Paskelbtas tinklo paketų fiksavimo, saugojimo ir indeksavimo sistemos leidimas Arkime 5.0, suteikiantis įrankius vizualiai įvertinti srautų srautus ir ieškoti informacijos, susijusios su tinklo veikla. Iš pradžių projektą sukūrė AOL, siekdama sukurti atvirą komercinio tinklo paketų apdorojimo platformų pakaitalą, kuris palaiko diegimą savo serveriuose ir gali apdoroti srautą dešimčių gigabitų per sekundę greičiu. Srauto fiksavimo komponento kodas parašytas C, o sąsaja įdiegta Node.js/JavaScript. Šaltinio kodas platinamas pagal Apache 2.0 licenciją. Palaiko darbą Linux ir FreeBSD. Paruošti paketai Arch Linux, RHEL/CentOS ir Ubuntu.
„Arkime“ apima PCAP srauto fiksavimo ir indeksavimo įrankius, taip pat įrankius, leidžiančius greitai pasiekti indeksuotus duomenis. Standartinio PCAP formato naudojimas labai supaprastina integravimą su esamais srauto analizatoriais, tokiais kaip Wireshark. Saugomų duomenų kiekį riboja tik turimo disko masyvo dydis. Seanso metaduomenys indeksuojami klasteryje, pagrįstoje Elasticsearch arba OpenSearch varikliu. Srauto fiksavimo komponentas veikia kelių gijų režimu ir sprendžia stebėjimo, PCAP išklotinių įrašymo į diską, užfiksuotų paketų analizavimo ir metaduomenų apie seansus (SPI, Stateful paketų tikrinimas) bei protokolų siuntimo Elasticsearch/OpenSearch klasteriui užduotis. Galima saugoti PCAP failus šifruota forma.
Sukauptai informacijai analizuoti siūloma internetinė sąsaja, leidžianti naršyti, ieškoti ir eksportuoti pavyzdžius. Žiniatinklio sąsaja suteikia keletą peržiūros režimų – nuo bendrosios statistikos, ryšio žemėlapių ir vaizdinių grafikų su duomenimis apie tinklo veiklos pokyčius iki įrankių, skirtų atskirų seansų tyrimui, veiklos analizei naudojamų protokolų kontekste ir duomenų iš PCAP sąvartynų analizavimui. Taip pat pateikiama API, leidžianti siųsti duomenis apie užfiksuotus paketus PCAP formatu ir išardytas sesijas JSON formatu į trečiųjų šalių programas.
Naujoje versijoje:
- Pridėta galimybė siųsti kombinuotas informacijos paieškos užklausas per Cont3xt paslaugą, kad būtų galima rinkti informaciją, prieinamą įvairiuose atviruosiuose šaltiniuose (OSINT) vienu metu apie kelis objektus.
- Pridėtas JA4 ir JA4+ srauto pirštų atspaudų metodų palaikymas tinklo protokolams ir programoms identifikuoti.
- Pakeistas bloko su išsamia informacija apie seansą dizainas, kuris sumažina nepanaudotą erdvę ir įgyvendina dviejų stulpelių išdėstymą dideliems ekranams.
- Išskleidžiamieji blokai buvo pridėti prie skirtukų Failai, Istorija ir Statistika, kad vienu metu būtų galima ieškoti kelių statistikos peržiūros sąsajos (žiūryklės) atvejų.
- Autorizacijos sistema buvo suvienodinta ir atskirta į atskirą modulį, kuris dabar naudojamas visose Arkime programose. Vietoj anoniminio autorizacijos režimo pagal numatytuosius nustatymus naudojamas santraukos metodas. Pridėta naujų autorizacijos režimų: pagrindinis, forma, pagrindinis+forma, pagrindinis+oidc, tik antraštė, antraštė+santrauka ir antraštė+pagrindinis.
- Visos programos buvo perkeltos į vieningą konfigūracijos posistemį, kuris palaiko įvairių formatų (ini, json, yaml) nustatymų apdorojimą ir gali įkelti nustatymus iš skirtingų šaltinių, pavyzdžiui, iš disko, per tinklą per HTTPS arba iš OpenSearch/Elasticsearch. .
- Pridėtas išsaugotų (neprisijungus) PCAP iškeltų importavimo ir jų atsisiuntimo URL per HTTPS arba iš „Amazon S3“ saugyklos palaikymas, prieš tai jų neišsaugant vietinėje sistemoje.
Šaltinis: opennet.ru