In frijlitting fan it systeem foar it fangen, opslaan en yndeksearjen fan netwurkpakketten Arkime 5.0 is publisearre, it leverjen fan ark foar fisueel beoardieljen fan ferkearsstreamen en sykjen nei ynformaasje yn ferbân mei netwurkaktiviteit. It projekt waard oarspronklik ûntwikkele troch AOL mei it doel om in iepen ferfanging te meitsjen foar kommersjele netwurkpakketferwurkingsplatfoarms dy't ynset op har servers stipet en kin skaalje om ferkear te ferwurkjen mei snelheden fan tsientallen gigabits per sekonde. It ferkear capture komponint koade is skreaun yn C, en de ynterface wurdt útfierd yn Node.js/JavaScript. De boarnekoade wurdt ferspraat ûnder de Apache 2.0-lisinsje. Unterstützt wurk op Linux en FreeBSD. Ready-made pakketten wurde taret foar Arch Linux, RHEL/CentOS en Ubuntu.
Arkime omfettet ark foar it fangen en yndeksearjen fan PCAP-ferkear, en leveret ek ark foar rappe tagong ta yndekseare gegevens. It gebrûk fan in standert PCAP-formaat makket de yntegraasje mei besteande ferkearsanalyzers lykas Wireshark sterk simplifies. It folume fan opsleine gegevens wurdt allinich beheind troch de grutte fan 'e beskikbere skiif array. Sesje-metadata wurde yndeksearre yn in kluster basearre op de Elasticsearch- of OpenSearch-motor. De komponint fan ferkearsopfang wurket yn multi-threaded modus en lost de taken fan tafersjoch op, skriuwen fan PCAP-dumps nei skiif, parsearjen fan fongen pakketten en ferstjoeren fan metadata oer sesjes (SPI, Stateful packet ynspeksje) en protokollen nei it Elasticsearch/OpenSearch-kluster. It is mooglik om PCAP-bestannen yn fersifere foarm op te slaan.
Om de sammele ynformaasje te analysearjen, wurdt in webynterface oanbean wêrmei jo samples kinne navigearje, sykje en eksportearje. De webynterface biedt ferskate werjeftemodi - fan algemiene statistiken, ferbiningskaarten en fisuele grafiken mei gegevens oer feroaringen yn netwurkaktiviteit oant ark foar it studearjen fan yndividuele sesjes, analysearjen fan aktiviteit yn 'e kontekst fan' e brûkte protokollen en it parsearjen fan gegevens fan PCAP-dumps. In API wurdt ek levere wêrmei jo gegevens kinne stjoere oer fongen pakketten yn PCAP-formaat en disassembled sesjes yn JSON-formaat nei applikaasjes fan tredden.
Yn de nije ferzje:
- De mooglikheid tafoege om kombineare sykopdrachten foar ynformaasje te stjoeren fia de Cont3xt-tsjinst om ynformaasje te sammeljen beskikber yn ferskate iepen boarnen (OSINT) tagelyk oer ferskate objekten.
- Stipe tafoege foar metoaden foar JA4 en JA4+ ferkearsfingerprinting om netwurkprotokollen en applikaasjes te identifisearjen.
- It ûntwerp fan it blok mei detaillearre ynformaasje oer de sesje is feroare, wat net brûkte romte minimearret en in twa-kolom-yndieling foar grutte skermen ymplementearret.
- Drop-down-blokken binne tafoege oan de ljeppers Triemmen, Skiednis en Statistyk om tagelyk te sykjen yn ferskate eksimplaren fan 'e ynterface foar it besjen fan statistiken (Viewer).
- It autorisaasjesysteem is ferienige en skieden yn in aparte module, dy't no wurdt brûkt yn alle Arkime-applikaasjes. Ynstee fan 'e anonime autorisaasjemodus wurdt de digestmetoade standert brûkt. Nije autorisaasjemodi binne tafoege: basis, foarm, basis+foarm, basis+oidc, headerOnly, header+digest en header+basic.
- Alle applikaasjes binne oerbrocht nei in unifoarme konfiguraasjesubsysteem dat ferwurkingsynstellingen yn ferskate formaten (ini, json, yaml) stipet en yn steat is om ynstellings fan ferskate boarnen te laden, bygelyks fan skiif, oer it netwurk fia HTTPS of fan OpenSearch/Elasticsearch .
- Stipe tafoege foar it ymportearjen fan bewarre (offline) PCAP-dumps en it downloaden fan se fia URL fia HTTPS of fan Amazon S3-opslach, sûnder de needsaak om se earst op it lokale systeem te bewarjen.
Boarne: opennet.ru