Foilsíodh scaoileadh an chórais chun paicéid líonra Arkime 5.0 a ghabháil, a stóráil agus a innéacsú, a sholáthraíonn uirlisí chun sreafaí tráchta a mheasúnú go radhairc agus chun faisnéis a chuardach a bhaineann le gníomhaíocht líonra. Ba é AOL a d’fhorbair an tionscadal ar dtús agus é mar sprioc ionad oscailte a chruthú d’ardáin phróiseála paicéid líonra tráchtála a thacaíonn le himscaradh ar a fhreastalaithe agus ar féidir leo scála chun trácht a phróiseáil ag luasanna deicheanna gigabits in aghaidh an tsoicind. Tá an cód comhpháirte um ghabháil tráchta scríofa in C, agus cuirtear an comhéadan i bhfeidhm in Node.js/JavaScript. Déantar an cód foinse a dháileadh faoi cheadúnas Apache 2.0. Tacaíonn sé le hobair ar Linux agus FreeBSD. Ullmhaítear pacáistí réamhdhéanta le haghaidh Arch Linux, RHEL/CentOS agus Ubuntu.
Áiríonn Arkime uirlisí chun trácht PCAP a ghabháil agus a innéacsú, agus cuireann sé uirlisí ar fáil freisin le haghaidh rochtain thapa ar shonraí innéacsaithe. Simplíonn úsáid formáid chaighdeánach PCAP comhtháthú le hanailíseoirí tráchta atá ann cheana mar Wireshark. Ní chuirtear teorainn le méid na sonraí stóráilte ach amháin ag méid an eagar dioscaí atá ar fáil. Déantar meiteashonraí an tseisiúin a innéacsú i mbraisle bunaithe ar an inneall Elasticsearch nó OpenSearch. Feidhmíonn an chomhpháirt gabhála tráchta i mód il-snáithithe agus réitíonn sé na tascanna monatóireachta, dumpaí PCAP a scríobh chuig diosca, paicéid gafa a pharsáil agus meiteashonraí a sheoladh faoi sheisiúin (SPI, iniúchadh paicéad Stateful) agus prótacail chuig an mbraisle Elasticsearch/OpenSearch. Is féidir comhaid PCAP a stóráil i bhfoirm chriptithe.
Chun an fhaisnéis carntha a anailísiú, tairgtear comhéadan gréasáin a ligeann duit samplaí a nascleanúint, a chuardach agus a onnmhairiú. Soláthraíonn an comhéadan gréasáin roinnt modhanna féachana - ó staitisticí ginearálta, léarscáileanna naisc agus graif amhairc le sonraí ar athruithe ar ghníomhaíocht líonra go huirlisí chun staidéar a dhéanamh ar sheisiúin aonair, anailís a dhéanamh ar ghníomhaíocht i gcomhthéacs na bprótacal a úsáidtear agus sonraí ó dhumpaí PCAP a pharsáil. Cuirtear API ar fáil freisin a ligeann duit sonraí faoi phaicéid gafa a sheoladh i bhformáid PCAP agus seisiúin díchóimeála i bhformáid JSON chuig feidhmchláir tríú páirtí.
Sa leagan nua:
- Cuireadh leis an gcumas iarratais chuardaigh chomhcheangailte ar fhaisnéis a sheoladh tríd an tseirbhís Cont3xt chun faisnéis atá ar fáil i bhfoinsí éagsúla oscailte (OSINT) a bhailiú ag an am céanna faoi roinnt réad.
- Tacaíocht bhreise do mhodhanna méarloirg tráchta JA4 agus JA4+ chun prótacail agus feidhmchláir líonra a aithint.
- Athraíodh dearadh an bhloc le faisnéis mhionsonraithe faoin seisiún, rud a íoslaghdaíonn spás neamhúsáidte agus a chuireann leagan amach dhá cholún i bhfeidhm le haghaidh scáileáin mhóra.
- Tá bloic anuas curtha leis na cluaisíní Comhaid, Stair agus Stats chun cuardach a dhéanamh go comhuaineach i roinnt cásanna den chomhéadan le haghaidh staitisticí féachana (Amharcóir).
- Tá an córas údaraithe aontaithe agus deighilte ina mhodúl ar leith, a úsáidtear anois i ngach feidhmchlár Arkime. In ionad an mhodha údaraithe gan ainm, úsáidtear an modh díolama de réir réamhshocraithe. Cuireadh modhanna údaraithe nua leis: bunleibhéal, foirm, bun+foirm, bun+oidc, ceanntásc amháin, ceanntásc+digest agus ceanntásc+bunúsach.
- Aistríodh gach feidhmchlár chuig fochóras cumraíochta aontaithe a thacaíonn le socruithe próiseála i bhformáidí éagsúla (ini, json, yaml) agus atá in ann socruithe a lódáil ó fhoinsí éagsúla, mar shampla, ó dhiosca, thar an líonra trí HTTPS nó ó OpenSearch/Elasticsearch .
- Tacaíocht bhreise chun dumpaí PCAP sábháilte (as líne) a allmhairiú agus iad a íoslódáil trí URL trí HTTPS nó ó stóráil Amazon S3, gan gá iad a shábháil ar an gcóras áitiúil ar dtús.
Foinse: oscailtenet.ru