Trafikni qo'lga olish va tahlil qilish vositalarini ishlab chiqadigan ntop loyihasi OpenDPI kutubxonasini rivojlantirishni davom ettiruvchi nDPI 4.0 chuqur paketlarni tekshirish asboblar to'plamini nashr etdi. nDPI loyihasi OpenDPI omboriga o'zgartirish kiritishga bo'lgan muvaffaqiyatsiz urinishdan so'ng asos solingan va u saqlanib qolgan. nDPI kodi C tilida yozilgan va LGPLv3 ostida litsenziyalangan.
Loyiha tarmoq portlariga ulanmagan holda tarmoq faolligi xarakterini tahlil qilib, trafikda ishlatiladigan dastur darajasidagi protokollarni aniqlash imkonini beradi (u ishlov beruvchilari nostandart tarmoq portlarida ulanishlarni qabul qiladigan ma'lum protokollarni aniqlashi mumkin, masalan, http bo'lsa. 80-portdan boshqa portdan yuborilgan yoki aksincha, ular 80-portda ishga tushirish orqali boshqa tarmoq faoliyatini http sifatida kamuflyaj qilishga urinayotganlarida).
OpenDPI-dan farqlar orasida qo'shimcha protokollarni qo'llab-quvvatlash, Windows platformasiga o'tish, ishlashni optimallashtirish, real vaqt rejimida trafikni kuzatish dasturlarida foydalanish uchun moslashish (dvigatelni sekinlashtiradigan ba'zi o'ziga xos xususiyatlar olib tashlandi), Linux yadro moduli va subprotokollarni aniqlashni qo'llab-quvvatlash.
OpenVPN, Tor, QUIC, SOCKS, BitTorrent va IPsec-dan Telegram, Viber, WhatsApp, PostgreSQL va GMail, Office247 GoogleDocs va YouTube-ga qo'ng'iroqlargacha jami 365 ta protokol va dastur ta'riflari qo'llab-quvvatlanadi. Shifrlash sertifikati yordamida protokolni (masalan, Citrix Online va Apple iCloud) aniqlash imkonini beruvchi server va mijoz SSL sertifikati dekoderi mavjud. nDPIreader yordam dasturi pcap dumps mazmunini yoki tarmoq interfeysi orqali joriy trafikni tahlil qilish uchun taqdim etiladi.
$ ./nDPIreader -i eth0 -s 20 -f βxost 192.168.1.10β Aniqlangan protokollar: DNS-paketlar: 57 bayt: 7904 oqim: 28 SSL_No_Cert paket: 483 bayt: 229203 byt: flows: 6 byt 136 oqimlari: 74702 ta DropBox paketi: 4 bayt: 9 ta oqim: 668 ta Skype paketi: 3 bayt: 5 ta oqim: 339 ta Google paketi: 3 bayt: 1700 ta oqim: 619135 ta
Yangi nashrda:
- Shifrlangan trafik tahlili usullarini qo'llab-quvvatlash yaxshilandi (ETA - Encrypted Traffic Analysis).
- JA3+ TLS mijozlarni identifikatsiyalashning takomillashtirilgan usuli uchun qo'llab-quvvatlash amalga oshirildi, bu ulanishni muhokama qilish xususiyatlari va belgilangan parametrlarga asoslanib, ulanishni o'rnatish uchun qaysi dasturiy ta'minot ishlatilishini aniqlash imkonini beradi (masalan, Tor va boshqa tipik ilovalar). Ilgari qo'llab-quvvatlanadigan JA3 usulidan farqli o'laroq, JA3+ kamroq noto'g'ri musbatlarga ega.
- Aniqlangan tarmoq tahdidlari va murosaga kelish xavfi (oqim xavfi) bilan bogβliq muammolar soni 33 tagacha kengaytirildi. Ish stoli va fayl almashish, shubhali HTTP trafiki, zararli JA3 va SHA1 hamda muammoli fayllarga kirish bilan bogβliq yangi tahdid detektorlari qoβshildi. domenlar va avtonom tizimlar, shubhali kengaytmali yoki juda uzoq amal qilish muddati bilan TLS sertifikatlaridan foydalanish.
- Ishlash samaradorligini sezilarli darajada optimallashtirish amalga oshirildi, 3.0 filialiga nisbatan trafikni qayta ishlash tezligi 2.5 baravar oshdi.
- Joylashuvni IP manzili bo'yicha aniqlash uchun GeoIP qo'llab-quvvatlash qo'shildi.
- RSI (nisbiy kuch indeksi) ni hisoblash uchun API qoΚ»shildi.
- Parchalanish nazorati amalga oshirildi.
- Oqimning bir xilligini (jitter) hisoblash uchun API qo'shildi.
- Protokollar va xizmatlar uchun qoβshimcha qoβllab-quvvatlash: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr ( Virtual Ass) Alexa, Siri), Z39.50.
- AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP-ni tahlil qilish va aniqlash yaxshilandi. protokollar , HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, sim himoyasi orqali RTSP.
Manba: opennet.ru