Arkime 5.0 тармак пакеттерин басып алуу, сактоо жана индекстөө системасынын релизи жарыкка чыкты, ал трафик агымын визуалдык баалоо жана тармактын активдүүлүгүнө байланыштуу маалыматты издөө үчүн куралдар менен камсыз болду. Долбоор алгач AOL тарабынан иштелип чыккан, анын серверлеринде жайгаштырууну колдогон жана секундасына ондогон гигабит ылдамдыкта трафикти иштетүү үчүн масштабдуу коммерциялык тармак пакеттерин иштетүү платформаларынын ачык алмаштыруусун түзүү максатында. Трафикти тартуу компонентинин коду C тилинде жазылган, ал эми интерфейс Node.js/JavaScriptде ишке ашырылган. Булак коду Apache 2.0 лицензиясы боюнча таратылат. Linux жана FreeBSDде иштөөнү колдойт. Даяр пакеттер Arch Linux, RHEL/CentOS жана Ubuntu үчүн даярдалган.
Arkime PCAP трафикти басып алуу жана индекстөө үчүн куралдарды камтыйт, ошондой эле индекстелген маалыматтарга тез жетүү үчүн куралдар менен камсыз кылат. Стандарттык PCAP форматын колдонуу Wireshark сыяктуу учурдагы трафик анализаторлору менен интеграцияны абдан жөнөкөйлөтөт. Сакталган маалыматтардын көлөмү жеткиликтүү диск массивинин өлчөмү менен гана чектелет. Сеанстын метадайындары Elasticsearch же OpenSearch кыймылдаткычынын негизинде кластерде индекстелет. Трафикти тартуу компоненти көп агымдуу режимде иштейт жана мониторинг, PCAP дамптерин дискке жазуу, басып алынган пакеттерди талдоо жана сеанстар (SPI, Stateful пакет текшерүүсү) жана Elasticsearch/OpenSearch кластерине протоколдор жөнүндө метаберилиштерди жөнөтүү милдеттерин чечет. PCAP файлдарын шифрленген түрдө сактоого болот.
Топтолгон маалыматты талдоо үчүн веб-интерфейс сунушталат, ал навигациялоого, издөөгө жана үлгүлөрдү экспорттоого мүмкүндүк берет. Веб-интерфейс бир нече көрүү режимдерин камсыздайт - жалпы статистикадан, туташуулар карталарынан жана тармактык активдүүлүктүн өзгөрүшү жөнүндө маалыматтар менен визуалдык графиктерден жеке сеанстарды изилдөө, колдонулган протоколдордун контекстинде активдүүлүктү талдоо жана PCAP таштандыларынан маалыматтарды талдоо куралдарына чейин. PCAP форматындагы басып алынган пакеттер жана JSON форматындагы демонтаждалган сеанстар жөнүндө маалыматтарды үчүнчү тараптын тиркемелерине жөнөтүүгө мүмкүндүк берген API да берилет.
Жаңы версияда:
- Ар кандай ачык булактарда (OSINT) бир эле учурда бир нече объекттер жөнүндө жеткиликтүү маалыматты чогултуу үчүн Cont3xt кызматы аркылуу маалымат үчүн бириктирилген издөө сурамдарын жөнөтүү мүмкүнчүлүгү кошулду.
- Тармактык протоколдорду жана тиркемелерди аныктоо үчүн JA4 жана JA4+ трафиктин манжа изин аныктоо ыкмаларына колдоо кошулду.
- Сеанс жөнүндө толук маалыматы бар блоктун дизайны өзгөртүлдү, ал пайдаланылбаган мейкиндикти азайтат жана чоң экрандар үчүн эки тилкелүү макетти ишке ашырат.
- ылдый түшүүчү блоктор бир эле учурда статистиканы көрүү интерфейсинин бир нече инстанцияларында издөө үчүн Files, History жана Stats өтмөктөрүнө кошулган (Көрүүчү).
- Авторизация системасы бирдиктүү жана өзүнчө модулга бөлүнгөн, ал азыр бардык Arkime тиркемелеринде колдонулат. Анонимдүү авторизация режиминин ордуна демейки боюнча дайджест ыкмасы колдонулат. Жаңы авторизация режимдери кошулду: негизги, форма, негизги+форма, негизги+oidc, headerOnly, баш+дайджест жана баш+негизги.
- Бардык тиркемелер ар кандай форматтарда (ini, json, yaml) иштетүү жөндөөлөрүн колдогон жана орнотууларды ар кандай булактардан, мисалы, дисктен, HTTPS аркылуу же OpenSearch/Elasticsearch аркылуу жүктөй алган бирдиктүү конфигурация подсистемасына өткөрүлүп берилди. .
- Сакталган (офлайн) PCAP таштандыларын импорттоо жана аларды HTTPS аркылуу URL аркылуу же Amazon S3 сактагычынан жүктөө үчүн колдоо кошулду, аларды адегенде жергиликтүү тутумда сактабастан.
Source: opennet.ru