Útgáfa af kerfinu til að fanga, geyma og flokka netpakka Arkime 5.0 hefur verið gefin út, sem býður upp á verkfæri til að meta umferðarflæði sjónrænt og leita að upplýsingum sem tengjast netvirkni. Verkefnið var upphaflega þróað af AOL með það að markmiði að búa til opinn staðgengil fyrir pakkavinnslukerfi fyrir viðskiptanet sem styður uppsetningu á netþjónum sínum og getur stækkað til að vinna úr umferð á tugum gígabita hraða á sekúndu. Kóðinn fyrir umferðarfangahluta er skrifaður í C og viðmótið er útfært í Node.js/JavaScript. Kóðanum er dreift undir Apache 2.0 leyfinu. Styður vinnu á Linux og FreeBSD. Tilbúnir pakkar eru útbúnir fyrir Arch Linux, RHEL/CentOS og Ubuntu.
Arkime inniheldur verkfæri til að fanga og flokka PCAP umferð, og býður einnig upp á verkfæri fyrir skjótan aðgang að verðtryggðum gögnum. Notkun staðlaðs PCAP sniðs einfaldar mjög samþættingu við núverandi umferðargreiningartæki eins og Wireshark. Rúmmál geymdra gagna takmarkast aðeins af stærð tiltæks diskafylkis. Lýsigögn lotu eru skráð í klasa sem byggir á Elasticsearch eða OpenSearch vélinni. Umferðarfangahlutinn starfar í fjölþráðum ham og leysir verkefnin við að fylgjast með, skrifa PCAP dumpa á diskinn, flokka handtekna pakka og senda lýsigögn um lotur (SPI, Stateful packet inspection) og samskiptareglur í Elasticsearch/OpenSearch klasann. Það er hægt að geyma PCAP skrár á dulkóðuðu formi.
Til að greina uppsafnaðar upplýsingar er boðið upp á vefviðmót sem gerir þér kleift að fletta, leita og flytja út sýnishorn. Vefviðmótið býður upp á nokkrar skoðunarstillingar - allt frá almennri tölfræði, tengikortum og sjónrænum línuritum með gögnum um breytingar á netvirkni til verkfæra til að rannsaka einstakar lotur, greina virkni í samhengi við samskiptareglur sem notaðar eru og þátta gögn frá PCAP sorphaugum. API er einnig til staðar sem gerir þér kleift að senda gögn um handtekna pakka á PCAP sniði og sundurliðaðar lotur á JSON sniði til þriðja aðila forrita.
Í nýju útgáfunni:
- Bætti við möguleikanum á að senda samsettar leitarbeiðnir um upplýsingar í gegnum Cont3xt þjónustuna til að safna upplýsingum sem eru tiltækar í ýmsum opnum heimildum (OSINT) samtímis um nokkra hluti.
- Bætti við stuðningi við JA4 og JA4+ umferðarfingrafaraaðferðir til að bera kennsl á netsamskiptareglur og forrit.
- Hönnun blokkarinnar með ítarlegum upplýsingum um lotuna hefur verið breytt, sem lágmarkar ónotað pláss og útfærir tveggja dálka skipulag fyrir stóra skjái.
- Felliblokkum hefur verið bætt við skrár, sögu og tölfræði flipana til að leita samtímis í nokkrum tilfellum af viðmótinu til að skoða tölfræði (Viewer).
- Heimildakerfið hefur verið sameinað og aðskilið í sérstaka einingu sem er nú notuð í öllum Arkime forritum. Í stað nafnlausrar heimildarstillingar er samdráttaraðferðin sjálfgefið notuð. Nýjum heimildarstillingum hefur verið bætt við: basic, form, basic+form, basic+oidc, headerOnly, header+digest og header+basic.
- Öll forrit hafa verið flutt yfir í sameinað uppsetningar undirkerfi sem styður vinnslustillingar á mismunandi sniðum (ini, json, yaml) og er fær um að hlaða stillingum frá mismunandi aðilum, til dæmis af diski, yfir netið í gegnum HTTPS eða frá OpenSearch/Elasticsearch .
- Bætti við stuðningi við innflutning á vistuðum (ótengdum) PCAP haugum og niðurhali þeirra í gegnum vefslóð í gegnum HTTPS eða frá Amazon S3 geymslu, án þess að þurfa að vista þau fyrst á staðbundnu kerfi.
Heimild: opennet.ru