A fost publicată o versiune a sistemului de captare, stocare și indexare a pachetelor de rețea Arkime 5.0, care oferă instrumente pentru evaluarea vizuală a fluxurilor de trafic și căutarea informațiilor legate de activitatea rețelei. Proiectul a fost dezvoltat inițial de AOL cu scopul de a crea un înlocuitor deschis pentru platformele comerciale de procesare a pachetelor de rețea, care acceptă implementarea pe serverele sale și se poate scala pentru a procesa traficul la viteze de zeci de gigabiți pe secundă. Codul componentei de captare a traficului este scris în C, iar interfața este implementată în Node.js/JavaScript. Codul sursă este distribuit sub licența Apache 2.0. Acceptă lucrul pe Linux și FreeBSD. Pachetele gata făcute sunt pregătite pentru Arch Linux, RHEL/CentOS și Ubuntu.
Arkime include instrumente pentru captarea și indexarea traficului PCAP și oferă, de asemenea, instrumente pentru acces rapid la datele indexate. Utilizarea unui format standard PCAP simplifică foarte mult integrarea cu analizoarele de trafic existente, cum ar fi Wireshark. Volumul datelor stocate este limitat doar de dimensiunea matricei de discuri disponibile. Metadatele sesiunii sunt indexate într-un cluster bazat pe motorul Elasticsearch sau OpenSearch. Componenta de captare a traficului funcționează în modul multi-threaded și rezolvă sarcinile de monitorizare, scrierea dump-urilor PCAP pe disc, parsarea pachetelor capturate și trimiterea de metadate despre sesiuni (SPI, Stateful packet inspection) și protocoale către clusterul Elasticsearch/OpenSearch. Este posibil să stocați fișiere PCAP în formă criptată.
Pentru a analiza informațiile acumulate, este oferită o interfață web care vă permite să navigați, să căutați și să exportați mostre. Interfața web oferă mai multe moduri de vizualizare - de la statistici generale, hărți de conexiune și grafice vizuale cu date privind modificările activității în rețea până la instrumente pentru studierea sesiunilor individuale, analiza activității în contextul protocoalelor utilizate și analizarea datelor din depozitele PCAP. De asemenea, este furnizat un API care vă permite să trimiteți date despre pachetele capturate în format PCAP și sesiunile dezasamblate în format JSON către aplicații terțe.
În noua versiune:
- S-a adăugat posibilitatea de a trimite cereri de căutare combinate pentru informații prin serviciul Cont3xt pentru a colecta simultan informații disponibile în diverse surse deschise (OSINT) despre mai multe obiecte.
- S-a adăugat suport pentru metodele de amprentare a traficului JA4 și JA4+ pentru a identifica protocoalele și aplicațiile de rețea.
- Designul blocului cu informații detaliate despre sesiune a fost modificat, ceea ce reduce la minimum spațiul nefolosit și implementează un aspect cu două coloane pentru ecranele mari.
- Blocuri derulante au fost adăugate la filele Fișiere, Istoric și Statistici pentru căutarea simultană în mai multe cazuri ale interfeței pentru vizualizarea statisticilor (Vizualizator).
- Sistemul de autorizare a fost unificat și separat într-un modul separat, care este acum utilizat în toate aplicațiile Arkime. În locul modului de autorizare anonimă, metoda de digest este utilizată implicit. Au fost adăugate noi moduri de autorizare: basic, form, basic+form, basic+oidc, headerOnly, header+digest și header+basic.
- Toate aplicațiile au fost transferate într-un subsistem de configurare unificat care acceptă setările de procesare în diferite formate (ini, json, yaml) și este capabil să încarce setări din diferite surse, de exemplu, de pe disc, prin rețea prin HTTPS sau din OpenSearch/Elasticsearch .
- S-a adăugat suport pentru importarea depozitelor PCAP salvate (offline) și descărcarea lor prin URL prin HTTPS sau din stocarea Amazon S3, fără a fi nevoie să le salvați mai întâi pe sistemul local.
Sursa: opennet.ru