Arkime 5.0 şəbəkə paketlərinin ələ keçirilməsi, saxlanması və indeksləşdirilməsi sisteminin buraxılışı işıq üzü görüb, trafik axınlarının vizual qiymətləndirilməsi və şəbəkə fəaliyyəti ilə bağlı məlumatların axtarışı üçün alətlər təqdim edir. Layihə əvvəlcə AOL tərəfindən öz serverlərində yerləşdirməni dəstəkləyən və saniyədə onlarla gigabit sürətlə trafiki emal edə bilən kommersiya şəbəkəsi paket emal platformaları üçün açıq əvəz yaratmaq məqsədi ilə hazırlanmışdır. Trafik ələ keçirmə komponentinin kodu C dilində yazılmışdır və interfeys Node.js/JavaScript-də həyata keçirilir. Mənbə kodu Apache 2.0 lisenziyası altında paylanır. Linux və FreeBSD-də işi dəstəkləyir. Arch Linux, RHEL/CentOS və Ubuntu üçün hazır paketlər hazırlanır.
Arkime, PCAP trafikinin tutulması və indeksləşdirilməsi üçün alətləri ehtiva edir, həmçinin indeksləşdirilmiş məlumatlara sürətli çıxış üçün alətlər təqdim edir. Standart PCAP formatının istifadəsi Wireshark kimi mövcud trafik analizatorları ilə inteqrasiyanı xeyli asanlaşdırır. Saxlanılan məlumatların həcmi yalnız mövcud disk massivinin ölçüsü ilə məhdudlaşır. Sessiya metadatası Elasticsearch və ya OpenSearch mühərrikinə əsaslanan klasterdə indekslənir. Trafik ələ keçirmə komponenti çox yivli rejimdə işləyir və monitorinq, PCAP tullantılarının diskə yazılması, tutulmuş paketlərin təhlili və sessiyalar (SPI, Stateful paket yoxlaması) və protokollar haqqında metadataların Elasticsearch/OpenSearch klasterinə göndərilməsi vəzifələrini həll edir. PCAP fayllarını şifrələnmiş formada saxlamaq mümkündür.
Yığılmış məlumatları təhlil etmək üçün naviqasiya, axtarış və nümunələri ixrac etməyə imkan verən veb interfeysi təklif olunur. Veb-interfeys bir neçə baxış rejimini təmin edir - ümumi statistika, əlaqə xəritələri və şəbəkə fəaliyyətindəki dəyişikliklər haqqında məlumatların olduğu vizual qrafiklərdən tutmuş fərdi sessiyaların öyrənilməsi, istifadə olunan protokollar kontekstində fəaliyyətin təhlili və PCAP zibillərindən məlumatların təhlili üçün alətlərə qədər. PCAP formatında tutulan paketlər və JSON formatında sökülən seanslar haqqında məlumatları üçüncü tərəf proqramlarına göndərməyə imkan verən API də təqdim olunur.
Yeni versiyada:
- Müxtəlif açıq mənbələrdə (OSINT) eyni vaxtda bir neçə obyekt haqqında mövcud olan məlumatları toplamaq üçün Cont3xt xidməti vasitəsilə məlumat üçün birləşdirilmiş axtarış sorğularını göndərmək imkanı əlavə edildi.
- Şəbəkə protokollarını və tətbiqlərini müəyyən etmək üçün JA4 və JA4+ trafik barmaq izi üsulları üçün əlavə dəstək.
- Seans haqqında ətraflı məlumatı olan blokun dizaynı dəyişdirilib, bu, istifadə olunmamış məkanı minimuma endirir və böyük ekranlar üçün iki sütunlu tərtibatı həyata keçirir.
- Statistikaya baxmaq üçün interfeysin bir neçə nümunəsində eyni vaxtda axtarış etmək üçün Fayllar, Tarixçə və Statistikalar nişanlarına açılan bloklar əlavə edilmişdir (Viewer).
- Avtorizasiya sistemi birləşdirilib və indi bütün Arkime proqramlarında istifadə olunan ayrıca modula ayrılıb. Anonim avtorizasiya rejimi əvəzinə defolt olaraq həzm metodu istifadə olunur. Yeni avtorizasiya rejimləri əlavə edildi: əsas, forma, əsas+forma, əsas+oidc, yalnız başlıq, başlıq+dijest və başlıq+əsas.
- Bütün proqramlar müxtəlif formatlarda (ini, json, yaml) emal parametrlərini dəstəkləyən və parametrləri müxtəlif mənbələrdən, məsələn, diskdən, HTTPS vasitəsilə şəbəkə üzərindən və ya OpenSearch/Elasticsearch-dən yükləməyə qadir olan vahid konfiqurasiya alt sisteminə köçürülüb. .
- Saxlanmış (oflayn) PCAP tullantılarının idxalı və ilk növbədə yerli sistemdə saxlamağa ehtiyac olmadan HTTPS vasitəsilə URL vasitəsilə və ya Amazon S3 yaddaşından endirilməsi üçün əlavə dəstək.
Mənbə: opennet.ru