Loyiha , trafikni qo'lga olish va tahlil qilish uchun vositalarni ishlab chiqish, paketlarni chuqur tekshirish uchun asboblarni chiqarish , kutubxonani rivojlantirishni davom ettirish . nDPI loyihasi o'zgarishlarni o'tkazishga muvaffaqiyatsiz urinishdan keyin tashkil etilgan Hamrohsiz qolgan OpenDPI. nDPI kodi C va da yozilgan LGPLv3 ostida litsenziyalangan.
Loyiha tarmoq portlariga ulanmagan holda tarmoq faoliyatining xarakterini tahlil qilib, trafikda ishlatiladigan dastur darajasidagi protokollarni aniqlang (ishlovchilari nostandart tarmoq portlarida ulanishlarni qabul qiladigan taniqli protokollarni aniqlashi mumkin, masalan, agar http yuborilmagan bo'lsa. 80 porti yoki aksincha, ba'zilari boshqa tarmoq faoliyatini 80 portida ishga tushirish orqali http sifatida kamuflyaj qilishga harakat qilsalar).
OpenDPI-dan farqlar qo'shimcha protokollarni qo'llab-quvvatlash, Windows platformasi uchun portlash, ishlashni optimallashtirish, real vaqtda trafikni kuzatish uchun ilovalarda foydalanishga moslashish (dvigatelni sekinlashtiradigan ba'zi o'ziga xos xususiyatlar olib tashlangan),
Linux yadro moduli ko'rinishidagi yig'ish imkoniyatlari va subprotokollarni aniqlashni qo'llab-quvvatlash.
Jami 238 ta protokol va dastur ta'riflari qo'llab-quvvatlanadi
OpenVPN, Tor, QUIC, SOCKS, BitTorrent va IPsec-dan Telegram-ga,
Viber, WhatsApp, PostgreSQL va GMail, Office365-ga qo'ng'iroqlar
GoogleDocs va YouTube. Shifrlash sertifikati yordamida protokolni (masalan, Citrix Online va Apple iCloud) aniqlash imkonini beruvchi server va mijoz SSL sertifikati dekoderi mavjud. nDPIreader yordam dasturi pcap dumps mazmunini yoki tarmoq interfeysi orqali joriy trafikni tahlil qilish uchun taqdim etiladi.
$ ./nDPIreader -i eth0 -s 20 -f "xost 192.168.1.10"
Aniqlangan protokollar:
DNS paketlari: 57 bayt: 7904 oqim: 28
SSL_No_Cert paketlari: 483 bayt: 229203 oqim: 6
Facebook paketlari: 136 bayt: 74702 oqim: 4
DropBox paketlari: 9 bayt: 668 oqim: 3
Skype paketlari: 5 bayt: 339 oqim: 3
Google paketlari: 1700 bayt: 619135 oqim: 34
Yangi nashrda:
- Protokol haqidagi ma'lumotlar endi aniqlangandan so'ng darhol to'liq metama'lumotlar qabul qilinishini kutmasdan ko'rsatiladi (hatto tegishli tarmoq paketlarini olmaganligi sababli aniq maydonlar hali tahlil qilinmagan bo'lsa ham), bu darhol kerak bo'lgan trafik analizatorlari uchun muhimdir. trafikning ayrim turlariga javob berish. Protokolni to'liq ajratishni talab qiladigan ilovalar uchun ndpi_extra_dissection_possible() API barcha protokol metama'lumotlari aniqlanganligini ta'minlash uchun taqdim etiladi.
- TLS-ni chuqurroq tahlil qilish, sertifikatning to'g'riligi va sertifikatning SHA-1 xeshi haqidagi ma'lumotlarni olish amalga oshirildi.
- CSV formatida eksport qilish uchun nDPIreader ilovasiga "-C" bayrog'i qo'shildi, bu esa qo'shimcha ntop asboblar to'plamidan foydalanish imkonini beradi. juda murakkab statistik namunalar. Masalan, NetFlix-da filmlarni eng uzoq vaqt tomosha qilgan foydalanuvchining IP-manzilini aniqlash uchun:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "/tmp/netflix.csv dan src_ip,SUM(src2dst_bytes+dst2src_bayt) ni tanlang, bunda ndpi_proto src_ip tomonidan '%NetFlix%' guruhi kabi"192.168.1.7,6151821
- Taklif qilingan narsalar uchun qo'shimcha qo'llab-quvvatlash paket hajmi va uzatish vaqti/kechikish tahlili yordamida shifrlangan trafikda yashiringan zararli faoliyatni aniqlash. NdpiReader-da usul "-J" opsiyasi bilan faollashtirilgan.
- Protokollarni toifalarga ajratish ko'rsatilgan.
- Protokoldan foydalanishdagi anomaliyalarni aniqlash uchun, masalan, DoS hujumlari paytida protokoldan foydalanishni aniqlash uchun IAT (kelishlararo vaqt) ni hisoblash uchun qoΚ»shimcha yordam.
- Entropiya, o'rtacha, standart og'ish va dispersiya kabi hisoblangan ko'rsatkichlarga asoslangan ma'lumotlarni tahlil qilish imkoniyatlari qo'shildi.
- Python tili uchun ulanishlarning dastlabki versiyasi taklif qilindi.
- Ma'lumotlar sizib chiqishini aniqlash uchun trafikdagi o'qilishi mumkin bo'lgan satrlarni aniqlash rejimi qo'shildi. IN
ndpiReader rejimi β-eβ opsiyasi bilan yoqilgan. - TLS mijozni identifikatsiya qilish usuli uchun qo'shimcha qo'llab-quvvatlash , bu ulanishni o'rnatish uchun qaysi dasturiy ta'minotdan foydalanilishini (masalan, Tor va boshqa tipik ilovalardan foydalanishni aniqlash imkonini beradi) ulanish muzokaralarining xususiyatlari va belgilangan parametrlar asosida aniqlash imkonini beradi.
- SSH ilovalarini aniqlash usullari uchun qo'shimcha yordam () va DHCP.
- Ma'lumotlarni ketma-ketlashtirish va seriyadan chiqarish uchun qo'shilgan funktsiyalar
Type-Length-Value (TLV) va JSON formatlari. - Protokollar va xizmatlar uchun qo'shimcha yordam: DTLS (UDP orqali TLS),
hulu,
TikTok/Musical.ly,
WhatsApp video,
DNSoverHTTPS
Ma'lumot saqlovchi
chiziq,
Google Duo, Hangout,
WireGuard VPN,
IMO
Zoom.us. - TLS, SIP, STUN tahlillari uchun yaxshilangan yordam,
viber,
WhatsApp,
Amazon Video,
SnapChat
FTP,
QUIC
OpenVPN UDP,
Facebook Messenger va Hangout.
Manba: opennet.ru