En utgivelse av systemet for fangst, lagring og indeksering av nettverkspakker Arkime 5.0 er publisert, og gir verktøy for visuelt å vurdere trafikkstrømmer og søke etter informasjon relatert til nettverksaktivitet. Prosjektet ble opprinnelig utviklet av AOL med mål om å skape en åpen erstatning for kommersielle nettverkspakkebehandlingsplattformer som støtter distribusjon på serverne og kan skaleres for å behandle trafikk med hastigheter på titalls gigabit per sekund. Trafikkfangstkomponentkoden er skrevet i C, og grensesnittet er implementert i Node.js/JavaScript. Kildekoden distribueres under Apache 2.0-lisensen. Støtter arbeid på Linux og FreeBSD. Ferdige pakker er forberedt for Arch Linux, RHEL/CentOS og Ubuntu.
Arkime inkluderer verktøy for å fange og indeksere PCAP-trafikk, og gir også verktøy for rask tilgang til indekserte data. Bruken av et standard PCAP-format forenkler betraktelig integrasjon med eksisterende trafikkanalysatorer som Wireshark. Volumet av lagrede data begrenses kun av størrelsen på den tilgjengelige diskarrayen. Sesjonsmetadata indekseres i en klynge basert på Elasticsearch- eller OpenSearch-motoren. Trafikkfangstkomponenten opererer i flertrådsmodus og løser oppgavene med å overvåke, skrive PCAP-dumper til disk, analysere fangede pakker og sende metadata om økter (SPI, Stateful packet inspection) og protokoller til Elasticsearch/OpenSearch-klyngen. Det er mulig å lagre PCAP-filer i kryptert form.
For å analysere den akkumulerte informasjonen tilbys et webgrensesnitt som lar deg navigere, søke og eksportere prøver. Nettgrensesnittet gir flere visningsmoduser – fra generell statistikk, tilkoblingskart og visuelle grafer med data om endringer i nettverksaktivitet til verktøy for å studere individuelle økter, analysere aktivitet i sammenheng med protokollene som brukes og analysere data fra PCAP-dumper. En API er også gitt som lar deg sende data om fangede pakker i PCAP-format og demonterte økter i JSON-format til tredjepartsapplikasjoner.
I den nye versjonen:
- Lagt til muligheten til å sende kombinerte søkeforespørsler om informasjon gjennom Cont3xt-tjenesten for å samle informasjon tilgjengelig i ulike åpne kilder (OSINT) samtidig om flere objekter.
- Lagt til støtte for JA4 og JA4+ trafikkfingeravtrykkmetoder for å identifisere nettverksprotokoller og applikasjoner.
- Utformingen av blokken med detaljert informasjon om økten er endret, noe som minimerer ubrukt plass og implementerer en to-kolonne layout for store skjermer.
- Det er lagt til rullegardinblokker i kategoriene Filer, Historikk og Statistikk for å søke samtidig i flere forekomster av grensesnittet for visning av statistikk (Viewer).
- Autorisasjonssystemet er samlet og delt inn i en egen modul, som nå brukes i alle Arkime-applikasjoner. I stedet for den anonyme autorisasjonsmodusen, brukes sammendragsmetoden som standard. Nye autorisasjonsmoduser er lagt til: basic, form, basic+form, basic+oidc, headerOnly, header+digest og header+basic.
- Alle applikasjoner er overført til et enhetlig konfigurasjonsdelsystem som støtter behandlingsinnstillinger i forskjellige formater (ini, json, yaml) og er i stand til å laste innstillinger fra forskjellige kilder, for eksempel fra disk, over nettverket via HTTPS eller fra OpenSearch/Elasticsearch .
- Lagt til støtte for å importere lagrede (offline) PCAP-dumper og laste dem ned via URL via HTTPS eller fra Amazon S3-lagring, uten å måtte lagre dem på det lokale systemet først.
Kilde: opennet.ru