開發用於捕獲和分析流量的工具的 ntop 專案已發布 nDPI 4.0 深度資料包檢測工具包,該工具包繼續 OpenDPI 庫的開發。 nDPI 專案是在嘗試將變更推送到 OpenDPI 儲存庫失敗後成立的,該儲存庫無人維護。 nDPI 程式碼採用 C 語言編寫,並根據 LGPLv3 獲得許可。
此專案可讓您確定流量中使用的應用程式層級協議,分析網路活動的性質,而無需綁定到網路連接埠(它可以確定其處理程序接受非標準網路連接埠上的連接的已知協議,例如,如果http 是從連接埠 80 以外的連接埠發送,或者相反,他們試圖透過在連接埠 80 上運行來將其他網路活動偽裝成 http)。
與 OpenDPI 的差異包括對附加協定的支援、移植到 Windows 平台、效能最佳化、適用於即時流量監控應用程式(刪除了一些減慢引擎速度的特定功能)、以Linux 核心模組,並支援定義子協定。
總共支援 247 種協定和應用程式定義,從 OpenVPN、Tor、QUIC、SOCKS、BitTorrent 和 IPsec 到 Telegram、Viber、WhatsApp、PostgreSQL 以及對 GMail、Office365 GoogleDocs 和 YouTube 的呼叫。 有一個伺服器和用戶端 SSL 憑證解碼器,可讓您使用加密憑證確定協定(例如 Citrix Online 和 Apple iCloud)。 nDPIreader 實用程式用於分析 pcap 轉儲的內容或透過網路介面的目前流量。
$ ./nDPIreader -i eth0 -s 20 -f “主機192.168.1.10” 偵測到的協定: DNS 封包: 57 位元組: 7904 流: 28 SSL_No_Cert 封包: 483 位元組: 229203Book 位元組: 6 位元組: 136 流: 74702 DropBox 資料包:4 位元組:9 流:668 Skype 資料包:3 位元組:5 流:339 Google 資料包:3 位元組:1700 流:619135
在新版本中:
- 改進了對加密流量分析方法(ETA - 加密流量分析)的支援。
- 已實現對改進的 JA3+ TLS 用戶端識別方法的支持,該方法允許根據連接協商功能和指定參數來確定使用哪個軟體來建立連接(例如,它允許您確定使用 Tor 和其他典型應用)。 與先前支援的 JA3 方法不同,JA3+ 的誤報較少。
- 已識別的網路威脅和與洩漏風險(流量風險)相關的問題數量已擴大到33 個。新增了與桌面和檔案共用、可疑HTTP 流量、惡意JA3 和SHA1 以及存取有問題的威脅偵測器相關的新威脅偵測器。網域和自治系統,使用可疑副檔名或有效期太長的 TLS 憑證。
- 進行了顯著的效能最佳化,相較於branch 3.0,流量處理速度提升了2.5倍。
- 新增了 GeoIP 支持,用於透過 IP 位址確定位置。
- 新增了用於計算 RSI(相對強度指數)的 API。
- 碎片化控制已經實施。
- 新增了用於計算流量均勻性(抖動)的 API。
- 新增了對協定和服務的支援:AmongUs、AVAST SecureDNS、CPHA(CheckPoint 高可用性協定)、DisneyPlus、DTLS、Genshin Impact、HP 虛擬機組管理(hpvirtgrp)、Mongodb、Pinterest、Reddit、Snapchat VoIP、Tumblr、虛擬助理( Alexa、Siri),Z39.50。
- 改進了對AnyDesk、DNS、Hulu、DCE/RPC、dnscrypt、Facebook、Fortigate、FTP Control、HTTP、IEC104、IEC60870、IRC、Netbios、Netflix、Ookla speedtest、openspeedtest.com、Outlook / MicrosoftMail、QUIC、RTSP 的解析和偵測協定、透過 HTTP 的 RTSP、SNMP、Skype、SSH、Steam、STUN、TeamViewer、TOR、TLS、UPnP、wireguard。
來源: opennet.ru