S'ha publicat Arkime 5.0, un sistema de captura, emmagatzematge i indexació de paquets de xarxa. Proporciona eines per avaluar visualment els fluxos de trànsit i cercar informació relacionada amb l'activitat de la xarxa. El projecte va ser desenvolupat inicialment per AOL amb l'objectiu de crear un substitut de codi obert per a les plataformes comercials de processament de paquets de xarxa que es pogués implementar en els seus propis servidors i escalar per gestionar el trànsit a velocitats de desenes de gigabits per segon. El component de captura de trànsit està escrit en C i la interfície està implementada en Node.js/JavaScript. El codi font es distribueix sota la llicència Apache 2.0. El treball està suportat en Linux i FreeBSD. Hi ha paquets prefabricats disponibles per a Arch. Linux, RHEL/CentOS и Ubuntu.
Arkime inclou eines per capturar i indexar el trànsit PCAP, i també proporciona eines per accedir ràpidament a les dades indexades. L'ús d'un format PCAP estàndard simplifica enormement la integració amb analitzadors de trànsit existents, com ara Wireshark. El volum de dades emmagatzemades només està limitat per la mida de la matriu de disc disponible. Les metadades de la sessió s'indexen en un clúster basat en el motor Elasticsearch o OpenSearch. El component de captura de trànsit funciona en mode multiprocés i resol les tasques de supervisió, escriptura de bolcades PCAP al disc, anàlisi de paquets capturats i enviament de metadades sobre sessions (SPI, inspecció de paquets amb estat) i protocols al clúster Elasticsearch/OpenSearch. És possible emmagatzemar fitxers PCAP en forma xifrada.
Per analitzar la informació acumulada, s'ofereix una interfície web que permet navegar, cercar i exportar mostres. La interfície web ofereix diversos modes de visualització: des d'estadístiques generals, mapes de connexió i gràfics visuals amb dades sobre els canvis en l'activitat de la xarxa fins a eines per estudiar sessions individuals, analitzar l'activitat en el context dels protocols utilitzats i analitzar dades dels abocadors de PCAP. També es proporciona una API que us permet enviar dades sobre paquets capturats en format PCAP i sessions desmuntades en format JSON a aplicacions de tercers.
En la nova versió:
- S'ha afegit la possibilitat d'enviar sol·licituds de cerca combinades d'informació mitjançant el servei Cont3xt per recopilar informació disponible en diverses fonts obertes (OSINT) simultàniament sobre diversos objectes.
- S'ha afegit suport per als mètodes d'empremta de trànsit JA4 i JA4+ per identificar protocols i aplicacions de xarxa.
- S'ha canviat el disseny del bloc amb informació detallada sobre la sessió, que minimitza l'espai no utilitzat i implementa un disseny de dues columnes per a pantalles grans.
- S'han afegit blocs desplegables a les pestanyes Fitxers, Historial i Estadístiques per cercar simultàniament en diverses instàncies de la interfície de visualització d'estadístiques (Visor).
- El sistema d'autorització s'ha unificat i separat en un mòdul separat, que ara s'utilitza en totes les aplicacions Arkime. En lloc del mode d'autorització anònima, s'utilitza el mètode de resum per defecte. S'han afegit nous modes d'autorització: basic, form, basic+form, basic+oidc, headerOnly, header+digest i header+basic.
- Totes les aplicacions s'han transferit a un subsistema de configuració unificat que admet la configuració de processament en diferents formats (ini, json, yaml) i és capaç de carregar paràmetres des de diferents fonts, per exemple, des del disc, a través de la xarxa mitjançant HTTPS o des d'OpenSearch/Elasticsearch. .
- S'ha afegit suport per importar abocadors PCAP desats (fora de línia) i baixar-los mitjançant URL mitjançant HTTPS o des de l'emmagatzematge d'Amazon S3, sense necessitat de desar-los primer al sistema local.
Font: opennet.ru
