Una versione di u sistema per catturà, almacenà è indexà i pacchetti di rete Arkime 5.0 hè statu publicatu, chì furnisce strumenti per valutà visualmente i flussi di trafficu è a ricerca di l'infurmazioni relative à l'attività di a rete. U prugettu hè statu inizialmente sviluppatu da AOL cù u scopu di creà un rimpiazzamentu apertu per e plataformi di trasfurmazioni di pacchetti di rete cummerciale chì sustene l'implementazione in i so servitori è ponu scala per processà u trafficu à velocità di decine di gigabits per seconda. U codice di cumpunenti di cattura di trafficu hè scrittu in C, è l'interfaccia hè implementata in Node.js/JavaScript. U codice fonte hè distribuitu sottu a licenza Apache 2.0. Supporta u travagliu nantu à Linux è FreeBSD. I pacchetti pronti sò preparati per Arch Linux, RHEL / CentOS è Ubuntu.
Arkime include strumenti per catturà è indexà u trafficu PCAP, è furnisce ancu strumenti per un accessu rapidu à e dati indexati. L'usu di un formatu PCAP standard simplifica assai l'integrazione cù l'analizatori di trafficu esistenti cum'è Wireshark. U voluminu di dati almacenati hè limitatu solu da a dimensione di l'array di discu dispunibule. I metadati di a sessione sò indexati in un cluster basatu annantu à u mutore Elasticsearch o OpenSearch. U cumpunente di cattura di u trafficu opera in modu multi-threaded è risolve i travaglii di monitoraghju, scrivite dumps PCAP à u discu, analizà i pacchetti catturati è mandà metadati nantu à e sessioni (SPI, Stateful packet inspection) è protokolli à u cluster Elasticsearch / OpenSearch. Hè pussibule almacenà i schedari PCAP in forma criptata.
Per analizà l'infurmazioni accumulate, hè offerta una interfaccia web chì vi permette di navigà, di ricerca è di esporà campioni. L'interfaccia web furnisce parechji modi di visualizazione - da statistiche generale, carte di cunnessione è grafici visuali cù dati nantu à i cambiamenti in l'attività di a rete à l'arnesi per studià e sessioni individuali, analizà l'attività in u cuntestu di i protokolli utilizati è analizà e dati da i dumps PCAP. Una API hè ancu furnita chì permette di mandà dati nantu à i pacchetti catturati in formatu PCAP è sessioni disassemblate in formatu JSON à applicazioni di terzu.
In a nova versione:
- Aggiunta l'abilità di mandà richieste di ricerca cumminata per l'infurmazioni attraversu u serviziu Cont3xt per cullà l'infurmazioni dispunibili in diverse fonti aperte (OSINT) simultaneamente nantu à parechji oggetti.
- Aghjunghje supportu per i metudi di impronte digitali di trafficu JA4 è JA4+ per identificà protokolli è applicazioni di rete.
- U disignu di u bloccu cù l'infurmazioni detallati nantu à a sessione hè statu cambiatu, chì minimizza u spaziu inutilizatu è implementa un layout di dui culonni per grandi schermi.
- I blocchi drop-down sò stati aghjunti à e tabulazioni Files, History è Stats per a ricerca simultaneamente in parechji casi di l'interfaccia per vede statistiche (Viewer).
- U sistema d'autorizazione hè statu unificatu è siparatu in un modulu separatu, chì hè avà usatu in tutti l'applicazioni Arkime. Invece di u modu d'autorizazione anonima, u metudu digest hè utilizatu per difettu. Sò stati aghjunti novi modi d'autorizazione: basic, form, basic+form, basic+oidc, headerOnly, header+digest è header+basic.
- Tutte l'applicazioni sò stati trasferiti à un sottosistema di cunfigurazione unificatu chì sustene i paràmetri di trasfurmazioni in diversi formati (ini, json, yaml) è hè capaci di carricà paràmetri da diverse fonti, per esempiu, da u discu, nantu à a reta via HTTPS o da OpenSearch / Elasticsearch. .
- Aghjunghje supportu per l'importazione di dumps PCAP salvati (offline) è scaricate via URL via HTTPS o da l'almacenamiento Amazon S3, senza a necessità di prima salvà in u sistema lucale.
Source: opennet.ru