Keluaran sistem untuk menangkap, menyimpan dan mengindeks paket rangkaian Arkime 5.0 telah diterbitkan, menyediakan alat untuk menilai aliran trafik secara visual dan mencari maklumat yang berkaitan dengan aktiviti rangkaian. Projek ini pada asalnya dibangunkan oleh AOL dengan matlamat untuk mencipta penggantian terbuka untuk platform pemprosesan paket rangkaian komersial yang menyokong penggunaan pada pelayannya dan boleh berskala untuk memproses trafik pada kelajuan berpuluh-puluh gigabit sesaat. Kod komponen tangkapan trafik ditulis dalam C dan antara muka dilaksanakan dalam Node.js/JavaScript. Kod sumber diedarkan di bawah lesen Apache 2.0. Menyokong kerja pada Linux dan FreeBSD. Pakej siap sedia disediakan untuk Arch Linux, RHEL/CentOS dan Ubuntu.
Arkime termasuk alatan untuk menangkap dan mengindeks trafik PCAP, dan juga menyediakan alatan untuk akses pantas kepada data yang diindeks. Penggunaan format PCAP standard sangat memudahkan penyepaduan dengan penganalisis trafik sedia ada seperti Wireshark. Jumlah data yang disimpan dihadkan hanya oleh saiz tatasusunan cakera yang tersedia. Metadata sesi diindeks dalam kelompok berdasarkan enjin Elasticsearch atau OpenSearch. Komponen tangkapan trafik beroperasi dalam mod berbilang benang dan menyelesaikan tugas pemantauan, menulis pembuangan PCAP ke cakera, menghuraikan paket yang ditangkap dan menghantar metadata tentang sesi (SPI, pemeriksaan paket Stateful) dan protokol kepada kelompok Elasticsearch/OpenSearch. Anda boleh menyimpan fail PCAP dalam bentuk yang disulitkan.
Untuk menganalisis maklumat terkumpul, antara muka web ditawarkan yang membolehkan anda menavigasi, mencari dan mengeksport sampel. Antara muka web menyediakan beberapa mod tontonan - daripada statistik umum, peta sambungan dan graf visual dengan data tentang perubahan dalam aktiviti rangkaian kepada alatan untuk mengkaji sesi individu, menganalisis aktiviti dalam konteks protokol yang digunakan dan menghuraikan data daripada pembuangan PCAP. API juga disediakan yang membolehkan anda menghantar data tentang paket yang ditangkap dalam format PCAP dan sesi dibongkar dalam format JSON kepada aplikasi pihak ketiga.
Dalam versi baharu:
- Menambah keupayaan untuk menghantar permintaan carian gabungan untuk maklumat melalui perkhidmatan Cont3xt untuk mengumpul maklumat yang tersedia dalam pelbagai sumber terbuka (OSINT) secara serentak mengenai beberapa objek.
- Menambah sokongan untuk kaedah cap jari trafik JA4 dan JA4+ untuk mengenal pasti protokol dan aplikasi rangkaian.
- Reka bentuk blok dengan maklumat terperinci tentang sesi telah diubah, yang meminimumkan ruang yang tidak digunakan dan melaksanakan susun atur dua lajur untuk skrin besar.
- Blok juntai bawah telah ditambahkan pada tab Fail, Sejarah dan Statistik untuk mencari secara serentak dalam beberapa keadaan antara muka untuk melihat statistik (Penonton).
- Sistem kebenaran telah disatukan dan dipisahkan menjadi modul berasingan, yang kini digunakan dalam semua aplikasi Arkime. Daripada mod kebenaran tanpa nama, kaedah ringkasan digunakan secara lalai. Mod kebenaran baharu telah ditambahkan: asas, bentuk, bentuk+asas, asas+oidc, pengepalaSahaja, pengepala+cernaan dan pengepala+asas.
- Semua aplikasi telah dipindahkan ke subsistem konfigurasi bersatu yang menyokong tetapan pemprosesan dalam format yang berbeza (ini, json, yaml) dan mampu memuatkan tetapan daripada sumber yang berbeza, contohnya, dari cakera, melalui rangkaian melalui HTTPS atau dari OpenSearch/Elasticsearch .
- Menambah sokongan untuk mengimport simpanan PCAP yang disimpan (luar talian) dan memuat turunnya melalui URL melalui HTTPS atau daripada storan Amazon S3, tanpa perlu menyimpannya pada sistem setempat terlebih dahulu.
Sumber: opennet.ru