Eng Verëffentlechung vum System fir d'Erfaassung, d'Späicheren an d'Indexéiere vun Netzwierkpakete Arkime 5.0 gouf publizéiert, déi Tools ubitt fir visuell Verkéiersfloss ze bewäerten an no Informatioun ze sichen am Zesummenhang mat Netzwierkaktivitéit. De Projet gouf ursprénglech vun AOL entwéckelt mam Zil en oppenen Ersatz fir kommerziell Netzwierk Paketveraarbechtungsplattformen ze kreéieren déi d'Deployment op seng Serveren ënnerstëtzt a ka skaléieren fir de Traffic mat Geschwindegkeete vun Zénger vu Gigabits pro Sekonn ze veraarbecht. De Traffic Capture Komponentcode gëtt an C geschriwwen, an d'Interface gëtt an Node.js/JavaScript implementéiert. De Quellcode gëtt ënner der Apache 2.0 Lizenz verdeelt. Ënnerstëtzt Aarbecht op Linux a FreeBSD. Fäerdeg Pakete gi fir Arch Linux, RHEL/CentOS an Ubuntu virbereet.
Arkime enthält Tools fir PCAP Traffic z'erfaassen an ze indexéieren, a bitt och Tools fir séier Zougang zu indexéierten Donnéeën. D'Benotzung vun engem Standard PCAP Format vereinfacht immens Integratioun mat existente Traffic Analysatoren wéi Wireshark. De Volume vun de gespäicherten Donnéeën ass nëmme limitéiert duerch d'Gréisst vun der verfügbaren Disk Array. Sessioun Metadaten ginn an engem Cluster indexéiert baséiert op der Elasticsearch oder OpenSearch Engine. D'Traffic Capture Komponent funktionnéiert am Multi-threaded Modus a léist d'Aufgaben vun der Iwwerwaachung, Schreiwen PCAP Dumps op Disk, Parsing gefaange Paketen a schéckt Metadaten iwwer Sessiounen (SPI, Stateful Packet Inspection) a Protokoller an den Elasticsearch/OpenSearch Cluster. Et ass méiglech PCAP Dateien a verschlësselte Form ze späicheren.
Fir déi gesammelt Informatioun ze analyséieren, gëtt e Webinterface ugebueden, deen Iech erlaabt Iech Proben ze navigéieren, ze sichen an ze exportéieren. D'Web-Interface bitt verschidde Gesiichtsmodi - vun allgemenge Statistiken, Verbindungskaarten a visuelle Grafike mat Daten iwwer Ännerungen an der Netzwierkaktivitéit bis Tools fir eenzel Sessiounen ze studéieren, d'Aktivitéit ze analyséieren am Kontext vun de benotzte Protokoller an d'Parséiere vun Daten aus PCAP Dumps. Eng API gëtt och zur Verfügung gestallt, déi Iech erlaabt Daten iwwer gefaange Paketen am PCAP-Format an ofgebaute Sessiounen am JSON-Format un Drëtt Partei Uwendungen ze schécken.
An der neier Versioun:
- D'Fähigkeit bäigefüügt fir kombinéiert Sichufroe fir Informatioun iwwer de Cont3xt Service ze schécken fir Informatioun ze sammelen verfügbar a verschiddene Open Sources (OSINT) gläichzäiteg iwwer verschidden Objeten.
- Zousätzlech Ënnerstëtzung fir JA4 an JA4+ Traffic Fangerofdrockmethoden fir Netzwierkprotokoller an Uwendungen z'identifizéieren.
- Den Design vum Block mat detailléierter Informatioun iwwer d'Sessioun gouf geännert, wat onbenotzt Plaz miniméiert an en zwee-Kolonn Layout fir grouss Schiirme implementéiert.
- Dropdown-Blöcke goufen op d'Fichier'en, Geschicht a Statistiken Tabs bäigefüügt fir gläichzäiteg a verschiddene Fäll vun der Interface ze sichen fir Statistiken ze gesinn (Viewer).
- Den Autorisatiounssystem gouf vereenegt an an e separaten Modul getrennt, deen elo an all Arkime Uwendungen benotzt gëtt. Amplaz vum anonyme Autorisatiounsmodus gëtt d'Verdauungsmethod als Standard benotzt. Nei Autorisatiounsmodi goufen derbäigesat: Basis, Form, Basis+Form, Basis+oidc, HeaderOnly, Header+Verdauung an Header+Basis.
- All Applikatioune goufen op en vereenegt Konfiguratiouns-Subsystem transferéiert, deen d'Veraarbechtungsastellungen a verschiddene Formater (ini, json, yaml) ënnerstëtzt a fäeg ass Astellunge vu verschiddene Quellen ze lueden, zum Beispill vun der Disk, iwwer dem Netz iwwer HTTPS oder vun OpenSearch/Elasticsearch .
- Ënnerstëtzung bäigefüügt fir gespäichert (offline) PCAP Dumps z'importéieren an se iwwer URL iwwer HTTPS oder vun Amazon S3 Späicheren erofzelueden, ouni datt se fir d'éischt am lokalen System späicheren.
Source: opennet.ru