Yo te pibliye yon lage sistèm pou kaptire, estoke ak endèks pake rezo Arkime 5.0, ki bay zouti pou evalye vizyèlman sikilasyon sikilasyon yo epi chèche enfòmasyon ki gen rapò ak aktivite rezo a. Pwojè a te orijinal devlope pa AOL ak objektif pou kreye yon ranplasman ouvè pou platfòm pwosesis rezo komèsyal ki sipòte deplwaman sou sèvè li yo epi ki ka echèl pou trete trafik a yon vitès dizèn de gigabit pou chak segonn. Kòd eleman kaptire trafik la ekri nan C, epi koòdone a aplike nan Node.js/JavaScript. Kòd sous la distribye anba lisans Apache 2.0. Sipòte travay sou Linux ak FreeBSD. Pakè ki pare yo prepare pou Arch Linux, RHEL/CentOS ak Ubuntu.
Arkime gen ladan zouti pou kaptire ak endèks trafik PCAP, epi tou li bay zouti pou aksè rapid nan done endis. Itilizasyon yon fòma PCAP estanda anpil senplifye entegrasyon ak analizè trafik ki egziste deja tankou Wireshark. Volim nan done ki estoke limite sèlman pa gwosè a nan etalaj la ki gen kapasite ki disponib. Metadata sesyon yo endis nan yon gwoup ki baze sou motè Elasticsearch oswa OpenSearch. Eleman kaptire trafik la opere nan mòd milti-threaded epi rezoud travay yo nan siveyans, ekri pil fatra PCAP sou disk, analize pake kaptire ak voye metadata sou sesyon (SPI, enspeksyon pake Stateful) ak pwotokòl nan gwoup Elasticsearch/OpenSearch. Li posib pou estoke fichye PCAP yo nan fòm chiffres.
Pou analize enfòmasyon yo akimile, yo ofri yon koòdone entènèt ki pèmèt ou navige, rechèch ak ekspòtasyon echantiyon. Koòdone entènèt la bay plizyè mòd gade - soti nan estatistik jeneral, kat koneksyon ak graf vizyèl ak done sou chanjman nan aktivite rezo a zouti pou etidye sesyon endividyèl yo, analize aktivite nan kontèks pwotokòl yo itilize ak analiz done ki soti nan pil fatra PCAP. Yo bay yon API tou ki pèmèt ou voye done sou pake ki te kaptire yo nan fòma PCAP ak sesyon demonte nan fòma JSON nan aplikasyon twazyèm pati.
Nan nouvo vèsyon an:
- Te ajoute kapasite pou voye demann rechèch konbine pou enfòmasyon atravè sèvis Cont3xt pou kolekte enfòmasyon ki disponib nan plizyè sous louvri (OSINT) ansanm sou plizyè objè.
- Te ajoute sipò pou metòd anprent trafik JA4 ak JA4 + pou idantifye pwotokòl rezo ak aplikasyon yo.
- Konsepsyon blòk la ak enfòmasyon detaye sou sesyon an te chanje, sa ki minimize espas ki pa itilize epi li aplike yon layout de kolòn pou gwo ekran.
- Yo te ajoute blòk drop-down nan onglet Fichye, Istwa ak Estatistik pou chèche ansanm nan plizyè ka koòdone pou gade estatistik (Viewer).
- Sistèm otorizasyon an inifye epi separe an yon modil separe, ki kounye a itilize nan tout aplikasyon Arkime yo. Olye de mòd otorizasyon anonim, metòd dijere yo itilize pa default. Nouvo mòd otorizasyon yo te ajoute: debaz, fòm, debaz + fòm, debaz + oidc, headerOnly, header + digest ak header + de baz.
- Tout aplikasyon yo te transfere nan yon sous-sistèm konfigirasyon inifye ki sipòte anviwònman pwosesis nan diferan fòma (ini, json, yaml) epi li kapab chaje anviwònman ki soti nan diferan sous, pou egzanp, soti nan disk, sou rezo a atravè HTTPS oswa nan OpenSearch/Elasticsearch. .
- Te ajoute sipò pou enpòte pil fatra PCAP ki te sove (offline) ak telechaje yo atravè URL atravè HTTPS oswa nan depo Amazon S3, san yo pa bezwen premye sove yo sou sistèm lokal la.
Sous: opennet.ru