Выпуск системы глубокого инспектирования пакетов nDPI 4.604.02.2023 09:31

Проект ntop, развивающий инструменты для захвата и анализа трафика, опубликовал выпуск инструментария для глубокого инспектирования пакетов nDPI 4.6, продолжающего развитие библиотеки OpenDPI. Проект nDPI основан после безуспешной попытки передачи изменений в репозиторий OpenDPI, который остался без сопровождения. Код nDPI написан на языке Си и распространяется под лицензией LGPLv3.

Система позволяет определять в трафике используемые протоколы уровня приложения, анализируя характер сетевой активности без привязки к сетевым портам (может определять известные протоколы, обработчики которых принимают соединения на нестандартных сетевых портах, например, если http отдаётся не с 80 порта, или, наоборот, когда какую-то другую сетевую активность пытаются закамуфлировать под http через запуск на 80 порту).

Отличия от OpenDPI сводятся к поддержке дополнительных протоколов, портированию для платформы Windows, оптимизации производительности, адаптации для применения в приложениях для мониторинга трафика в режиме реального времени (убраны некоторые специфичные возможности, замедлявшие движок), возможности сборки в форме модуля ядра Linux и поддержке определения субпротоколов.

Всего поддерживается определение 332 протоколов и приложений, от OpenVPN, Tor, QUIC, SOCKS, BitTorrent и IPsec до Telegram, Viber, WhatsApp, PostgreSQL и обращений к Gmail, Office 365, Google Docs и YouTube. Имеется декодировщик серверных и клиентских SSL-сертификатов, позволяющий определить протокол (например, Citrix Online и Apple iCloud), используя сертификат шифрования. Для анализа содержимого pcap-дампов или текущего трафика через сетевой интерфейс поставляется утилита nDPIreader.

В новом выпуске:

  • Предоставлена возможность определения собственных протоколов, используя фильтры nBPF (например: 'nbpf: «host 192.168.1.1 and port 80»@HomeRouter').

  • Повышена производительность разбора трафика.
  • Реализовано fuzzing-тестирование.
  • Улучшено определение WebShell и PHP-кода в HTTP URL.
  • Улучшено определение DGA (Domain Generational Algorithm).
  • Улучшена проверка инструкций AES-NI.
  • Улучшена сериализация данных в формате JSON.
  • Улучшено определение отклонения соединений.
  • Добавлена статистика для Patricia tree, Ahocarasick и кэша LRU.
  • Добавлена настраиваемая логика устаревания записей в кэше LRU.
  • В метаданные потока (flow metadata) добавлена поддержка потоков RTP.

  • В утилите ndpiReader реализована поддержка протокола Linux Cooked Capture v2.

  • Добавлена поддержка протоколов и сервисов:
    • Discord
    • Elasticsearch
    • FastCGI
    • Activision
    • AliCloud server access
    • AVAST
    • CryNetwork
    • EDNS
    • Kismet/li>
    • Line App and Line Voip valls
    • Meraki Cloud
    • Munin
    • NATPMP
    • Syncthing
    • TP-LINK Smart Home
    • TUYA LAN
    • SoftEther VPN
    • Tailscale
    • TiVoConnect
  • Улучшен разбор и определение протоколов:
    • Anydesk
    • Bittorrent
    • DNS
    • DTLS
    • Facebook Voip
    • FortiClient
    • Zoom
    • Hangout/Duo Voip
    • HTTP (HTTP-Proxy и HTTP-Connect)
    • IRC
    • Jabber/XMPP
    • Kerberos
    • LDAP
    • MGCP
    • MONGODB
    • PostgreSQL
    • POP3
    • QUIC
    • Snapchat Voip
    • SIP
    • SNMP
    • SMB
    • SMTP (X-ANONYMOUSTLS)
    • STUN
    • SKYPE
    • Teamspeak3
    • Threema Messenger
    • TINC
    • TLS
    • WindowsUpdate

  • Расширен спектр выявляемых сетевых угроз и проблем, связанных с риском компрометации (flow risk). Добавлена поддержка новых типов угроз: NDPI_HTTP_OBSOLETE_SERVER (выявляет старые версии Apache и nginx), NDPI_PERIODIC_FLOW, NDPI_MINOR_ISSUES, NDPI_TCP_ISSUES.



Источник: http://www.opennet.ru/opennews/art.shtml? num=58602

© OpenNet