Avaldatud on võrgupakettide hõivamise, salvestamise ja indekseerimise süsteemi Arkime 5.0 väljalase, mis pakub tööriistu liiklusvoogude visuaalseks hindamiseks ja võrgutegevusega seotud teabe otsimiseks. Projekti töötas algselt välja AOL eesmärgiga luua kommertsvõrgu pakettide töötlemise platvormidele avatud asendus, mis toetab juurutamist selle serverites ja suudab töödelda liiklust kiirusega kümneid gigabitte sekundis. Liiklushõive komponendi kood on kirjutatud C-keeles ja liides on realiseeritud keeles Node.js/JavaScript. Lähtekoodi levitatakse Apache 2.0 litsentsi all. Toetab tööd Linuxis ja FreeBSD-s. Valmis paketid on ette valmistatud Arch Linuxi, RHEL/CentOSi ja Ubuntu jaoks.
Arkime sisaldab tööriistu PCAP liikluse hõivamiseks ja indekseerimiseks ning pakub ka tööriistu kiireks juurdepääsuks indekseeritud andmetele. Standardse PCAP-vormingu kasutamine lihtsustab oluliselt integreerimist olemasolevate liiklusanalüsaatoritega, nagu Wireshark. Salvestatud andmete mahtu piirab ainult saadaoleva kettamassiivi suurus. Seansi metaandmed indekseeritakse klastris, mis põhineb Elasticsearchi või OpenSearchi mootoril. Liiklushõive komponent töötab mitme lõimega režiimis ja lahendab jälgimise, PCAP-i väljavõtete kettale kirjutamise, hõivatud pakettide sõelumise ning seansside metaandmete (SPI, Stateful pakettide kontroll) ja protokollide saatmise Elasticsearch/OpenSearch klastrisse. PCAP-faile on võimalik salvestada krüpteeritud kujul.
Kogunenud teabe analüüsimiseks pakutakse veebiliidest, mis võimaldab navigeerida, otsida ja eksportida näidiseid. Veebiliides pakub mitmeid vaatamisrežiime – alates üldisest statistikast, ühenduskaartidest ja visuaalsetest graafikutest võrgutegevuse muutuste andmetega kuni tööriistadeni üksikute seansside uurimiseks, aktiivsuse analüüsimiseks kasutatavate protokollide kontekstis ja andmete sõelumiseks PCAP-i prügimägedest. Samuti on saadaval API, mis võimaldab saata andmeid PCAP-vormingus jäädvustatud pakettide ja JSON-vormingus lahti võetud seansside kohta kolmandate osapoolte rakendustele.
Uues versioonis:
- Lisati võimalus saata kombineeritud teabeotsingupäringuid teenuse Cont3xt kaudu, et koguda erinevatest avatud allikatest (OSINT) saadaolevat teavet üheaegselt mitme objekti kohta.
- Lisatud JA4 ja JA4+ liikluse sõrmejälgede võtmise meetodite tugi võrguprotokollide ja rakenduste tuvastamiseks.
- Seansi üksikasjaliku teabega ploki kujundust on muudetud, mis minimeerib kasutamata ruumi ja rakendab suurte ekraanide jaoks kaheveerulist paigutust.
- Vahekaartidele Failid, Ajalugu ja Statistika on lisatud rippmenüü plokid statistika vaatamise liidese (vaaturi) mitmel juhul üheaegseks otsimiseks.
- Autoriseerimissüsteem on ühtlustatud ja eraldatud eraldi mooduliks, mis on nüüd kasutusel kõigis Arkime rakendustes. Anonüümse autoriseerimisrežiimi asemel kasutatakse vaikimisi kokkuvõttemeetodit. Lisatud on uued autoriseerimisrežiimid: basic, vorm, basic+vorm, basic+oidc, headerOnly, header+digest ja header+basic.
- Kõik rakendused on üle viidud ühtsesse konfiguratsiooni alamsüsteemi, mis toetab seadete töötlemist erinevates vormingutes (ini, json, yaml) ja on võimeline laadima sätteid erinevatest allikatest, näiteks kettalt, võrgu kaudu HTTPS-i või OpenSearchi/Elasticsearchi kaudu. .
- Lisatud on tugi salvestatud (võrguühenduseta) PCAP-i tõmmiste importimiseks ja nende allalaadimiseks URL-i kaudu HTTPS-i kaudu või Amazon S3 salvestusruumist, ilma et oleks vaja neid esmalt kohalikku süsteemi salvestada.
Allikas: opennet.ru