Ġie ppubblikat rilaxx tas-sistema għall-qbid, il-ħażna u l-indiċjar tal-pakketti tan-netwerk Arkime 5.0, li jipprovdi għodod għall-valutazzjoni viżwali tal-flussi tat-traffiku u t-tfittxija għal informazzjoni relatata mal-attività tan-netwerk. Il-proġett kien oriġinarjament żviluppat minn AOL bil-għan li jinħoloq sostitut miftuħ għal pjattaformi tal-ipproċessar tal-pakketti tan-netwerk kummerċjali li jappoġġja l-iskjerament fuq is-servers tiegħu u jista 'jiskala biex jipproċessa t-traffiku b'veloċitajiet ta' għexieren ta 'gigabits kull sekonda. Il-kodiċi tal-komponent tal-qbid tat-traffiku huwa miktub f'Ċ, u l-interface hija implimentata f'Node.js/JavaScript. Il-kodiċi tas-sors huwa mqassam taħt il-liċenzja Apache 2.0. Jappoġġja xogħol fuq Linux u FreeBSD. Pakketti lesti huma ppreparati għal Arch Linux, RHEL/CentOS u Ubuntu.
Arkime jinkludi għodod għall-qbid u l-indiċjar tat-traffiku PCAP, u jipprovdi wkoll għodod għal aċċess rapidu għal data indiċjata. L-użu ta 'format standard PCAP jissimplifika ħafna l-integrazzjoni ma' analizzaturi tat-traffiku eżistenti bħal Wireshark. Il-volum tad-dejta maħżuna huwa limitat biss mid-daqs tal-firxa tad-disk disponibbli. Il-metadejta tas-sessjoni hija indiċjata fi cluster ibbażat fuq il-magna Elasticsearch jew OpenSearch. Il-komponent tal-qbid tat-traffiku jopera f'modalità multi-threaded u jsolvi l-kompiti ta 'monitoraġġ, kitba PCAP dumps fuq disk, parsing pakketti maqbuda u tibgħat metadata dwar sessjonijiet (SPI, Spezzjoni Stateful packet) u protokolli lill-cluster Elasticsearch/OpenSearch. Huwa possibbli li jinħażnu fajls PCAP f'forma kriptata.
Biex tanalizza l-informazzjoni akkumulata, tiġi offruta interface tal-web li tippermettilek tinnaviga, tfittex u tesporta kampjuni. L-interface tal-web tipprovdi diversi modi ta 'wiri - minn statistika ġenerali, mapep ta' konnessjoni u graffs viżwali b'dejta dwar bidliet fl-attività tan-netwerk għal għodod għall-istudju ta 'sessjonijiet individwali, analiżi tal-attività fil-kuntest tal-protokolli użati u parsing tad-dejta minn miżbliet PCAP. Hija pprovduta wkoll API li tippermettilek tibgħat data dwar pakketti maqbuda f'format PCAP u sessjonijiet żarmati f'format JSON lil applikazzjonijiet ta 'partijiet terzi.
Fil-verżjoni l-ġdida:
- Żieda l-abbiltà li jintbagħtu talbiet ta’ tfittxija magħquda għall-informazzjoni permezz tas-servizz Cont3xt biex tinġabar informazzjoni disponibbli f’diversi sorsi miftuħa (OSINT) simultanjament dwar diversi oġġetti.
- Appoġġ miżjud għall-metodi tal-marki tas-swaba tat-traffiku JA4 u JA4+ biex jiġu identifikati protokolli u applikazzjonijiet tan-netwerk.
- Id-disinn tal-blokk b'informazzjoni dettaljata dwar is-sessjoni nbidel, li jimminimizza l-ispazju mhux użat u jimplimenta tqassim ta 'żewġ kolonni għal skrins kbar.
- Blokki drop-down ġew miżjuda mat-tabs Fajls, Storja u Stats għat-tiftix fl-istess ħin f'diversi każijiet tal-interface għall-wiri tal-istatistika (Viewer).
- Is-sistema ta' awtorizzazzjoni ġiet unifikata u separata f'modulu separat, li issa jintuża fl-applikazzjonijiet Arkime kollha. Minflok il-mod ta 'awtorizzazzjoni anonima, il-metodu diġestiva jintuża awtomatikament. Ġew miżjuda modi ta’ awtorizzazzjoni ġodda: bażiku, formola, bażi+forma, bażika+oidc, headerOnly, header+digest u header+basic.
- L-applikazzjonijiet kollha ġew trasferiti għal sottosistema ta’ konfigurazzjoni unifikata li tappoġġja l-issettjar tal-ipproċessar f’formati differenti (ini, json, yaml) u kapaċi jgħabbi s-settings minn sorsi differenti, pereżempju, minn disk, fuq in-netwerk permezz ta’ HTTPS jew minn OpenSearch/Elasticsearch .
- Appoġġ miżjud għall-importazzjoni ta' dumps PCAP salvati (offline) u t-tniżżil tagħhom permezz tal-URL permezz ta' HTTPS jew mill-ħażna Amazon S3, mingħajr il-ħtieġa li l-ewwel issalvahom fis-sistema lokali.
Sors: opennet.ru