Byla zveřejněna verze systému pro zachycování, ukládání a indexování síťových paketů Arkime 5.0, která poskytuje nástroje pro vizuální hodnocení toků provozu a vyhledávání informací souvisejících se síťovou aktivitou. Projekt byl původně vyvinut společností AOL s cílem vytvořit otevřenou náhradu za komerční platformy pro zpracování paketů v síti, která podporuje nasazení na jejích serverech a dokáže zpracovat provoz rychlostí desítek gigabitů za sekundu. Kód komponenty pro zachycení provozu je napsán v jazyce C a rozhraní je implementováno v Node.js/JavaScript. Zdrojový kód je distribuován pod licencí Apache 2.0. Podporuje práci na Linuxu a FreeBSD. Pro Arch Linux, RHEL/CentOS a Ubuntu jsou připraveny hotové balíčky.
Arkime obsahuje nástroje pro zachycování a indexování provozu PCAP a také poskytuje nástroje pro rychlý přístup k indexovaným datům. Použití standardního formátu PCAP výrazně zjednodušuje integraci se stávajícími analyzátory provozu, jako je Wireshark. Objem uložených dat je omezen pouze velikostí dostupného diskového pole. Metadata relace jsou indexována v clusteru založeném na nástroji Elasticsearch nebo OpenSearch. Komponenta pro zachycení provozu pracuje ve vícevláknovém režimu a řeší úkoly monitorování, zápis PCAP výpisů na disk, parsování zachycených paketů a odesílání metadat o relacích (SPI, Stateful packet inspection) a protokolech do clusteru Elasticsearch/OpenSearch. Soubory PCAP je možné ukládat v zašifrované podobě.
Pro analýzu nashromážděných informací se nabízí webové rozhraní, které umožňuje navigaci, vyhledávání a export vzorků. Webové rozhraní poskytuje několik režimů zobrazení - od obecných statistik, map připojení a vizuálních grafů s daty o změnách aktivity sítě až po nástroje pro studium jednotlivých relací, analýzu aktivity v kontextu použitých protokolů a parsování dat z PCAP výpisů. K dispozici je také rozhraní API, které umožňuje odesílat data o zachycených paketech ve formátu PCAP a rozebraných relacích ve formátu JSON aplikacím třetích stran.
V nové verzi:
- Přidána možnost posílat kombinované požadavky na vyhledávání informací prostřednictvím služby Cont3xt pro shromažďování informací dostupných v různých otevřených zdrojích (OSINT) současně o několika objektech.
- Přidána podpora pro metody otisku dat provozu JA4 a JA4+ k identifikaci síťových protokolů a aplikací.
- Změnil se design bloku s podrobnými informacemi o relaci, který minimalizuje nevyužitý prostor a implementuje dvousloupcové rozložení pro velké obrazovky.
- Na karty Soubory, Historie a Statistiky byly přidány rozevírací bloky pro současné vyhledávání v několika instancích rozhraní pro prohlížení statistik (Prohlížeč).
- Autorizační systém byl sjednocen a rozdělen do samostatného modulu, který se nyní používá ve všech aplikacích Arkime. Místo anonymního autorizačního režimu se ve výchozím nastavení používá metoda digest. Byly přidány nové režimy autorizace: basic, form, basic+form, basic+oidc, headerOnly, header+digest a header+basic.
- Všechny aplikace byly převedeny do jednotného konfiguračního subsystému, který podporuje nastavení zpracování v různých formátech (ini, json, yaml) a je schopen načítat nastavení z různých zdrojů, například z disku, přes síť přes HTTPS nebo z OpenSearch/Elasticsearch. .
- Přidána podpora pro import uložených (offline) výpisů PCAP a jejich stahování přes URL přes HTTPS nebo z úložiště Amazon S3, aniž by bylo nutné je nejprve uložit do lokálního systému.
Zdroj: opennet.ru