Arkime 5.0 sareko paketeak atzemateko, gordetzeko eta indexatzeko sistemaren oharra argitaratu da, trafiko-fluxuak bisualki ebaluatzeko eta sareko jarduerarekin lotutako informazioa bilatzeko tresnak eskainiz. Proiektua jatorriz AOLek garatu zuen sare komertzialen paketeen prozesatzeko plataformen ordezko irekia sortzeko helburuarekin, bere zerbitzarietan inplementatzea onartzen duena eta trafikoa segundoko hamarnaka gigabit abiaduran prozesatzeko eskala dezakeena. Trafikoa harrapatzeko osagaiaren kodea C-n idatzita dago eta interfazea Node.js/JavaScript-en inplementatzen da. Iturburu kodea Apache 2.0 lizentziapean banatzen da. Linux eta FreeBSD-en lana onartzen du. Prestatutako paketeak Arch Linux, RHEL/CentOS eta Ubunturako prestatuta daude.
Arkime-k PCAP trafikoa atzemateko eta indexatzeko tresnak biltzen ditu, eta indexatutako datuetara azkar sartzeko tresnak ere eskaintzen ditu. PCAP formatu estandarra erabiltzeak asko errazten du lehendik dauden trafiko analizatzaileekin integratzea, hala nola Wireshark. Biltegiratutako datuen bolumena eskuragarri dagoen disko-matrizearen tamainak soilik mugatzen du. Saioko metadatuak Elasticsearch edo OpenSearch motorean oinarritutako kluster batean indexatzen dira. Trafikoa harrapatzeko osagaiak hari anitzeko moduan funtzionatzen du eta monitorizazioa, PCAP iraulketak diskoan idaztea, harrapatutako paketeak analizatzea eta saioei buruzko metadatuak (SPI, Stateful packet inspection) eta protokoloak Elasticsearch/OpenSearch klusterera bidaltzen ditu. Posible da PCAP fitxategiak zifratuta gordetzea.
Metatutako informazioa aztertzeko, laginak nabigatzeko, bilatu eta esportatzeko aukera ematen duen web interfaze bat eskaintzen da. Web-interfazeak hainbat ikusteko modu eskaintzen ditu: estatistika orokorrak, konexio-mapak eta sareko jarduera-aldaketei buruzko datuak dituzten grafiko bisualetatik, saio indibidualak aztertzeko tresnak, erabilitako protokoloen testuinguruan jarduera aztertzeko eta PCAP-eko zabortegietako datuak analizatzeko. Hartutako paketeei buruzko datuak PCAP formatuan eta JSON formatuan desmuntatutako saioei buruzko datuak hirugarrenen aplikazioetara bidaltzeko aukera ematen duen API bat ere eskaintzen da.
Bertsio berrian:
- Cont3xt zerbitzuaren bidez informazio-eskaera konbinatuak bidaltzeko gaitasuna gehitu da, hainbat iturri irekitan (OSINT) eskuragarri dagoen informazioa aldi berean hainbat objekturi buruz biltzeko.
- Sareko protokoloak eta aplikazioak identifikatzeko JA4 eta JA4+ trafikoaren hatz-marken metodoetarako laguntza gehitu da.
- Saioari buruzko informazio zehatza duen blokearen diseinua aldatu da, erabiltzen ez den espazioa gutxitzen duena eta pantaila handietarako bi zutabeko diseinua ezartzen duena.
- Goitibeherako blokeak gehitu dira Fitxategiak, Historia eta Estatistikak fitxetan, estatistikak ikusteko interfazearen hainbat instantziatan aldi berean bilatzeko (Ikuslea).
- Baimen-sistema bateratu eta bereizitako modulu batean banatu da, orain Arkime aplikazio guztietan erabiltzen dena. Baimen modu anonimoaren ordez, laburpen-metodoa erabiltzen da lehenespenez. Baimen modu berriak gehitu dira: basic, form, basic+form, basic+oidc, headerOnly, header+digest eta header+basic.
- Aplikazio guztiak formatu ezberdinetan (ini, json, yaml) prozesatzeko ezarpenak onartzen dituen konfigurazio azpisistema bateratu batera transferitu dira eta iturri ezberdinetatik ezarpenak kargatzeko gai da, adibidez, diskotik, saretik HTTPS bidez edo OpenSearch/Elasticsearch-tik. .
- Gordetako (lineaz kanpoko) PCAP zabortegiak inportatzeko eta URL bidez deskargatzeko laguntza gehitu da HTTPS bidez edo Amazon S3 biltegitik, lehenik tokiko sisteman gorde beharrik gabe.
Iturria: opennet.ru