نسخه ای از سیستم ضبط، ذخیره و نمایه سازی بسته های شبکه Arkime 5.0 منتشر شده است که ابزارهایی برای ارزیابی بصری جریان ترافیک و جستجوی اطلاعات مربوط به فعالیت شبکه ارائه می دهد. این پروژه در ابتدا توسط AOL با هدف ایجاد یک جایگزین باز برای پلتفرمهای پردازش بستههای شبکه تجاری که از استقرار در سرورهای خود پشتیبانی میکند و میتواند برای پردازش ترافیک با سرعت دهها گیگابیت در ثانیه مقیاس شود، توسعه داده شد. کد جزء جذب ترافیک به زبان C نوشته شده است و رابط در Node.js/JavaScript پیاده سازی شده است. کد منبع تحت مجوز آپاچی 2.0 توزیع شده است. از کار بر روی لینوکس و FreeBSD پشتیبانی می کند. بسته های آماده برای Arch Linux، RHEL/CentOS و Ubuntu آماده شده است.
Arkime شامل ابزارهایی برای ضبط و نمایه سازی ترافیک PCAP است و همچنین ابزارهایی برای دسترسی سریع به داده های فهرست شده ارائه می دهد. استفاده از قالب استاندارد PCAP ادغام با آنالیزورهای ترافیک موجود مانند Wireshark را بسیار ساده می کند. حجم داده های ذخیره شده تنها با اندازه آرایه دیسک موجود محدود می شود. ابرداده های جلسه در یک خوشه بر اساس موتور Elasticsearch یا OpenSearch نمایه می شوند. مولفه ضبط ترافیک در حالت چند رشته ای کار می کند و وظایف نظارت، نوشتن فایل های PCAP روی دیسک، تجزیه بسته های ضبط شده و ارسال ابرداده در مورد جلسات (SPI، بازرسی بسته Stateful) و پروتکل ها را به خوشه Elasticsearch/OpenSearch حل می کند. امکان ذخیره فایل های PCAP به صورت رمزگذاری شده وجود دارد.
برای تجزیه و تحلیل اطلاعات انباشته شده، یک رابط وب ارائه شده است که به شما امکان می دهد نمونه ها را پیمایش، جستجو و صادر کنید. رابط وب چندین حالت مشاهده را فراهم می کند - از آمار کلی، نقشه های اتصال و نمودارهای بصری با داده های مربوط به تغییرات فعالیت شبکه گرفته تا ابزارهایی برای مطالعه جلسات فردی، تجزیه و تحلیل فعالیت در زمینه پروتکل های مورد استفاده و تجزیه داده ها از زباله های PCAP. همچنین یک API ارائه شده است که به شما امکان میدهد دادههای مربوط به بستههای گرفته شده را با فرمت PCAP و جلسات جداشده را با فرمت JSON به برنامههای شخص ثالث ارسال کنید.
در نسخه های جدید:
- امکان ارسال درخواست های جستجوی ترکیبی برای اطلاعات از طریق سرویس Cont3xt برای جمع آوری اطلاعات موجود در منابع باز مختلف (OSINT) به طور همزمان در مورد چندین شی اضافه شده است.
- اضافه شدن پشتیبانی از روش های انگشت نگاری ترافیک JA4 و JA4+ برای شناسایی پروتکل ها و برنامه های شبکه.
- طراحی بلوک با اطلاعات دقیق در مورد جلسه تغییر کرده است که فضای بلا استفاده را به حداقل می رساند و یک طرح دو ستونی برای صفحه نمایش های بزرگ پیاده سازی می کند.
- بلوک های کشویی به برگه های Files، History و Stats برای جستجوی همزمان در چندین نمونه از رابط برای مشاهده آمار (Viewer) اضافه شده اند.
- سیستم مجوز یکپارچه شده و به یک ماژول جداگانه تفکیک شده است که اکنون در تمام برنامه های Arkime استفاده می شود. به جای حالت مجوز ناشناس، روش خلاصه به طور پیش فرض استفاده می شود. حالتهای مجوز جدید اضافه شدهاند: پایه، فرم، پایه+فرم، پایه+oidc، headerOnly، header+digest و header+basic.
- همه برنامهها به یک زیرسیستم پیکربندی یکپارچه منتقل شدهاند که از تنظیمات پردازش در قالبهای مختلف (ini، json، yaml) پشتیبانی میکند و میتواند تنظیمات را از منابع مختلف، به عنوان مثال، از دیسک، از طریق شبکه از طریق HTTPS یا از OpenSearch/Elasticsearch بارگیری کند. .
- اضافه شدن پشتیبانی برای وارد کردن فایلهای PCAP ذخیره شده (آفلاین) و دانلود آنها از طریق URL از طریق HTTPS یا از ذخیرهسازی Amazon S3، بدون نیاز به ذخیره اولیه آنها در سیستم محلی.
منبع: opennet.ru