Eine Version des Systems zur Erfassung, Speicherung und Indizierung von Netzwerkpaketen Arkime 5.0 wurde veröffentlicht und bietet Tools zur visuellen Bewertung von Verkehrsströmen und zur Suche nach Informationen im Zusammenhang mit der Netzwerkaktivität. Das Projekt wurde ursprünglich von AOL mit dem Ziel entwickelt, einen offenen Ersatz für kommerzielle Netzwerk-Paketverarbeitungsplattformen zu schaffen, der die Bereitstellung auf seinen Servern unterstützt und sich für die Verarbeitung von Datenverkehr mit Geschwindigkeiten von mehreren zehn Gigabit pro Sekunde skalieren lässt. Der Code der Verkehrserfassungskomponente ist in C geschrieben und die Schnittstelle ist in Node.js/JavaScript implementiert. Der Quellcode wird unter der Apache 2.0-Lizenz vertrieben. Unterstützt die Arbeit unter Linux und FreeBSD. Für Arch Linux, RHEL/CentOS und Ubuntu sind fertige Pakete vorbereitet.
Arkime umfasst Tools zum Erfassen und Indizieren des PCAP-Verkehrs und bietet außerdem Tools für den schnellen Zugriff auf indizierte Daten. Die Verwendung eines Standard-PCAP-Formats vereinfacht die Integration mit vorhandenen Verkehrsanalysatoren wie Wireshark erheblich. Die Menge der gespeicherten Daten wird nur durch die Größe des verfügbaren Festplatten-Arrays begrenzt. Sitzungsmetadaten werden in einem Cluster basierend auf der Elasticsearch- oder OpenSearch-Engine indiziert. Die Verkehrserfassungskomponente arbeitet im Multithread-Modus und löst die Aufgaben der Überwachung, des Schreibens von PCAP-Dumps auf die Festplatte, des Parsens erfasster Pakete und des Sendens von Metadaten über Sitzungen (SPI, Stateful Packet Inspection) und Protokolle an den Elasticsearch/OpenSearch-Cluster. Es ist möglich, PCAP-Dateien verschlüsselt zu speichern.
Um die gesammelten Informationen zu analysieren, wird eine Weboberfläche angeboten, die das Navigieren, Suchen und Exportieren von Proben ermöglicht. Die Weboberfläche bietet verschiedene Anzeigemodi – von allgemeinen Statistiken, Verbindungskarten und visuellen Diagrammen mit Daten zu Änderungen der Netzwerkaktivität bis hin zu Tools zum Studieren einzelner Sitzungen, zur Aktivitätsanalyse im Kontext der verwendeten Protokolle und zum Parsen von Daten aus PCAP-Dumps. Außerdem wird eine API bereitgestellt, mit der Sie Daten über erfasste Pakete im PCAP-Format und disassemblierte Sitzungen im JSON-Format an Anwendungen von Drittanbietern senden können.
In der neuen Version:
- Es wurde die Möglichkeit hinzugefügt, kombinierte Suchanfragen nach Informationen über den Cont3xt-Dienst zu senden, um gleichzeitig in verschiedenen Open Sources (OSINT) verfügbare Informationen über mehrere Objekte zu sammeln.
- Unterstützung für JA4- und JA4+-Traffic-Fingerprinting-Methoden zur Identifizierung von Netzwerkprotokollen und -anwendungen hinzugefügt.
- Das Design des Blocks mit detaillierten Informationen zur Sitzung wurde geändert, wodurch ungenutzter Platz minimiert und ein zweispaltiges Layout für große Bildschirme implementiert wird.
- Den Registerkarten „Dateien“, „Verlauf“ und „Statistiken“ wurden Dropdown-Blöcke hinzugefügt, um in mehreren Instanzen der Benutzeroberfläche zum Anzeigen von Statistiken (Viewer) gleichzeitig suchen zu können.
- Das Autorisierungssystem wurde vereinheitlicht und in ein separates Modul aufgeteilt, das nun in allen Arkime-Anwendungen verwendet wird. Anstelle des anonymen Autorisierungsmodus wird standardmäßig die Digest-Methode verwendet. Neue Autorisierungsmodi wurden hinzugefügt: Basic, Form, Basic+Form, Basic+oidc, HeaderOnly, Header+Digest und Header+Basic.
- Alle Anwendungen wurden in ein einheitliches Konfigurationssubsystem überführt, das die Verarbeitung von Einstellungen in verschiedenen Formaten (ini, json, yaml) unterstützt und in der Lage ist, Einstellungen aus verschiedenen Quellen zu laden, beispielsweise von der Festplatte, über das Netzwerk über HTTPS oder von OpenSearch/Elasticsearch .
- Unterstützung für den Import gespeicherter (Offline-)PCAP-Dumps und deren Herunterladen per URL über HTTPS oder vom Amazon S3-Speicher hinzugefügt, ohne dass sie zuerst auf dem lokalen System gespeichert werden müssen.
Source: opennet.ru