Chaidh foillseachadh den t-siostam airson a bhith a’ glacadh, a’ stòradh agus a’ clàradh phasgan lìonra Arkime 5.0 fhoillseachadh, a’ toirt seachad innealan airson sruthan trafaic a mheasadh gu fradharcach agus a bhith a’ lorg fiosrachadh co-cheangailte ri gnìomhachd lìonra. Chaidh am pròiseact a leasachadh an toiseach le AOL leis an amas àite fosgailte a chruthachadh airson àrd-ùrlaran giullachd pacaid lìonra malairteach a bheir taic do chleachdadh air na frithealaichean aca agus as urrainn sgèile gus trafaic a phròiseasadh aig astaran deichean de gigabits gach diog. Tha an còd co-phàirt glacadh trafaic sgrìobhte ann an C, agus tha an eadar-aghaidh air a chuir an gnìomh ann an Node.js/JavaScript. Tha an còd tùsail air a sgaoileadh fo chead Apache 2.0. A’ toirt taic do dh’ obair air Linux agus FreeBSD. Tha pasganan deiseil air an ullachadh airson Arch Linux, RHEL / CentOS agus Ubuntu.
Tha Arkime a’ toirt a-steach innealan airson trafaic PCAP a ghlacadh agus a chlàradh, agus tha e cuideachd a’ toirt seachad innealan airson faighinn gu luath air dàta clàr-amais. Tha cleachdadh cruth àbhaisteach PCAP gu mòr a’ sìmpleachadh amalachadh le sgrùdairean trafaic a th’ ann mar Wireshark. Tha meud an dàta a tha air a stòradh air a chuingealachadh a-mhàin le meud an t-sreath diosc a tha ri fhaighinn. Tha meata-dàta seisean air a chlàr-amais ann am buidheann stèidhichte air an einnsean Elasticsearch no OpenSearch. Bidh am pàirt glacaidh trafaic ag obair ann am modh ioma-snàthainn agus a’ fuasgladh gnìomhan sgrùdaidh, a’ sgrìobhadh dumps PCAP gu diosc, a’ parsadh phasganan glacte agus a’ cur meata-dàta mu sheiseanan (SPI, sgrùdadh pacaid stàiteil) agus protocalan chun bhuidheann Elasticsearch/OpenSearch. Tha e comasach faidhlichean PCAP a stòradh ann an cruth crioptaichte.
Gus mion-sgrùdadh a dhèanamh air an fhiosrachadh cruinnichte, tha eadar-aghaidh lìn air a thabhann a leigeas leat sampaill a sheòladh, a lorg agus às-mhalairt. Tha an eadar-aghaidh lìn a’ toirt seachad grunn mhodhan seallaidh - bho staitistig choitcheann, mapaichean ceangail agus grafaichean lèirsinneach le dàta mu atharrachaidhean ann an gnìomhachd lìonra gu innealan airson seiseanan fa leth a sgrùdadh, mion-sgrùdadh gnìomhachd ann an co-theacsa nam protocalan a thathar a’ cleachdadh agus parsadh dàta bho thumaichean PCAP. Tha API air a thoirt seachad cuideachd a leigeas leat dàta a chuir air falbh mu phasganan glacte ann an cruth PCAP agus seiseanan air an cuir às a chèile ann an cruth JSON gu tagraidhean treas-phàrtaidh.
Anns an dreach ùr:
- Chuir sinn ris a’ chomas air iarrtasan sgrùdaidh aonaichte airson fiosrachadh a chuir tron t-seirbheis Cont3xt gus fiosrachadh a tha ri fhaighinn ann an grunn stòran fosgailte (OSINT) a chruinneachadh aig an aon àm mu ghrunn nithean.
- Taic a bharrachd airson modhan lorgan-meòir trafaic JA4 agus JA4+ gus protocolaidhean lìonra agus tagraidhean a chomharrachadh.
- Chaidh dealbhadh a’ bhloca le fiosrachadh mionaideach mun t-seisean atharrachadh, a lughdaicheas àite gun chleachdadh agus a chuireas an gnìomh cruth dà-cholbh airson scrionaichean mòra.
- Chaidh blocaichean tuiteam-sìos a chur ris na tabaichean Faidhlichean, Eachdraidh agus Stats airson sgrùdadh aig an aon àm ann an grunn shuidheachaidhean den eadar-aghaidh airson staitistig fhaicinn (Viewer).
- Chaidh an siostam ùghdarrachaidh aonachadh agus a sgaradh ann am modal air leth, a tha a-nis air a chleachdadh anns a h-uile tagradh Arkime. An àite a’ mhodh ceadachaidh gun urra, thathas a’ cleachdadh an dòigh cnàmhaidh gu bunaiteach. Chaidh modhan ceadachaidh ùra a chur ris: bunaiteach, cruth, bun-+ cruth, bunaiteach+oidc, headerOnly, header+digest agus header+bunaiteach.
- Chaidh a h-uile tagradh a ghluasad gu fo-shiostam rèiteachaidh aonaichte a bheir taic do roghainnean giullachd ann an diofar chruthan (ini, json, yaml) agus a tha comasach air roghainnean a luchdachadh bho dhiofar thùsan, mar eisimpleir, bho diosc, thairis air an lìonra tro HTTPS no bho OpenSearch / Elasticsearch .
- Taic a bharrachd airson a bhith a’ toirt a-steach dumps PCAP sàbhalaidh (far-loidhne) agus an luchdachadh sìos tro URL tro HTTPS no bho stòradh Amazon S3, gun fheum air an sàbhaladh air an t-siostam ionadail an-toiseach.
Source: fosgailtenet.ru