تم نشر إصدار نظام التقاط وتخزين وفهرسة حزم الشبكة Arkime 5.0، مما يوفر أدوات لتقييم تدفقات حركة المرور بشكل مرئي والبحث عن المعلومات المتعلقة بنشاط الشبكة. تم تطوير المشروع في الأصل بواسطة AOL بهدف إنشاء بديل مفتوح لمنصات معالجة حزم الشبكة التجارية التي تدعم النشر على خوادمها ويمكن توسيع نطاقها لمعالجة حركة المرور بسرعات تصل إلى عشرات الجيجابايت في الثانية. كود مكون التقاط حركة المرور مكتوب بلغة C، ويتم تنفيذ الواجهة في Node.js/JavaScript. يتم توزيع كود المصدر بموجب ترخيص Apache 2.0. يدعم العمل على Linux وFreeBSD. يتم إعداد الحزم الجاهزة لأنظمة Arch Linux وRHEL/CentOS وUbuntu.
يتضمن Arkime أدوات لالتقاط وفهرسة حركة مرور PCAP، كما يوفر أدوات للوصول السريع إلى البيانات المفهرسة. يؤدي استخدام تنسيق PCAP القياسي إلى تبسيط عملية التكامل بشكل كبير مع محللي حركة المرور الحاليين مثل Wireshark. يقتصر حجم البيانات المخزنة فقط على حجم مجموعة الأقراص المتوفرة. تتم فهرسة البيانات التعريفية للجلسة في مجموعة تعتمد على محرك Elasticsearch أو OpenSearch. يعمل مكون التقاط حركة المرور في وضع متعدد الخيوط ويحل مهام المراقبة، وكتابة عمليات تفريغ PCAP على القرص، وتحليل الحزم الملتقطة وإرسال البيانات الوصفية حول الجلسات (SPI، فحص الحزم الحالة) والبروتوكولات إلى مجموعة Elasticsearch/OpenSearch. من الممكن تخزين ملفات PCAP في شكل مشفر.
لتحليل المعلومات المتراكمة، يتم تقديم واجهة ويب تسمح لك بالتنقل والبحث وتصدير العينات. توفر واجهة الويب عدة أوضاع عرض - بدءًا من الإحصائيات العامة وخرائط الاتصال والرسوم البيانية المرئية مع بيانات حول التغييرات في نشاط الشبكة إلى أدوات دراسة الجلسات الفردية وتحليل النشاط في سياق البروتوكولات المستخدمة وتحليل البيانات من عمليات تفريغ PCAP. يتم أيضًا توفير واجهة برمجة التطبيقات (API) التي تسمح لك بإرسال بيانات حول الحزم الملتقطة بتنسيق PCAP والجلسات المفككة بتنسيق JSON إلى تطبيقات الطرف الثالث.
новой версии:
- تمت إضافة القدرة على إرسال طلبات بحث مجمعة للحصول على معلومات من خلال خدمة Cont3xt لجمع المعلومات المتوفرة في مصادر مفتوحة متنوعة (OSINT) في وقت واحد حول عدة كائنات.
- تمت إضافة دعم لطرق بصمات حركة المرور JA4 وJA4+ لتحديد بروتوكولات الشبكة وتطبيقاتها.
- تم تغيير تصميم الكتلة التي تحتوي على معلومات تفصيلية حول الجلسة، مما يقلل المساحة غير المستخدمة وينفذ تخطيطًا من عمودين للشاشات الكبيرة.
- تمت إضافة الكتل المنسدلة إلى علامات التبويب "الملفات" و"المحفوظات" و"الإحصائيات" للبحث في وقت واحد في عدة حالات من الواجهة لعرض الإحصائيات (العارض).
- تم توحيد نظام الترخيص وفصله في وحدة منفصلة، تُستخدم الآن في جميع تطبيقات Arkime. بدلاً من وضع التفويض المجهول، يتم استخدام أسلوب الملخص بشكل افتراضي. تمت إضافة أوضاع ترخيص جديدة: basic، form، basic+form، basic+oidc، headerOnly، header+digest and header+basic.
- تم نقل جميع التطبيقات إلى نظام فرعي موحد للتكوين يدعم إعدادات المعالجة بتنسيقات مختلفة (ini، json، yaml) وهو قادر على تحميل الإعدادات من مصادر مختلفة، على سبيل المثال، من القرص، عبر الشبكة عبر HTTPS أو من OpenSearch/Elasticsearch .
- تمت إضافة دعم لاستيراد تفريغات PCAP المحفوظة (غير المتصلة بالإنترنت) وتنزيلها عبر URL عبر HTTPS أو من تخزين Amazon S3، دون الحاجة إلى حفظها أولاً على النظام المحلي.
المصدر: opennet.ru