Les développeurs de projets ntop (qui développent des outils pour capter et analyser le trafic) fait connaître récemment publié la nouvelle version de nDPI, qui est un sur-ensemble de maintenance continue de la bibliothèque populaire OpenDP.
nDPI Il se caractérise par son utilisation à la fois par ntop et nProbe pour ajouter la détection de protocoles au niveau de la couche application, quel que soit le port utilisé. Cela signifie qu'il est possible de détecter des protocoles connus sur des ports non standard.
Le projet vous permet de déterminer les protocoles de niveau application utilisés dans le trafic en analysant la nature de l'activité réseau sans liaison aux ports réseau (vous pouvez déterminer les protocoles connus dont les pilotes acceptent les connexions sur des ports réseau non standard, par exemple si http n'est pas envoyé depuis le port 80, ou, au contraire, lorsqu'ils essaient de camoufler d'autres activité réseau telle que http s'exécutant sur le port 80).
Les différences avec OpenDPI sont réduites à la prise en charge de protocoles supplémentaires, portabilité pour la plate-forme Windows, optimisation des performances, adaptation pour une utilisation dans des applications pour surveiller le trafic en temps réel (certaines fonctionnalités spécifiques qui ralentissaient le moteur ont été supprimées), capacités de construction sous la forme d'un module de noyau Linux et prise en charge de la définition de sous -protocoles.
En totale, 247 définitions d'applications et de protocoles sont prises en charge, dont les suivantes se distinguent: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey , Skype , Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, WhatsApp Files, Targus Dataspeed, Zabbix, WebSocket, entre autres.
Principales nouveautés du nDPI 4.0
Concernant les nouveautés qui sont présentées dans cette nouvelle version 4.0, celle-ci a été boostée en termes de vitesse avec une amélioration de 2.5 par rapport à la série 3.x.
En ce qui concerne les changements, nous pouvons constater qu'il a été mis en œuvre prise en charge de la méthode d'identification client JA3 + TLS améliorée, qui permet, en fonction des caractéristiques de négociation de la connexion et des paramètres spécifiés, de déterminer quel logiciel est utilisé pour établir une connexion (par exemple, il permet de déterminer l'utilisation de Tor et d'autres applications typiques).
Également le nombre de détections de menaces réseau et de problèmes liés au risque de compromission a été augmenté (risque de flux) à 33, plus de nouveaux identifiants de menaces liés au partage de postes de travail et de fichiers ajoutés, trafic HTTP suspect, JA3 et SHA1 malveillants, accès aux domaines problématiques et aux systèmes autonomes, utilisation de certificats dans TLS avec des extensions suspectes ou des dates d'expiration trop longues.
On peut aussi trouver que plus de support pour les protocoles et les services a été ajouté, dont on peut désormais trouver : AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant ( Alexa, Siri), Z39.50.
Tandis que pour des services de dépistage et de dépistage améliorés dans cette nouvelle version sont mentionnés : AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC , protocoles RTSP, RTSP sur HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
Des autres changements qui ressortent de la nouvelle version:
- Prise en charge améliorée des méthodes d'analyse du trafic chiffré (ETA).
- Contrairement à la méthode JA3 précédemment prise en charge, JA3 + a moins de faux positifs.
- Une optimisation significative des performances a été réalisée, par rapport à la branche 3.0, la vitesse de traitement du trafic a été multipliée par 2.5.
- Le support GeoIP a été ajouté pour déterminer l'emplacement par adresse IP.
- Ajout de l'API pour calculer le RSI (Relative Strength Index).
- Des contrôles de fragmentation ont été mis en place.
- Ajout d'une API pour calculer l'uniformité du flux (jitter).
Enfin si vous souhaitez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.