Δημοσιεύτηκε μια έκδοση του συστήματος λήψης, αποθήκευσης και ευρετηρίασης πακέτων δικτύου Arkime 5.0, το οποίο παρέχει εργαλεία για την οπτική αξιολόγηση των ροών κυκλοφορίας και την αναζήτηση πληροφοριών που σχετίζονται με τη δραστηριότητα του δικτύου. Το έργο αναπτύχθηκε αρχικά από την AOL με στόχο τη δημιουργία μιας ανοιχτής αντικατάστασης για εμπορικές πλατφόρμες επεξεργασίας πακέτων δικτύου που υποστηρίζει την ανάπτυξη στους διακομιστές της και μπορεί να επεξεργάζεται κίνηση με ταχύτητες δεκάδων gigabit ανά δευτερόλεπτο. Ο κώδικας του στοιχείου καταγραφής κίνησης είναι γραμμένος σε C και η διεπαφή υλοποιείται στο Node.js/JavaScript. Ο πηγαίος κώδικας διανέμεται με την άδεια Apache 2.0. Υποστηρίζει εργασία σε Linux και FreeBSD. Ετοιμάζονται έτοιμα πακέτα για Arch Linux, RHEL/CentOS και Ubuntu.
Το Arkime περιλαμβάνει εργαλεία για την καταγραφή και την ευρετηρίαση της κυκλοφορίας PCAP, και παρέχει επίσης εργαλεία για γρήγορη πρόσβαση σε δεδομένα με ευρετήριο. Η χρήση μιας τυπικής μορφής PCAP απλοποιεί σημαντικά την ενσωμάτωση με υπάρχοντες αναλυτές κυκλοφορίας όπως το Wireshark. Ο όγκος των αποθηκευμένων δεδομένων περιορίζεται μόνο από το μέγεθος της διαθέσιμης συστοιχίας δίσκων. Τα μεταδεδομένα περιόδου λειτουργίας ευρετηριάζονται σε ένα σύμπλεγμα που βασίζεται στη μηχανή Elasticsearch ή OpenSearch. Το στοιχείο καταγραφής επισκεψιμότητας λειτουργεί σε λειτουργία πολλαπλών νημάτων και επιλύει τις εργασίες παρακολούθησης, εγγραφής απορριμμάτων PCAP στο δίσκο, ανάλυσης πακέτων που έχουν συλληφθεί και αποστολής μεταδεδομένων για περιόδους σύνδεσης (SPI, Stateful packet inspection) και πρωτοκόλλων στο σύμπλεγμα Elasticsearch/OpenSearch. Είναι δυνατή η αποθήκευση αρχείων PCAP σε κρυπτογραφημένη μορφή.
Για την ανάλυση των συσσωρευμένων πληροφοριών, προσφέρεται μια διεπαφή ιστού που σας επιτρέπει να πλοηγηθείτε, να αναζητήσετε και να εξάγετε δείγματα. Η διεπαφή ιστού παρέχει διάφορους τρόπους προβολής - από γενικά στατιστικά στοιχεία, χάρτες σύνδεσης και οπτικά γραφήματα με δεδομένα για αλλαγές στη δραστηριότητα του δικτύου έως εργαλεία για τη μελέτη μεμονωμένων περιόδων σύνδεσης, την ανάλυση δραστηριότητας στο πλαίσιο των πρωτοκόλλων που χρησιμοποιούνται και την ανάλυση δεδομένων από χωματερές PCAP. Παρέχεται επίσης ένα API που σας επιτρέπει να στέλνετε δεδομένα σχετικά με πακέτα που έχουν συλληφθεί σε μορφή PCAP και αποσυναρμολογημένες περιόδους λειτουργίας σε μορφή JSON σε εφαρμογές τρίτων.
Στη νέα έκδοση:
- Προστέθηκε η δυνατότητα αποστολής συνδυασμένων αιτημάτων αναζήτησης πληροφοριών μέσω της υπηρεσίας Cont3xt για τη συλλογή πληροφοριών που είναι διαθέσιμες σε διάφορες ανοιχτές πηγές (OSINT) ταυτόχρονα για πολλά αντικείμενα.
- Προστέθηκε υποστήριξη για μεθόδους δακτυλικών αποτυπωμάτων κυκλοφορίας JA4 και JA4+ για τον εντοπισμό πρωτοκόλλων δικτύου και εφαρμογών.
- Ο σχεδιασμός του μπλοκ με λεπτομερείς πληροφορίες σχετικά με τη συνεδρία έχει αλλάξει, γεγονός που ελαχιστοποιεί τον αχρησιμοποίητο χώρο και υλοποιεί μια διάταξη δύο στηλών για μεγάλες οθόνες.
- Αναπτυσσόμενα μπλοκ έχουν προστεθεί στις καρτέλες Αρχεία, Ιστορικό και Στατιστικά για ταυτόχρονη αναζήτηση σε πολλές περιπτώσεις της διεπαφής για προβολή στατιστικών (Viewer).
- Το σύστημα εξουσιοδότησης έχει ενοποιηθεί και χωριστεί σε ξεχωριστή ενότητα, η οποία χρησιμοποιείται πλέον σε όλες τις εφαρμογές Arkime. Αντί για τη λειτουργία ανώνυμης εξουσιοδότησης, η μέθοδος σύνοψης χρησιμοποιείται από προεπιλογή. Προστέθηκαν νέες λειτουργίες εξουσιοδότησης: βασική, φόρμα, βασική+φόρμα, βασική+ειδική, μόνο κεφαλίδα, κεφαλίδα+σύνδεση και κεφαλίδα+βασική.
- Όλες οι εφαρμογές έχουν μεταφερθεί σε ένα ενοποιημένο υποσύστημα διαμόρφωσης που υποστηρίζει ρυθμίσεις επεξεργασίας σε διαφορετικές μορφές (ini, json, yaml) και έχει τη δυνατότητα φόρτωσης ρυθμίσεων από διαφορετικές πηγές, για παράδειγμα, από δίσκο, μέσω δικτύου μέσω HTTPS ή από OpenSearch/Elasticsearch .
- Προστέθηκε υποστήριξη για την εισαγωγή αποθηκευμένων (εκτός σύνδεσης) απορριμμάτων PCAP και τη λήψη τους μέσω URL μέσω HTTPS ή από το χώρο αποθήκευσης Amazon S3, χωρίς να χρειάζεται να τα αποθηκεύσετε πρώτα στο τοπικό σύστημα.
Πηγή: opennet.ru