'n Vrystelling van die stelsel vir die vaslegging, berging en indeksering van netwerkpakkies Arkime 5.0 is gepubliseer, wat gereedskap verskaf om verkeersvloeie visueel te assesseer en inligting te soek wat met netwerkaktiwiteit verband hou. Die projek is oorspronklik deur AOL ontwikkel met die doel om 'n oop plaasvervanger vir kommersiële netwerkpakketverwerkingsplatforms te skep wat ontplooiing op sy bedieners ondersteun en kan skaal om verkeer te verwerk teen spoed van tientalle gigabits per sekonde. Die verkeersopvang-komponentkode is in C geskryf, en die koppelvlak is in Node.js/JavaScript geïmplementeer. Die bronkode word onder die Apache 2.0-lisensie versprei. Ondersteun werk op Linux en FreeBSD. Klaargemaakte pakkette word voorberei vir Arch Linux, RHEL/CentOS en Ubuntu.
Arkime bevat gereedskap vir die vaslegging en indeksering van PCAP-verkeer, en bied ook gereedskap vir vinnige toegang tot geïndekseerde data. Die gebruik van 'n standaard PCAP-formaat vergemaklik integrasie met bestaande verkeersontleders soos Wireshark aansienlik. Die volume gestoorde data word slegs beperk deur die grootte van die beskikbare skyfskikking. Sessie-metadata word geïndekseer in 'n groepering gebaseer op die Elasticsearch- of OpenSearch-enjin. Die verkeersopvangkomponent werk in multi-draadmodus en los die take op van monitering, skryf van PCAP-stortings na skyf, ontleed vasgelegde pakkies en stuur metadata oor sessies (SPI, Stateful packet inspection) en protokolle na die Elasticsearch/OpenSearch-kluster. Dit is moontlik om PCAP-lêers in geënkripteerde vorm te stoor.
Om die opgehoopte inligting te ontleed, word 'n webkoppelvlak voorgestel wat jou toelaat om te navigeer, te soek en monsters uit te voer. Die webkoppelvlak bied verskeie kykmodusse – van algemene statistieke, verbindingskaarte en visuele grafieke met data oor veranderinge in netwerkaktiwiteit tot hulpmiddels vir die bestudering van individuele sessies, ontleding van aktiwiteit in die konteks van die protokolle wat gebruik word, en die ontleding van data vanaf PCAP-stortings. 'n API word ook voorsien wat jou toelaat om vasgelegde pakkies in PCAP-formaat en ontleed sessies in JSON-formaat na derdeparty-toepassings deur te gee.
In die nuwe weergawe:
- Die vermoë is bygevoeg om gekombineerde soekversoeke vir inligting deur die Cont3xt-diens te stuur om inligting wat beskikbaar is in verskeie oop bronne (OSINT) gelyktydig oor verskeie voorwerpe te versamel.
- Bygevoeg ondersteuning vir JA4 en JA4+ verkeer vingerafdruk metodes om netwerk protokolle en toepassings te identifiseer.
- Die ontwerp van die blok met gedetailleerde inligting oor die sessie is verander, wat ongebruikte spasie tot die minimum beperk en 'n twee-kolom-uitleg vir groot skerms implementeer.
- Aftrekblokkies is by die Lêers-, Geskiedenis- en Statistieke-oortjies gevoeg om gelyktydig in verskeie gevalle van die koppelvlak te soek om statistieke te sien (kyker).
- Die magtigingstelsel is verenig en geskei in 'n aparte module, wat nou in alle Arkime-toepassings gebruik word. In plaas van die anonieme magtigingsmodus, word die opsommingsmetode by verstek gebruik. Nuwe magtigingsmodusse is bygevoeg: basies, vorm, basies+vorm, basies+oidc, headerOnly, header+digest en header+basic.
- Alle toepassings is oorgedra na 'n verenigde konfigurasie-substelsel wat verwerkinginstellings in verskillende formate ondersteun (ini, json, yaml) en in staat is om instellings van verskillende bronne af te laai, byvoorbeeld vanaf skyf, oor die netwerk via HTTPS of vanaf OpenSearch/Elasticsearch .
- Bygevoeg ondersteuning vir die invoer van gestoorde (vanlyn) PCAP-stortings en aflaai daarvan via URL via HTTPS of vanaf Amazon S3-berging, sonder dat dit eers nodig is om dit op die plaaslike stelsel te stoor.
Bron: opennet.ru