Аркиме 5.0 желілік пакеттерін түсіруге, сақтауға және индекстеуге арналған жүйенің шығарылымы трафик ағындарын визуалды бағалауға және желілік белсенділікке қатысты ақпаратты іздеуге арналған құралдармен қамтамасыз етілді. Жобаны бастапқыда AOL компаниясы әзірлеген, ол өз серверлерінде орналастыруды қолдайтын және секундына ондаған гигабит жылдамдықпен трафикті өңдеу үшін масштабтауға болатын коммерциялық желі пакеттерін өңдеу платформаларының ашық орнын құру мақсатымен жасалған. Трафикті түсіру компонентінің коды C тілінде жазылған, ал интерфейс Node.js/JavaScript ішінде жүзеге асырылады. Бастапқы код Apache 2.0 лицензиясы бойынша таратылады. Linux және FreeBSD жүйелерінде жұмысты қолдайды. Дайын пакеттер Arch Linux, RHEL/CentOS және Ubuntu үшін дайындалған.
Arkime PCAP трафигін түсіруге және индекстеуге арналған құралдарды қамтиды, сонымен қатар индекстелген деректерге жылдам қол жеткізу құралдарын ұсынады. Стандартты PCAP пішімін пайдалану Wireshark сияқты бар трафик анализаторларымен интеграцияны айтарлықтай жеңілдетеді. Сақталған деректердің көлемі тек қол жетімді диск массивінің өлшемімен шектеледі. Сеанс метадеректері Elasticsearch немесе OpenSearch механизміне негізделген кластерде индекстеледі. Трафикті түсіру компоненті көп ағынды режимде жұмыс істейді және бақылау, PCAP демптерін дискіге жазу, түсірілген пакеттерді талдау және сеанстар туралы метадеректерді (SPI, Stateful пакетті тексеру) және Elasticsearch/OpenSearch кластеріне хаттамаларды жіберу тапсырмаларын шешеді. PCAP файлдарын шифрланған түрде сақтауға болады.
Жинақталған ақпаратты талдау үшін үлгілерді шарлауға, іздеуге және экспорттауға мүмкіндік беретін веб-интерфейс ұсынылады. Веб-интерфейс бірнеше қарау режимдерін қамтамасыз етеді – жалпы статистикадан, қосылым карталарынан және желілік белсенділіктің өзгерістері туралы деректері бар визуалды графиктерден жеке сеанстарды зерттеуге, пайдаланылатын хаттамалар контекстіндегі белсенділікті талдауға және PCAP демптерінен деректерді талдауға арналған құралдарға дейін. Сондай-ақ, PCAP пішіміндегі түсірілген пакеттер және JSON пішіміндегі бөлшектелген сеанстар туралы деректерді үшінші тарап қолданбаларына жіберуге мүмкіндік беретін API қамтамасыз етілген.
Жаңа нұсқада:
- Әртүрлі ашық көздерде (OSINT) бір уақытта бірнеше нысандар туралы қолжетімді ақпаратты жинау үшін Cont3xt қызметі арқылы ақпаратқа біріктірілген іздеу сұрауларын жіберу мүмкіндігі қосылды.
- Желі протоколдары мен қолданбаларды анықтау үшін JA4 және JA4+ трафик саусақ ізін алу әдістеріне қолдау қосылды.
- Сеанс туралы егжей-тегжейлі ақпараты бар блоктың дизайны өзгертілді, ол пайдаланылмаған кеңістікті азайтады және үлкен экрандар үшін екі бағандық орналасуды жүзеге асырады.
- Ашылмалы блоктар «Файлдар», «Тарих» және «Статистика» қойындыларына статистиканы көруге арналған интерфейстің бірнеше данасында бір уақытта іздеу үшін қосылды (Көру құралы).
- Авторизация жүйесі біріктіріліп, жеке модульге бөлінген, ол қазір барлық Arkime қолданбаларында қолданылады. Анонимді авторизация режимінің орнына әдепкі бойынша дайджест әдісі пайдаланылады. Жаңа авторизация режимдері қосылды: негізгі, пішін, негізгі+пішін, негізгі+oidc, тек headerOnly, тақырып+дайджест және тақырып+негізгі.
- Барлық қолданбалар әртүрлі пішімдерде (ini, json, yaml) өңдеу параметрлерін қолдайтын және параметрлерді әртүрлі көздерден, мысалы, дискіден, HTTPS арқылы желі арқылы немесе OpenSearch/Elasticsearch арқылы жүктей алатын бірыңғай конфигурация ішкі жүйесіне ауыстырылды. .
- Сақталған (офлайн) PCAP демптерін импорттауға және оларды алдымен жергілікті жүйеде сақтауды қажет етпей, HTTPS арқылы немесе Amazon S3 қоймасынан URL арқылы жүктеп алуға қолдау қосылды.
Ақпарат көзі: opennet.ru