ProHoster > وبلاگ > اخبار اینترنتی > انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0

انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0

نسخه ای از سیستم ضبط، ذخیره و نمایه سازی بسته های شبکه Arkime 5.0 منتشر شده است که ابزارهایی برای ارزیابی بصری جریان ترافیک و جستجوی اطلاعات مربوط به فعالیت شبکه ارائه می دهد. این پروژه در ابتدا توسط AOL با هدف ایجاد یک جایگزین باز برای پلتفرم‌های پردازش بسته‌های شبکه تجاری که از استقرار در سرورهای خود پشتیبانی می‌کند و می‌تواند برای پردازش ترافیک با سرعت ده‌ها گیگابیت در ثانیه مقیاس شود، توسعه داده شد. کد جزء جذب ترافیک به زبان C نوشته شده است و رابط در Node.js/JavaScript پیاده سازی شده است. کد منبع تحت مجوز آپاچی 2.0 توزیع شده است. از کار بر روی لینوکس و FreeBSD پشتیبانی می کند. بسته های آماده برای Arch Linux، RHEL/CentOS و Ubuntu آماده شده است.

Arkime شامل ابزارهایی برای ضبط و نمایه سازی ترافیک PCAP است و همچنین ابزارهایی برای دسترسی سریع به داده های فهرست شده ارائه می دهد. استفاده از قالب استاندارد PCAP ادغام با آنالیزورهای ترافیک موجود مانند Wireshark را بسیار ساده می کند. حجم داده های ذخیره شده تنها با اندازه آرایه دیسک موجود محدود می شود. ابرداده های جلسه در یک خوشه بر اساس موتور Elasticsearch یا OpenSearch نمایه می شوند. مولفه ضبط ترافیک در حالت چند رشته ای کار می کند و وظایف نظارت، نوشتن فایل های PCAP روی دیسک، تجزیه بسته های ضبط شده و ارسال ابرداده در مورد جلسات (SPI، بازرسی بسته Stateful) و پروتکل ها را به خوشه Elasticsearch/OpenSearch حل می کند. امکان ذخیره فایل های PCAP به صورت رمزگذاری شده وجود دارد.

برای تجزیه و تحلیل اطلاعات انباشته شده، یک رابط وب ارائه شده است که به شما امکان می دهد نمونه ها را پیمایش، جستجو و صادر کنید. رابط وب چندین حالت مشاهده را فراهم می کند - از آمار کلی، نقشه های اتصال و نمودارهای بصری با داده های مربوط به تغییرات فعالیت شبکه گرفته تا ابزارهایی برای مطالعه جلسات فردی، تجزیه و تحلیل فعالیت در زمینه پروتکل های مورد استفاده و تجزیه داده ها از زباله های PCAP. همچنین یک API ارائه شده است که به شما امکان می‌دهد داده‌های مربوط به بسته‌های گرفته شده را با فرمت PCAP و جلسات جداشده را با فرمت JSON به برنامه‌های شخص ثالث ارسال کنید.

انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0

در نسخه های جدید:

  • امکان ارسال درخواست های جستجوی ترکیبی برای اطلاعات از طریق سرویس Cont3xt برای جمع آوری اطلاعات موجود در منابع باز مختلف (OSINT) به طور همزمان در مورد چندین شی اضافه شده است.
    انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0
  • اضافه شدن پشتیبانی از روش های انگشت نگاری ترافیک JA4 و JA4+ برای شناسایی پروتکل ها و برنامه های شبکه.
    انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0
  • طراحی بلوک با اطلاعات دقیق در مورد جلسه تغییر کرده است که فضای بلا استفاده را به حداقل می رساند و یک طرح دو ستونی برای صفحه نمایش های بزرگ پیاده سازی می کند.
    انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0
  • بلوک های کشویی به برگه های Files، History و Stats برای جستجوی همزمان در چندین نمونه از رابط برای مشاهده آمار (Viewer) اضافه شده اند.
    انتشار سیستم نمایه سازی ترافیک شبکه Arkime 5.0
  • سیستم مجوز یکپارچه شده و به یک ماژول جداگانه تفکیک شده است که اکنون در تمام برنامه های Arkime استفاده می شود. به جای حالت مجوز ناشناس، روش خلاصه به طور پیش فرض استفاده می شود. حالت‌های مجوز جدید اضافه شده‌اند: پایه، فرم، پایه+فرم، پایه+oidc، headerOnly، header+digest و header+basic.
  • همه برنامه‌ها به یک زیرسیستم پیکربندی یکپارچه منتقل شده‌اند که از تنظیمات پردازش در قالب‌های مختلف (ini، json، yaml) پشتیبانی می‌کند و می‌تواند تنظیمات را از منابع مختلف، به عنوان مثال، از دیسک، از طریق شبکه از طریق HTTPS یا از OpenSearch/Elasticsearch بارگیری کند. .
  • اضافه شدن پشتیبانی برای وارد کردن فایل‌های PCAP ذخیره شده (آفلاین) و دانلود آنها از طریق URL از طریق HTTPS یا از ذخیره‌سازی Amazon S3، بدون نیاز به ذخیره اولیه آنها در سیستم محلی.

منبع: opennet.ru

اضافه کردن نظر