Ukazała się wersja systemu przechwytywania, przechowywania i indeksowania pakietów sieciowych Arkime 5.0, udostępniającego narzędzia do wizualnej oceny potoków ruchu i wyszukiwania informacji związanych z aktywnością w sieci. Projekt został pierwotnie opracowany przez firmę AOL w celu stworzenia otwartego zamiennika komercyjnych platform przetwarzania pakietów w sieci, który obsługuje wdrażanie na serwerach firmy i może być skalowany w celu przetwarzania ruchu z szybkością kilkudziesięciu gigabitów na sekundę. Kod komponentu przechwytywania ruchu napisano w C, a interfejs zaimplementowano w Node.js/JavaScript. Kod źródłowy rozpowszechniany jest na licencji Apache 2.0. Obsługuje pracę na Linuksie i FreeBSD. Gotowe pakiety przygotowane są dla Arch Linux, RHEL/CentOS i Ubuntu.
Arkime zawiera narzędzia do przechwytywania i indeksowania ruchu PCAP, a także udostępnia narzędzia umożliwiające szybki dostęp do indeksowanych danych. Zastosowanie standardowego formatu PCAP znacznie upraszcza integrację z istniejącymi analizatorami ruchu, takimi jak Wireshark. Ilość przechowywanych danych ograniczona jest jedynie wielkością dostępnej macierzy dyskowej. Metadane sesji są indeksowane w klastrze w oparciu o silnik Elasticsearch lub OpenSearch. Komponent przechwytywania ruchu działa w trybie wielowątkowym i rozwiązuje zadania monitorowania, zapisywania zrzutów PCAP na dysk, analizowania przechwyconych pakietów i wysyłania metadanych o sesjach (SPI, Stateful Packet Inspection) i protokołach do klastra Elasticsearch/OpenSearch. Możliwe jest przechowywanie plików PCAP w formie zaszyfrowanej.
Aby przeanalizować zgromadzone informacje, oferowany jest interfejs sieciowy, który umożliwia nawigację, wyszukiwanie i eksportowanie próbek. Interfejs sieciowy udostępnia kilka trybów przeglądania - od ogólnych statystyk, map połączeń i wykresów wizualnych z danymi o zmianach aktywności sieciowej po narzędzia do badania poszczególnych sesji, analizowania aktywności w kontekście używanych protokołów i analizowania danych z zrzutów PCAP. Udostępnione jest także API, które umożliwia wysyłanie danych o przechwyconych pakietach w formacie PCAP i zdezasemblowanych sesjach w formacie JSON do aplikacji innych firm.
W nowej wersji:
- Dodano możliwość wysyłania łączonych żądań wyszukiwania informacji za pośrednictwem usługi Cont3xt w celu gromadzenia informacji dostępnych w różnych otwartych źródłach (OSINT) jednocześnie na temat kilku obiektów.
- Dodano obsługę metod odcisków palców ruchu JA4 i JA4+ w celu identyfikacji protokołów sieciowych i aplikacji.
- Zmieniono projekt bloku ze szczegółowymi informacjami o sesji, co minimalizuje niewykorzystaną przestrzeń i implementuje dwukolumnowy układ dla dużych ekranów.
- Do zakładek Pliki, Historia i Statystyki dodano rozwijane bloki umożliwiające jednoczesne wyszukiwanie w kilku instancjach interfejsu przeglądania statystyk (Przeglądarka).
- System autoryzacji został ujednolicony i wydzielony do osobnego modułu, który jest obecnie stosowany we wszystkich aplikacjach Arkime. Zamiast anonimowego trybu autoryzacji domyślnie używana jest metoda skrótu. Dodano nowe tryby autoryzacji: basic, form, basic+form, basic+oidc, headerOnly, header+digest i header+basic.
- Wszystkie aplikacje zostały przeniesione do zunifikowanego podsystemu konfiguracyjnego, który obsługuje przetwarzanie ustawień w różnych formatach (ini, json, yaml) i ma możliwość ładowania ustawień z różnych źródeł np. z dysku, przez sieć poprzez HTTPS lub z OpenSearch/Elasticsearch .
- Dodano obsługę importowania zapisanych (offline) zrzutów PCAP i pobierania ich poprzez adres URL poprzez HTTPS lub z magazynu Amazon S3, bez konieczności wcześniejszego zapisywania ich w systemie lokalnym.
Źródło: opennet.ru