Mae datganiad o'r system ar gyfer dal, storio a mynegeio pecynnau rhwydwaith Arkime 5.0 wedi'i gyhoeddi, gan ddarparu offer ar gyfer asesu llif traffig yn weledol a chwilio am wybodaeth yn ymwneud Γ’ gweithgaredd rhwydwaith. Datblygwyd y prosiect yn wreiddiol gan AOL gyda'r nod o greu disodliad agored ar gyfer llwyfannau prosesu pecynnau rhwydwaith masnachol sy'n cefnogi defnydd ar ei weinyddion ac sy'n gallu graddio i brosesu traffig ar gyflymder o ddegau o gigabits yr eiliad. Mae cod y gydran dal traffig wedi'i ysgrifennu yn C, a gweithredir y rhyngwyneb yn Node.js/JavaScript. Mae'r cod ffynhonnell yn cael ei ddosbarthu o dan y drwydded Apache 2.0. Yn cefnogi gwaith ar Linux a FreeBSD. Mae pecynnau parod yn cael eu paratoi ar gyfer Arch Linux, RHEL / CentOS a Ubuntu.
Mae Arkime yn cynnwys offer ar gyfer dal a mynegeio traffig PCAP, ac mae hefyd yn darparu offer ar gyfer mynediad cyflym i ddata mynegeio. Mae'r defnydd o fformat PCAP safonol yn symleiddio'r integreiddio Γ’ dadansoddwyr traffig presennol fel Wireshark yn fawr. Mae maint y data sydd wedi'i storio wedi'i gyfyngu gan faint yr arae disg sydd ar gael yn unig. Mae metadata sesiwn yn cael ei fynegeio mewn clwstwr yn seiliedig ar yr injan Elasticsearch neu OpenSearch. Mae'r gydran dal traffig yn gweithredu mewn modd aml-edau ac yn datrys y tasgau o fonitro, ysgrifennu tomenni PCAP i ddisg, dosrannu pecynnau wedi'u dal ac anfon metadata am sesiynau (SPI, Archwilio pecynnau Gwladol) a phrotocolau i'r clwstwr Elasticsearch/OpenSearch. Mae'n bosibl storio ffeiliau PCAP ar ffurf wedi'i hamgryptio.
Er mwyn dadansoddi'r wybodaeth a gasglwyd, cynigir rhyngwyneb gwe sy'n eich galluogi i lywio, chwilio ac allforio samplau. Mae'r rhyngwyneb gwe yn darparu sawl dull gwylio - o ystadegau cyffredinol, mapiau cysylltiad a graffiau gweledol gyda data ar newidiadau mewn gweithgaredd rhwydwaith i offer ar gyfer astudio sesiynau unigol, dadansoddi gweithgaredd yng nghyd-destun y protocolau a ddefnyddir a dosrannu data o dympiau PCAP. Darperir API hefyd sy'n eich galluogi i anfon data am becynnau wedi'u dal mewn fformat PCAP a sesiynau wedi'u datgymalu yn fformat JSON i gymwysiadau trydydd parti.
Yn y fersiwn newydd:
- Ychwanegwyd y gallu i anfon ceisiadau chwiliad cyfun am wybodaeth trwy wasanaeth Cont3xt i gasglu gwybodaeth sydd ar gael mewn amrywiol ffynonellau agored (OSINT) ar yr un pryd am sawl gwrthrych.
- Cefnogaeth ychwanegol ar gyfer dulliau olion bysedd traffig JA4 a JA4+ i nodi protocolau a chymwysiadau rhwydwaith.
- Mae dyluniad y bloc gyda gwybodaeth fanwl am y sesiwn wedi'i newid, sy'n lleihau'r gofod nas defnyddiwyd ac yn gweithredu cynllun dwy golofn ar gyfer sgriniau mawr.
- Mae blociau cwymplen wedi'u hychwanegu at y tabiau Ffeiliau, Hanes ac Ystadegau i'w chwilio ar yr un pryd mewn sawl achos o'r rhyngwyneb ar gyfer gweld ystadegau (Gwyliwr).
- Mae'r system awdurdodi wedi'i huno a'i gwahanu'n fodiwl ar wahΓ’n, sydd bellach yn cael ei ddefnyddio ym mhob rhaglen Arkime. Yn lle'r modd awdurdodi dienw, defnyddir y dull crynhoad yn ddiofyn. Mae moddau awdurdodi newydd wedi'u hychwanegu: sylfaenol, ffurf, sylfaenol+ffurf, sylfaenol+oidc, headerOnly, header+digest a header+sylfaenol.
- Mae pob cymhwysiad wedi'i drosglwyddo i is-system cyfluniad unedig sy'n cefnogi gosodiadau prosesu mewn gwahanol fformatau (ini, json, yaml) ac sy'n gallu llwytho gosodiadau o wahanol ffynonellau, er enghraifft, o ddisg, dros y rhwydwaith trwy HTTPS neu o OpenSearch / Elasticsearch .
- Cefnogaeth ychwanegol ar gyfer mewnforio tomenni PCAP wedi'u cadw (all-lein) a'u llwytho i lawr trwy URL trwy HTTPS neu o storfa Amazon S3, heb fod angen eu cadw ar y system leol yn gyntaf.
Ffynhonnell: opennet.ru