En udgivelse af systemet til opsamling, lagring og indeksering af netværkspakker Arkime 5.0 er blevet offentliggjort, som giver værktøjer til visuel vurdering af trafikstrømme og søgning efter information relateret til netværksaktivitet. Projektet blev oprindeligt udviklet af AOL med det mål at skabe en åben erstatning for kommercielle netværkspakkebehandlingsplatforme, der understøtter udrulning på dets servere og kan skaleres til at behandle trafik med hastigheder på snesevis af gigabits pr. sekund. Trafikfangstkomponentkoden er skrevet i C, og grænsefladen er implementeret i Node.js/JavaScript. Kildekoden distribueres under Apache 2.0-licensen. Understøtter arbejde på Linux og FreeBSD. Færdiglavede pakker er forberedt til Arch Linux, RHEL/CentOS og Ubuntu.
Arkime indeholder værktøjer til at fange og indeksere PCAP-trafik og giver også værktøjer til hurtig adgang til indekserede data. Brugen af et standard PCAP-format forenkler integrationen med eksisterende trafikanalysatorer såsom Wireshark. Mængden af lagrede data er kun begrænset af størrelsen af det tilgængelige diskarray. Sessionsmetadata indekseres i en klynge baseret på Elasticsearch- eller OpenSearch-motoren. Trafikregistreringskomponenten fungerer i multi-threaded-tilstand og løser opgaverne med overvågning, skrivning af PCAP-dumps til disk, parsing af fangede pakker og afsendelse af metadata om sessioner (SPI, Stateful packet inspection) og protokoller til Elasticsearch/OpenSearch-klyngen. Det er muligt at gemme PCAP-filer i krypteret form.
For at analysere den akkumulerede information tilbydes en webgrænseflade, der giver dig mulighed for at navigere, søge og eksportere prøver. Webgrænsefladen giver flere visningstilstande - fra generel statistik, forbindelseskort og visuelle grafer med data om ændringer i netværksaktivitet til værktøjer til at studere individuelle sessioner, analyse af aktivitet i sammenhæng med de anvendte protokoller og parsing af data fra PCAP-dumps. Der leveres også en API, der giver dig mulighed for at sende data om optagne pakker i PCAP-format og adskilte sessioner i JSON-format til tredjepartsapplikationer.
I den nye version:
- Tilføjet muligheden for at sende kombinerede søgeanmodninger om information gennem Cont3xt-tjenesten for at indsamle information tilgængelig i forskellige åbne kilder (OSINT) samtidigt om flere objekter.
- Tilføjet understøttelse af JA4 og JA4+ trafikfingeraftryksmetoder for at identificere netværksprotokoller og applikationer.
- Designet af blokken med detaljerede oplysninger om sessionen er blevet ændret, hvilket minimerer ubrugt plads og implementerer et to-søjlelayout til store skærme.
- Drop-down blokke er blevet tilføjet til fanerne Filer, Historik og Statistik til søgning samtidigt i flere forekomster af grænsefladen til visning af statistik (Viewer).
- Autorisationssystemet er blevet samlet og opdelt i et separat modul, som nu bruges i alle Arkime-applikationer. I stedet for den anonyme godkendelsestilstand bruges sammenfatningsmetoden som standard. Nye autorisationstilstande er blevet tilføjet: basic, form, basic+form, basic+oidc, headerOnly, header+digest og header+basic.
- Alle applikationer er blevet overført til et samlet konfigurationsundersystem, der understøtter behandlingsindstillinger i forskellige formater (ini, json, yaml) og er i stand til at indlæse indstillinger fra forskellige kilder, for eksempel fra disk, over netværket via HTTPS eller fra OpenSearch/Elasticsearch .
- Tilføjet understøttelse til import af gemte (offline) PCAP-dumps og download af dem via URL via HTTPS eller fra Amazon S3-lager, uden først at skulle gemme dem på det lokale system.
Kilde: opennet.ru