开发用于捕获和分析流量的工具的 ntop 项目已发布 nDPI 4.0 深度数据包检测工具包,该工具包继续 OpenDPI 库的开发。 nDPI 项目是在尝试将更改推送到 OpenDPI 存储库失败后成立的,该存储库无人维护。 nDPI 代码是用 C 语言编写的,并根据 LGPLv3 许可证获得许可。
该项目允许您确定流量中使用的应用程序级协议,分析网络活动的性质,而无需绑定到网络端口(它可以确定其处理程序接受非标准网络端口上的连接的已知协议,例如,如果 http 是从端口 80 以外的端口发送,或者相反,他们试图通过在端口 80 上运行来将其他网络活动伪装成 http)。
与 OpenDPI 的差异包括对附加协议的支持、移植到 Windows 平台、性能优化、适用于实时流量监控应用程序(删除了一些减慢引擎速度的特定功能)、以Linux 内核模块,并支持定义子协议。
总共支持 247 种协议和应用程序定义,从 OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 到 Telegram、Viber、WhatsApp、PostgreSQL 以及对 GMail、Office365 GoogleDocs 和 YouTube 的调用。 有一个服务器和客户端 SSL 证书解码器,允许您使用加密证书确定协议(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 实用程序用于分析 pcap 转储的内容或通过网络接口的当前流量。
$ ./nDPIreader -i eth0 -s 20 -f “主机 192.168.1.10” 检测到的协议: DNS 数据包: 57 字节: 7904 流: 28 SSL_No_Cert 数据包: 483 字节: 229203 流: 6 FaceBook 数据包: 136 字节: 74702 流: 4 DropBox 数据包:9 字节:668 流:3 Skype 数据包:5 字节:339 流:3 Google 数据包:1700 字节:619135 流:34
在新版本中:
- 改进了对加密流量分析方法(ETA - 加密流量分析)的支持。
- 已实现对改进的 JA3+ TLS 客户端识别方法的支持,该方法允许根据连接协商功能和指定参数来确定使用哪个软件来建立连接(例如,它允许您确定使用 Tor 和其他典型应用)。 与之前支持的 JA3 方法不同,JA3+ 的误报较少。
- 已识别的网络威胁和与泄露风险(流量风险)相关的问题数量已扩大到 33 个。添加了与桌面和文件共享、可疑 HTTP 流量、恶意 JA3 和 SHA1 以及访问有问题的威胁检测器相关的新威胁检测器。域和自治系统,使用带有可疑扩展名或有效期太长的 TLS 证书。
- 进行了显着的性能优化,相比branch 3.0,流量处理速度提升了2.5倍。
- 添加了 GeoIP 支持,用于通过 IP 地址确定位置。
- 添加了用于计算 RSI(相对强度指数)的 API。
- 碎片化控制已经实施。
- 添加了用于计算流量均匀性(抖动)的 API。
- 添加了对协议和服务的支持:AmongUs、AVAST SecureDNS、CPHA(CheckPoint 高可用性协议)、DisneyPlus、DTLS、Genshin Impact、HP 虚拟机组管理 (hpvirtgrp)、Mongodb、Pinterest、Reddit、Snapchat VoIP、Tumblr、虚拟助手( Alexa、Siri),Z39.50。
- 改进了对 AnyDesk、DNS、Hulu、DCE/RPC、dnscrypt、Facebook、Fortigate、FTP Control、HTTP、IEC104、IEC60870、IRC、Netbios、Netflix、Ookla speedtest、openspeedtest.com、Outlook / MicrosoftMail、QUIC、RTSP 的解析和检测协议、通过 HTTP 的 RTSP、SNMP、Skype、SSH、Steam、STUN、TeamViewer、TOR、TLS、UPnP、wireguard。
来源: opennet.ru