Dự án ntop phát triển các công cụ để nắm bắt và phân tích lưu lượng truy cập đã xuất bản bản phát hành bộ công cụ kiểm tra gói sâu nDPI 4.0, tiếp tục phát triển thư viện OpenDPI. Dự án nDPI được thành lập sau một nỗ lực không thành công trong việc thúc đẩy các thay đổi đối với kho lưu trữ OpenDPI, vốn không được bảo trì. Mã nDPI được viết bằng C và được cấp phép theo LGPLv3.
Dự án cho phép bạn xác định các giao thức cấp ứng dụng được sử dụng trong lưu lượng truy cập, phân tích bản chất của hoạt động mạng mà không bị ràng buộc với các cổng mạng (nó có thể xác định các giao thức đã biết mà trình xử lý của chúng chấp nhận kết nối trên các cổng mạng không chuẩn, ví dụ: nếu http là được gửi từ một cổng khác 80 hoặc ngược lại, khi họ đang cố gắng ngụy trang hoạt động mạng khác dưới dạng http bằng cách chạy nó trên cổng 80).
Sự khác biệt so với OpenDPI bao gồm hỗ trợ các giao thức bổ sung, chuyển sang nền tảng Windows, tối ưu hóa hiệu suất, thích ứng để sử dụng trong các ứng dụng giám sát lưu lượng truy cập thời gian thực (một số tính năng cụ thể làm chậm động cơ đã bị loại bỏ), khả năng xây dựng dưới dạng một Mô-đun hạt nhân Linux và hỗ trợ xác định các giao thức con.
Tổng cộng có 247 định nghĩa giao thức và ứng dụng được hỗ trợ, từ OpenVPN, Tor, QUIC, SOCKS, BitTorrent và IPsec đến Telegram, Viber, WhatsApp, PostgreSQL và các cuộc gọi tới GMail, Office365 GoogleDocs và YouTube. Có một bộ giải mã chứng chỉ SSL máy chủ và máy khách cho phép bạn xác định giao thức (ví dụ: Citrix Online và Apple iCloud) bằng chứng chỉ mã hóa. Tiện ích nDPIreader được cung cấp để phân tích nội dung của kết xuất pcap hoặc lưu lượng truy cập hiện tại qua giao diện mạng.
$ ./nDPIreader -i eth0 -s 20 -f “host 192.168.1.10” Các giao thức được phát hiện: Gói DNS: 57 byte: 7904 luồng: 28 gói SSL_No_Cert: 483 byte: 229203 luồng: 6 gói FaceBook: 136 byte: 74702 luồng: 4 gói DropBox: 9 byte: 668 luồng: 3 gói Skype: 5 byte: 339 luồng: 3 gói Google: 1700 byte: 619135 luồng: 34
Trong bản phát hành mới:
- Cải thiện hỗ trợ cho các phương pháp phân tích lưu lượng truy cập được mã hóa (ETA - Phân tích lưu lượng truy cập được mã hóa).
- Hỗ trợ đã được triển khai cho phương pháp nhận dạng máy khách JA3+ TLS cải tiến, cho phép, dựa trên các tính năng đàm phán kết nối và các tham số được chỉ định, xác định phần mềm nào được sử dụng để thiết lập kết nối (ví dụ: nó cho phép bạn xác định việc sử dụng Tor và các ứng dụng điển hình khác). Không giống như phương pháp JA3 được hỗ trợ trước đây, JA3+ có ít kết quả dương tính giả hơn.
- Số lượng các mối đe dọa mạng được xác định và các sự cố liên quan đến nguy cơ bị xâm phạm (rủi ro luồng) đã được mở rộng lên 33. Các trình phát hiện mối đe dọa mới đã được thêm vào liên quan đến chia sẻ tệp và máy tính để bàn, lưu lượng HTTP đáng ngờ, JA3 và SHA1 độc hại cũng như quyền truy cập vào các trang có vấn đề. tên miền và hệ thống tự trị, việc sử dụng chứng chỉ TLS có phần mở rộng đáng ngờ hoặc thời hạn hiệu lực quá dài.
- Tối ưu hóa hiệu suất đáng kể đã được thực hiện, so với nhánh 3.0, tốc độ xử lý lưu lượng đã tăng 2.5 lần.
- Đã thêm hỗ trợ GeoIP để xác định vị trí theo địa chỉ IP.
- Đã thêm API để tính chỉ số RSI (Chỉ số sức mạnh tương đối).
- Kiểm soát phân mảnh đã được thực hiện.
- Đã thêm API để tính toán độ đồng đều của luồng (jitter).
- Đã thêm hỗ trợ cho các giao thức và dịch vụ: AmongUs, AVAST SecureDNS, CPHA (Giao thức sẵn sàng cao CheckPoint), DisneyPlus, DTLS, Genshin Impact, Quản lý nhóm máy ảo HP (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
- Cải thiện khả năng phân tích cú pháp và phát hiện AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP giao thức, RTSP qua HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Nguồn: opennet.ru