項目 ,開發用於捕獲和分析流量的工具, 發布深度包裝檢測工具 ,繼續圖書館的發展 。 nDPI 專案是在嘗試將變更轉移到 OpenDPI,無人陪伴。 nDPI 程式碼是用 C 寫的 根據 LGPLv3 獲得許可。
項目 確定流量中使用的應用程式級協議,分析網路活動的性質,而無需綁定到網路連接埠(可以識別其處理程序接受非標準網路連接埠上的連接的眾所周知的協議,例如,如果http不是從連接埠80 ,或相反,當某些人嘗試透過在連接埠80 上運行來將其他網路活動偽裝成http 時)。
與 OpenDPI 的差異歸結為對附加協定的支援、Windows 平台的移植、效能最佳化、適用於即時監控流量的應用程式(一些降低引擎速度的特定功能已被刪除),
Linux 核心模組形式的彙編功能以及對定義子協定的支援。
總共支援 238 種協定和應用定義,從
OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 轉 Telegram,
Viber、WhatsApp、PostgreSQL 以及對 GMail、Office365 的調用
GoogleDocs 和 YouTube。 有一個伺服器和用戶端 SSL 憑證解碼器,可讓您使用加密憑證確定協定(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 實用程式用於分析 pcap 轉儲的內容或透過網路介面的目前流量。
$ ./nDPIreader -i eth0 -s 20 -f“主機 192.168.1.10”
檢測到的協定:
DNS 封包:57 位元組:7904 流:28
SSL_No_Cert 封包:483 位元組:229203 流:6
FaceBook 資料包:136 位元組:74702 流:4
DropBox 封包:9 位元組:668 流:3
Skype 封包:5 位元組:339 流:3
Google packets: 1700 bytes: 619135 flows: 34
在新版本中:
- 現在,有關協定的資訊在定義後立即顯示,無需等待接收完整的元資料(即使由於無法接收相應的網路資料包而尚未解析特定欄位),這對於需要立即顯示的流量分析器非常重要回應某些類型的流量。 對於需要完整協議剖析的應用程序,提供了 ndpi_extra_dissection_possible() API 以確保定義所有協定元資料。
- 實現了更深入的 TLS 解析,提取有關憑證正確性和憑證 SHA-1 雜湊值的資訊。
- 「-C」標誌已新增至 nDPIreader 應用程式中,以便以 CSV 格式匯出,這使得可以使用附加的 ntop 工具包 相當複雜的統計樣本。 例如,要確定在 Netflix 上觀看電影時間最長的用戶的 IP:
$ ndpiReader -i netflix.pcap -C /tmp/netflix.csv
$ q -H -d ',' "從 /tmp/netflix.csv 中選擇 src_ip,SUM(src2dst_bytes+dst2src_bytes),其中 ndpi_proto 類似於 '%NetFlix%' 按 src_ip 分組"192.168.1.7,6151821
- 增加了對中提議內容的支持 使用資料包大小和發送時間/延遲分析來識別隱藏在加密流量中的惡意活動。 在 ndpiReader 中,該方法由“-J”選項啟動。
- 提供了協議的分類。
- 新增了對計算 IAT(到達間隔時間)的支持,以識別協定使用中的異常情況,例如,識別 DoS 攻擊期間協定的使用情況。
- 新增了基於熵、平均值、標準差和變異數等計算指標的資料分析功能。
- 已經提出了 Python 語言綁定的初始版本。
- 新增了偵測流量中可讀字串的模式,以偵測資料外洩。 在
ndpiReader 模式透過「-e」選項啟用。 - 新增了對 TLS 客戶端識別方法的支持 ,它允許您根據連接協調的特徵和指定的參數來確定使用哪個軟體來建立連接(例如,它允許您確定使用Tor等典型應用程式)。
- 增加了對識別 SSH 實現的方法的支援()和 DHCP。
- 新增了用於序列化和反序列化資料的函數
類型-長度-值 (TLV) 和 JSON 格式。 - 新增了對協定和服務的支援:DTLS(基於 UDP 的 TLS)、
葫蘆
TikTok/Musical.ly,
WhatsApp 視頻,
HTTPS 上的 DNS
資料保護程式
線,
Google Duo、環聊、
WireGuard VPN,
海事組織
Zoom.us。 - 改進了對 TLS、SIP、STUN 分析的支持,
Viber,
WhatsApp的,
亞馬遜視頻,
SnapChat,
文件傳輸協議,
QUIC
OpenVPN UDP,
Facebook Messenger 和環聊。
來源: opennet.ru