nDPI, un alliberaria per a la inspecció profunda de paquets

Els desenvolupadors de el projecte ntop (Que desenvolupen eines per capturar i analitzar el tràfic) van donar a conèixer fa poc l'alliberament de la nova versió de nDPI, La qual és un superconjunt de manteniment continu de la popular biblioteca OpenDP.

nDPI es caracteritza per ser utilitzat tant per ntop com per nProbe per afegir la detecció de protocols en la capa d'aplicació, sense importar el port que s'estigui utilitzant. Això vol dir que és possible detectar protocols coneguts en ports no estàndard.

El Projecte permet determinar els protocols de nivell d'aplicació utilitzats en el tràfic mitjançant l'anàlisi de la naturalesa de l'activitat de la xarxa sense vincular-se als ports de la xarxa (pot determinar els protocols coneguts els controladors accepten connexions en ports de xarxa no estàndard, per exemple, si s'envia http no des del port 80, o, per contra, quan intenten camuflar altra activitat de xarxa com http executant en el port 80).

Les diferències amb OpenDPI es redueixen a compatibilitat amb protocols addicionals, Portabilitat per a la plataforma Windows, optimització de l'rendiment, adaptació per al seu ús en aplicacions per monitoritzar el trànsit en temps real (s'han eliminat algunes característiques específiques que alentien el motor), capacitats de construcció en el formulari d'un mòdul de el nucli de Linux i suport per definir subprotocolos.

En total s'admeten definicions d'aplicacions i protocols 247, dels quals es destaquen els següents: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, BitTorrent , Skype, Signal, Xbox, Shoutcast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, Arxius de WhatsApp, Targus Dataspeed, Zabbix, websocket, entre d'altres més.

Principals novetats de nDPI 4.0

Pel que fa a les novetats que es presenten en aquesta nova versió 4.0 s'ha impulsat en termes de velocitat amb una millora de 2.5 pel que fa a la sèrie 3.x.

Per la part dels canvis, podem trobar que es va implementar suport per al mètode millorat d'identificació de client JA3 + TLS, Que permet en base a les característiques de negociació de connexió i paràmetres especificats, determinar quin programari es fa servir per establir una connexió (per exemple, permet determinar l'ús de Tor i altres aplicacions típiques).

A més s'ha ampliat el nombre de detecció d'amenaces de xarxa i problemes associats amb el risc de compromís (Risc de flux) a 33, a més que es van agregar nous identificadors d'amenaces relacionats amb l'escriptori i l'intercanvi d'arxius, tràfic HTTP sospitós, JA3 i SHA1 maliciosos, accés a dominis problemàtics i sistemes autònoms, ús de certificats en TLS amb extensions sospitoses o dates de venciment massa llargues.

També podrem trobar que s'ha afegit més suport per a protocols i serveis, dels quals ara podrem trobar: Amongus, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), MongoDB, Pinterest, Reddit, snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.

Mentre que per als serveis d'anàlisi i detecció que van ser millorats en aquesta nova versió s'esmenten a: AnyDesk, DNS, Hulu, DCE / RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla SpeedTest, openspeedtest.com, Outlook / MicrosoftMail, QUIC, RTSP protocols, RTSP a través d'HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.

Dels altres canvis que es destaquen de la nova versió:

  • Suport millorat per mètodes d'anàlisi de tràfic xifrat (ETA).
  • A diferència de mètode JA3 admès anteriorment, JA3 + té menys falsos positius.
  • S'ha dut a terme una optimització significativa de l'rendiment, en comparació amb la branca 3.0, la velocitat de processament de el trànsit s'ha incrementat en 2.5 vegades.
  • Es va agregar suport GeoIP per determinar la ubicació per adreça IP.
  • API agregada per calcular RSI (índex de força relativa).
  • S'han implementat controls de fragmentació.
  • API agregada per calcular la uniformitat de el flux (jitter).

Finalment si estàs interessat en poder conèixer més a l'respecte, Pots consultar els detalls en el següent enllaç.


Sigues el primer a comentar

Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: AB Internet Networks 2008 SL
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.