nDPI, una liberaría para la inspección profunda de paquetes
Los desarrolladores del proyecto ntop (que desarrollan herramientas para capturar y analizar el tráfico) dieron a conocer hace poco la liberación de la nueva versión de nDPI, la cual es un superconjunto de mantenimiento continuo de la popular biblioteca OpenDP.
nDPI se caracteriza por ser utilizado tanto por ntop como por nProbe para agregar la detección de protocolos en la capa de aplicación, independientemente del puerto que se esté utilizando. Esto significa que es posible detectar protocolos conocidos en puertos no estándar.
El proyecto permite determinar los protocolos de nivel de aplicación utilizados en el tráfico mediante el análisis de la naturaleza de la actividad de la red sin vincularse a los puertos de la red (puede determinar los protocolos conocidos cuyos controladores aceptan conexiones en puertos de red no estándar, por ejemplo, si se envía http no desde el puerto 80, o, por el contrario, cuando intentan camuflar otra actividad de red como http ejecutándose en el puerto 80).
Las diferencias con OpenDPI se reducen a compatibilidad con protocolos adicionales, portabilidad para la plataforma Windows, optimización del rendimiento, adaptación para su uso en aplicaciones para monitorear el tráfico en tiempo real (se han eliminado algunas características específicas que ralentizaban el motor), capacidades de construcción en el formulario de un módulo del kernel de Linux y soporte para definir subprotocolos.
En total, se admiten definiciones de aplicaciones y protocolos 247, de los cuales se destacan los siguientes: FTP_CONTROL, POP3, SMTP, IMAP, DNS, HTTP, NetBIOS, NFS, SNMP, XDMCP, Syslog, DHCP, PostgreSQL, MySQL, Hotmail, Direct_Download_Link, POPS, VMware, SMTPS, FacebookZero, UBNTAC2, OpenFT, Gnutella, eDonkey, BitTorrent, Skype, Signal, Xbox, ShoutCast, IRC, Ayiya, Unencrypted_Jabber, Yahoo, Telnet, VNC, Dropbox, GMail, YouTube, TeamViewer, UPnP, Spotify, OpenVPN, CiscoVPN, Deezer, Instagram, Microsoft, Google Drive, Cloudflare, MS_OneDrive, OpenDNS, Git, Pastebin, LinkedIn, SoundCloud, Amazon Video, Google Docs, Archivos de WhatsApp, Targus Dataspeed, Zabbix, WebSocket, entre otros más.
Principales novedades de nDPI 4.0
En cuanto a las novedades que se presentan en esta nueva versión 4.0 se ha impulsado en términos de velocidad con una mejora de 2.5 con respecto a la serie 3.x.
Por la parte de los cambios, podemos encontrar que se implementó soporte para el método mejorado de identificación de cliente JA3+TLS, que permite en base a las características de negociación de conexión y parámetros especificados, determinar qué software se usa para establecer una conexión (por ejemplo, permite determinar el uso de Tor y otras aplicaciones típicas).
Además se ha ampliado el número de detección de amenazas de red y problemas asociados con el riesgo de compromiso (riesgo de flujo) a 33, además de que se agregaron nuevos identificadores de amenazas relacionados con el escritorio y el intercambio de archivos, tráfico HTTP sospechoso, JA3 y SHA1 maliciosos, acceso a dominios problemáticos y sistemas autónomos, uso de certificados en TLS con extensiones sospechosas o fechas de vencimiento demasiado largas.
Tambien podremos encontrar que se ha añadido más soporte para protocolos y servicios, de los cuales ahora podremos encontrar: AmongUs, AVAST SecureDNS, CPHA (CheckPoint High Availability Protocol), DisneyPlus, DTLS, Genshin Impact, HP Virtual Machine Group Management (hpvirtgrp), Mongodb, Pinterest, Reddit, Snapchat VoIP, Tumblr, Virtual Asssitant (Alexa, Siri), Z39.50.
Mientras que para los servicios de análisis y detección que fueron mejorados en esta nueva versión se mencionan a: AnyDesk, DNS, Hulu, DCE/RPC, dnscrypt, Facebook, Fortigate, FTP Control, HTTP, IEC104, IEC60870, IRC, Netbios, Netflix, Ookla speedtest, openspeedtest.com, Outlook/MicrosoftMail, QUIC, RTSP protocolos, RTSP a través de HTTP, SNMP, Skype, SSH, Steam, STUN, TeamViewer, TOR, TLS, UPnP, wireguard.
De los demás cambios que se destacan de la nueva versión:
- Soporte mejorado para métodos de análisis de tráfico cifrado (ETA).
- A diferencia del método JA3 admitido anteriormente, JA3 + tiene menos falsos positivos.
- Se ha llevado a cabo una optimización significativa del rendimiento, en comparación con la rama 3.0, la velocidad de procesamiento del tráfico se ha incrementado en 2.5 veces.
- Se agregó soporte GeoIP para determinar la ubicación por dirección IP.
- API agregada para calcular RSI (índice de fuerza relativa).
- Se han implementado controles de fragmentación.
- API agregada para calcular la uniformidad del flujo (jitter).
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.