Siideynta nidaamka qabashada, kaydinta iyo tusmaynta xirmooyinka shabakada Arkime 5.0 ayaa la daabacay, iyadoo la siinayo qalab muuqaal ah oo lagu qiimeeyo socodka taraafikada iyo raadinta macluumaadka la xiriira dhaqdhaqaaqa shabakada. Mashruuca waxaa markii hore soo saartay AOL iyada oo ujeedadu ahayd in la abuuro beddel furan oo loogu talagalay aaladaha farsamaynta baakadaha shabakada ganacsiga kuwaas oo taageera geynta server-keeda oo cabbiri kara si ay u socodsiiso socodka xawaaraha tobanaan gigabits ilbiriqsi kasta. Koodhka qaybta qabashada taraafikada waxa uu ku qoran yahay C, interface-kana waxa lagu hirgeliyay Node.js/JavaScript. Koodhka isha waxaa lagu qaybiyaa shatiga Apache 2.0. Taageeradu waxay ka shaqeeyaan Linux iyo FreeBSD. Xirmooyinka diyaarsan ayaa loo diyaariyey Arch Linux, RHEL/CentOS iyo Ubuntu.
Arkime waxaa ku jira qalab lagu soo qabto laguna tusiyo taraafikada PCAP, iyo sidoo kale waxay siisaa qalab si degdeg ah loo helo xogta la tilmaansaday. Isticmaalka qaabka caadiga ah ee PCAP waxa ay si weyn u fududaynaysaa is dhexgalka dadka taxliilaya taraafikada sida Wireshark. Mugga xogta la kaydiyay waxay ku xaddidan tahay oo keliya cabbirka shaxanka saxanka ee jira. Xogta badan ee kulanka waxa lagu tilmaamay koox ku salaysan Elasticsearch ama OpenSearch engine. Qaybta qabsashada taraafikada waxay u shaqeysaa qaab isku xiran oo badan waxayna xallisaa hawlaha la socodka, ku qorista qashinka PCAP saxanka, kala saarida baakadaha la qabtay iyo soo dirida xogta badan ee ku saabsan fadhiyada (SPI, kormeerka baakadka gaarka ah) iyo borotokoollada kooxda Elasticsearch/OpenSearch. Waa suurtogal in lagu kaydiyo faylasha PCAP qaab qarsoodi ah.
Si loo falanqeeyo macluumaadka la ururiyay, interface-ka shabakada ayaa la bixiyaa kaas oo kuu ogolaanaya inaad dhex socoto, raadiso oo dhoofiso muunado. Interface-ka shabakadu waxa ay bixisa habab kala duwan oo daawasho ah - laga soo bilaabo tirokoobyada guud, khariidado isku xidhka iyo garaafyada muuqaalka leh ee xogta ku saabsan isbedelada hawlaha shabakada ilaa agabka lagu baranayo kalfadhiyada gaarka ah, falanqaynta dhaqdhaqaaqa macnaha hab-maamuusyada la isticmaalo iyo falanqaynta xogta qashinka PCAP. API ayaa sidoo kale la bixiyaa kaas oo kuu ogolaanaya inaad u dirto xogta ku saabsan xirmooyinka la qabtay ee qaabka PCAP iyo fadhiyada la kala saaray ee qaabka JSON u dirto codsiyada qolo saddexaad.
Nooca cusub:
- Waxaa lagu daray awoodda lagu diri karo codsiyada macluumaadka ee la isku daray iyada oo loo marayo adeegga Cont3xt si loo ururiyo macluumaadka laga heli karo ilo kala duwan oo furan (OSINT) isku mar oo ku saabsan dhowr shay.
- Taageero lagu daray JA4 iyo JA4+ hababka faraha taraafikada si loo aqoonsado borotokoolka shabakada iyo codsiyada.
- Naqshadaynta xannibaadda oo leh macluumaad faahfaahsan oo ku saabsan fadhiga ayaa la beddelay, taas oo yaraynaysa meel aan la isticmaalin oo hirgelisa qaabka laba-geesoodka ah ee muraayadaha waaweyn.
- Xirmooyinka hoos-u-dhaca ayaa lagu daray tabsyada Files, History iyo Stats si ay isku mar u raadiyaan dhowr xaaladood oo is-dhexgalka ee daawashada statistics (Daawade).
- Nidaamka oggolaanshaha waa la mideeyay waxaana loo kala saaray qayb gaar ah, kaas oo hadda loo isticmaalo dhammaan codsiyada Arkime. Halkii habka oggolaanshaha qarsoodiga ah, habka dheefshiidka waxaa loo isticmaalaa si caadi ah. Hababka oggolaanshaha cusub ayaa lagu daray: aasaasiga, foomka, qaabka+ aasaasiga ah, aasaasiga+oidc, madax Keliya, madax+ dheefshiidka iyo madaxa+ aasaasiga ah.
- Dhammaan codsiyada waxa loo wareejiyay nidaam hoosaad isku xidhan oo taageera habaynta habaynta oo qaabab kala duwan ah (ini, json, yaml) oo awood u leh inuu dejiyo meelo kala duwan, tusaale ahaan, diskka, shabakada HTTPS ama OpenSearch/Elasticsearch .
- Taageero lagu daray soo dejinta kaydsan (khadka tooska ah) PCAP qashinka iyo soo dejinta iyaga oo isticmaalaya URL iyada oo loo sii marayo HTTPS ama kaydinta Amazon S3, iyada oo aan loo baahnayn in marka hore lagu badbaadiyo nidaamka deegaanka.
Source: opennet.ru