Se ha publicado una versión del sistema para capturar, almacenar e indexar paquetes de red Arkime 5.0, que proporciona herramientas para evaluar visualmente los flujos de tráfico y buscar información relacionada con la actividad de la red. El proyecto fue desarrollado originalmente por AOL con el objetivo de crear un reemplazo abierto para las plataformas de procesamiento de paquetes de redes comerciales que admita la implementación en sus servidores y pueda escalar para procesar tráfico a velocidades de decenas de gigabits por segundo. El código del componente de captura de tráfico está escrito en C y la interfaz está implementada en Node.js/JavaScript. El código fuente se distribuye bajo la licencia Apache 2.0. Admite trabajo en Linux y FreeBSD. Se preparan paquetes listos para usar para Arch Linux, RHEL/CentOS y Ubuntu.
Arkime incluye herramientas para capturar e indexar el tráfico PCAP y también proporciona herramientas para un acceso rápido a los datos indexados. El uso de un formato PCAP estándar simplifica enormemente la integración con analizadores de tráfico existentes como Wireshark. El volumen de datos almacenados está limitado únicamente por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se indexan en un clúster basado en el motor Elasticsearch u OpenSearch. El componente de captura de tráfico opera en modo multiproceso y resuelve las tareas de monitoreo, escritura de volcados de PCAP en el disco, análisis de paquetes capturados y envío de metadatos sobre sesiones (SPI, inspección de paquetes con estado) y protocolos al clúster Elasticsearch/OpenSearch. Es posible almacenar archivos PCAP en forma cifrada.
Para analizar la información acumulada se ofrece una interfaz web que permite navegar, buscar y exportar muestras. La interfaz web ofrece varios modos de visualización, desde estadísticas generales, mapas de conexión y gráficos visuales con datos sobre cambios en la actividad de la red hasta herramientas para estudiar sesiones individuales, analizar la actividad en el contexto de los protocolos utilizados y analizar datos de volcados PCAP. También se proporciona una API que le permite enviar datos sobre paquetes capturados en formato PCAP y sesiones desensambladas en formato JSON a aplicaciones de terceros.
Versículos nuevos:
- Se agregó la capacidad de enviar solicitudes de búsqueda combinadas de información a través del servicio Cont3xt para recopilar información disponible en varias fuentes abiertas (OSINT) simultáneamente sobre varios objetos.
- Se agregó soporte para los métodos de huellas dactilares de tráfico JA4 y JA4+ para identificar protocolos y aplicaciones de red.
- Se ha cambiado el diseño del bloque con información detallada de la sesión, lo que minimiza el espacio no utilizado e implementa un diseño de dos columnas para pantallas de gran tamaño.
- Se han agregado bloques desplegables a las pestañas Archivos, Historial y Estadísticas para buscar simultáneamente en varias instancias de la interfaz de visualización de estadísticas (Visor).
- El sistema de autorización se ha unificado y separado en un módulo independiente, que ahora se utiliza en todas las aplicaciones de Arkime. En lugar del modo de autorización anónimo, se utiliza el método de resumen de forma predeterminada. Se han agregado nuevos modos de autorización: básico, formulario, básico+formulario, básico+oidc, headerOnly, encabezado+digest y encabezado+básico.
- Todas las aplicaciones se han transferido a un subsistema de configuración unificado que admite el procesamiento de configuraciones en diferentes formatos (ini, json, yaml) y es capaz de cargar configuraciones desde diferentes fuentes, por ejemplo, desde el disco, a través de la red a través de HTTPS o desde OpenSearch/Elasticsearch. .
- Se agregó soporte para importar volcados de PCAP guardados (sin conexión) y descargarlos mediante URL a través de HTTPS o desde el almacenamiento de Amazon S3, sin la necesidad de guardarlos primero en el sistema local.
Fuente: opennet.ru