailangang agad na tumugon sa ilang uri ng trapiko. Para sa mga application na nangangailangan ng buong protocol dissection, ang ndpi_extra_dissection_possible() API ay ibinigay upang matiyak na ang lahat ng protocol metadata ay tinukoy.
- Nagpatupad ng mas malalim na pag-parse ng TLS, pagkuha ng impormasyon tungkol sa kawastuhan ng certificate at SHA-1 hash ng certificate.
- Ang flag na "-C" ay naidagdag sa nDPIreader application para sa pag-export sa CSV format, na ginagawang posible na gamitin ang karagdagang ntop toolkit medyo kumplikadong mga sample ng istatistika. Halimbawa, upang matukoy ang IP ng user na pinakamatagal na nanood ng mga pelikula sa NetFlix:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "piliin ang src_ip,SUM(src2dst_bytes+dst2src_bytes) mula sa /tmp/netflix.csv kung saan ndpi_proto tulad ng '%NetFlix%' na grupo ni src_ip"192.168.1.7,6151821
- Nagdagdag ng suporta para sa kung ano ang iminungkahi sa pagtukoy ng malisyosong aktibidad na nakatago sa naka-encrypt na trapiko gamit ang laki ng packet at pagsusuri sa oras/latency ng pagpapadala. Sa ndpiReader, ang pamamaraan ay isinaaktibo ng opsyong "-J".
- Ang pag-uuri ng mga protocol sa mga kategorya ay ibinigay.
- Nagdagdag ng suporta para sa pagkalkula ng IAT (Inter-Arrival Time) upang matukoy ang mga anomalya sa paggamit ng protocol, halimbawa, upang matukoy ang paggamit ng protocol sa panahon ng pag-atake ng DoS.
- Nagdagdag ng mga kakayahan sa pagsusuri ng data batay sa mga nakalkulang sukatan gaya ng entropy, mean, standard deviation, at variance.
- Ang isang paunang bersyon ng mga binding para sa wikang Python ay iminungkahi.
- Nagdagdag ng mode para sa pag-detect ng mga nababasang string sa trapiko para makita ang mga pagtagas ng data. SA
Ang ndpiReader mode ay pinagana gamit ang "-e" na opsyon. - Nagdagdag ng suporta para sa paraan ng pagkilala sa kliyente ng TLS , na nagbibigay-daan sa iyo upang matukoy, batay sa mga katangian ng koordinasyon ng koneksyon at tinukoy na mga parameter, kung aling software ang ginagamit upang magtatag ng isang koneksyon (halimbawa, pinapayagan ka nitong matukoy ang paggamit ng Tor at iba pang mga karaniwang application).
- Nagdagdag ng suporta para sa mga pamamaraan para sa pagtukoy ng mga pagpapatupad ng SSH () at DHCP.
- Nagdagdag ng mga function para sa serializing at deserializing data sa
Type-Length-Value (TLV) at JSON na mga format. - Nagdagdag ng suporta para sa mga protocol at serbisyo: DTLS (TLS over UDP),
hulu,
TikTok/Musical.ly,
WhatsApp Video,
DNSoverHTTPS
Datasaver
linya,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - Pinahusay na suporta para sa TLS, SIP, STUN analysis,
viber,
WhatsApp,
Amazon Video,
SnapChat
ftp,
QUIC
OpenVPN UDP,
Facebook Messenger at Hangout.
Pinagmulan: opennet.ru