Prohoster > Blog > tin tức mạng > Kiểm tra gói sâu nDPI 3.0 có sẵn

Kiểm tra gói sâu nDPI 3.0 có sẵn

Dự án ntop, phát triển các công cụ để nắm bắt và phân tích lưu lượng truy cập, công bố phát hành các công cụ để kiểm tra gói hàng sâu nDPI 3.0, tiếp tục phát triển thư viện OpenDPI. Dự án nDPI được thành lập sau một nỗ lực không thành công trong việc chuyển các thay đổi sang kho OpenDPI, không được đi kèm. Mã nDPI được viết bằng C và phân phối bởi được cấp phép theo LGPLv3.

Dự án cho phép xác định các giao thức cấp ứng dụng được sử dụng trong lưu lượng, phân tích bản chất của hoạt động mạng mà không bị ràng buộc với các cổng mạng (có thể xác định các giao thức nổi tiếng mà trình xử lý của chúng chấp nhận kết nối trên các cổng mạng không chuẩn, ví dụ: nếu http không được gửi từ cổng 80 hoặc ngược lại, khi một số người cố gắng ngụy trang hoạt động mạng khác dưới dạng http bằng cách chạy nó trên cổng 80).

Sự khác biệt so với OpenDPI nằm ở việc hỗ trợ các giao thức bổ sung, chuyển sang nền tảng Windows, tối ưu hóa hiệu suất, thích ứng để sử dụng trong các ứng dụng giám sát lưu lượng truy cập trong thời gian thực (một số tính năng cụ thể làm chậm động cơ đã bị xóa),
khả năng lắp ráp dưới dạng mô-đun hạt nhân Linux và hỗ trợ xác định các giao thức con.

Tổng cộng có 238 định nghĩa giao thức và ứng dụng được hỗ trợ, từ
OpenVPN, Tor, QUIC, SOCKS, BitTorrent và IPsec cho Telegram,
Viber, WhatsApp, PostgreSQL và các cuộc gọi tới GMail, Office365
GoogleDocs và YouTube. Có một bộ giải mã chứng chỉ SSL máy chủ và máy khách cho phép bạn xác định giao thức (ví dụ: Citrix Online và Apple iCloud) bằng chứng chỉ mã hóa. Tiện ích nDPIreader được cung cấp để phân tích nội dung của kết xuất pcap hoặc lưu lượng truy cập hiện tại qua giao diện mạng.

$ ./nDPIreader -i eth0 -s 20 -f "máy chủ 192.168.1.10"

Các giao thức được phát hiện:
Gói DNS: 57 byte: 7904 luồng: 28
Gói SSL_No_Cert: 483 byte: 229203 luồng: 6
Gói FaceBook: 136 byte: 74702 luồng: 4
Gói DropBox: 9 byte: 668 luồng: 3
Gói Skype: 5 byte: 339 luồng: 3
Gói Google: 1700 byte: 619135 luồng: 34

Trong bản phát hành mới:

  • Thông tin về giao thức hiện được hiển thị ngay lập tức sau khi xác định mà không cần chờ nhận siêu dữ liệu đầy đủ (ngay cả khi các trường cụ thể chưa được phân tích cú pháp do không nhận được gói mạng tương ứng), điều này rất quan trọng đối với các nhà phân tích lưu lượng cần phải ngay lập tức đáp ứng với một số loại lưu lượng truy cập nhất định. Đối với các ứng dụng yêu cầu phân tích giao thức đầy đủ, API ndpi_extra_dissection_possible() được cung cấp để đảm bảo rằng tất cả siêu dữ liệu giao thức đều được xác định.
  • Đã triển khai phân tích cú pháp TLS sâu hơn, trích xuất thông tin về tính chính xác của chứng chỉ và hàm băm SHA-1 của chứng chỉ.
  • Cờ "-C" đã được thêm vào ứng dụng nDPIreader để xuất ở định dạng CSV, giúp bạn có thể sử dụng bộ công cụ ntop bổ sung thực hiện mẫu thống kê khá phức tạp. Ví dụ: để xác định IP của người dùng đã xem phim trên NetFlix lâu nhất:

    $ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
    $ q -H -d ',' "chọn src_ip,SUM(src2dst_bytes+dst2src_bytes) từ /tmp/netflix.csv trong đó ndpi_proto thích nhóm '%NetFlix%' của src_ip"

    192.168.1.7,6151821

  • Đã thêm hỗ trợ cho những gì đã được đề xuất trong Niềm vui của Cisco kỹ thuật viên xác định hoạt động độc hại ẩn trong lưu lượng được mã hóa bằng cách sử dụng kích thước gói và phân tích thời gian/độ trễ gửi. Trong ndpiReader, phương thức này được kích hoạt bằng tùy chọn “-J”.
  • Phân loại các giao thức thành các loại được cung cấp.
  • Đã thêm hỗ trợ tính toán IAT (Thời gian đến) để xác định những điểm bất thường trong việc sử dụng giao thức, chẳng hạn như để xác định việc sử dụng giao thức trong các cuộc tấn công DoS.
  • Đã thêm khả năng phân tích dữ liệu dựa trên các số liệu được tính toán như entropy, giá trị trung bình, độ lệch chuẩn và phương sai.
  • Phiên bản đầu tiên của các ràng buộc dành cho ngôn ngữ Python đã được đề xuất.
  • Đã thêm chế độ phát hiện các chuỗi có thể đọc được trong lưu lượng truy cập để phát hiện rò rỉ dữ liệu. TRONG
    Chế độ ndpiReader được bật với tùy chọn “-e”.

  • Đã thêm hỗ trợ cho phương thức nhận dạng khách hàng TLS JA3, cho phép bạn xác định, dựa trên các đặc điểm phối hợp kết nối và các tham số được chỉ định, phần mềm nào được sử dụng để thiết lập kết nối (ví dụ: nó cho phép bạn xác định việc sử dụng Tor và các ứng dụng tiêu chuẩn khác).
  • Đã thêm hỗ trợ cho các phương pháp xác định việc triển khai SSH (HASS) và DHCP.
  • Đã thêm các chức năng tuần tự hóa và giải tuần tự hóa dữ liệu trong
    Các định dạng Loại-Độ dài-Giá trị (TLV) và JSON.

  • Đã thêm hỗ trợ cho các giao thức và dịch vụ: DTLS (TLS qua UDP),
    Hulu,
    TikTok/Musical.ly,
    Video WhatsApp,
    DNSoverHTTPS
    Trình tiết kiệm dữ liệu
    Đường kẻ,
    Google Duo, Hangout,
    VPN WireGuard,
    ôi,
    Zoom.us.

  • Cải thiện hỗ trợ cho phân tích TLS, SIP, STUN,
    Viber,
    WhatsApp,
    Video Amazon,
    SnapChat
    ftp,
    QUIC
    OpenVPN UDP,
    Facebook Messenger và Hangout.

Nguồn: opennet.ru

Thêm một lời nhận xét