项目 ,开发用于捕获和分析流量的工具, 发布深度包装检测工具 ,继续图书馆的发展 。 nDPI 项目是在尝试将更改转移到 OpenDPI,无人陪伴。 nDPI 代码是用 C 编写的 根据 LGPLv3 获得许可。
项目 确定流量中使用的应用程序级协议,分析网络活动的性质,而无需绑定到网络端口(可以识别其处理程序接受非标准网络端口上的连接的众所周知的协议,例如,如果http不是从端口 80,或者相反,当某些人尝试通过在端口 80 上运行来将其他网络活动伪装成 http 时)。
与 OpenDPI 的差异归结为对附加协议的支持、Windows 平台的移植、性能优化、适用于实时监控流量的应用程序(一些降低引擎速度的特定功能已被删除),
Linux 内核模块形式的汇编功能以及对定义子协议的支持。
总共支持 238 种协议和应用定义,从
OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 转 Telegram,
Viber、WhatsApp、PostgreSQL 以及对 GMail、Office365 的调用
GoogleDocs 和 YouTube。 有一个服务器和客户端 SSL 证书解码器,允许您使用加密证书确定协议(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 实用程序用于分析 pcap 转储的内容或通过网络接口的当前流量。
$ ./nDPIreader -i eth0 -s 20 -f“主机 192.168.1.10”
检测到的协议:
DNS 数据包:57 字节:7904 流:28
SSL_No_Cert 数据包:483 字节:229203 流:6
FaceBook 数据包:136 字节:74702 流:4
DropBox 数据包:9 字节:668 流:3
Skype 数据包:5 字节:339 流:3
Google 数据包:1700 字节:619135 流:34
在新版本中:
- 现在,有关协议的信息在定义后立即显示,无需等待接收完整的元数据(即使由于无法接收相应的网络数据包而尚未解析特定字段),这对于需要立即显示的流量分析器非常重要响应某些类型的流量。 对于需要完整协议剖析的应用程序,提供了 ndpi_extra_dissection_possible() API 以确保定义所有协议元数据。
- 实现了更深入的 TLS 解析,提取有关证书正确性和证书 SHA-1 哈希值的信息。
- “-C”标志已添加到 nDPIreader 应用程序中,以便以 CSV 格式导出,这使得可以使用附加的 ntop 工具包 相当复杂的统计样本。 例如,要确定在 Netflix 上观看电影时间最长的用户的 IP:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "从 /tmp/netflix.csv 中选择 src_ip,SUM(src2dst_bytes+dst2src_bytes),其中 ndpi_proto 类似于 '%NetFlix%' 按 src_ip 分组"192.168.1.7,6151821
- 添加了对中提出的内容的支持 使用数据包大小和发送时间/延迟分析来识别隐藏在加密流量中的恶意活动。 在 ndpiReader 中,该方法由“-J”选项激活。
- 提供了协议的分类。
- 添加了对计算 IAT(到达间隔时间)的支持,以识别协议使用中的异常情况,例如,识别 DoS 攻击期间协议的使用情况。
- 添加了基于熵、平均值、标准差和方差等计算指标的数据分析功能。
- 已经提出了 Python 语言绑定的初始版本。
- 添加了检测流量中可读字符串的模式,以检测数据泄漏。 在
ndpiReader 模式通过“-e”选项启用。 - 添加了对 TLS 客户端识别方法的支持 ,它允许您根据连接协商的特征和指定的参数来确定使用哪个软件来建立连接(例如,它允许您确定使用 Tor 和其他标准应用程序)。
- 添加了对识别 SSH 实现的方法的支持()和 DHCP。
- 添加了用于序列化和反序列化数据的函数
类型-长度-值 (TLV) 和 JSON 格式。 - 添加了对协议和服务的支持:DTLS(基于 UDP 的 TLS)、
葫芦,
TikTok/Musical.ly,
WhatsApp 视频,
HTTPS 上的 DNS
数据保护程序
线,
Google Duo、环聊、
WireGuard VPN,
海事组织
Zoom.us。 - 改进了对 TLS、SIP、STUN 分析的支持,
蝰蛇,
WhatsApp的,
亚马逊视频,
快照聊天
FTP,
QUIC
OpenVPN UDP,
Facebook Messenger 和环聊。
来源: opennet.ru
