Ho lokolloa ha tsamaiso ea ho hapa, ho boloka le ho hlahisa lipakete tsa marang-rang Arkime 5.0 e hatisitsoe, e fana ka lisebelisoa tsa ho hlahloba ka mahlo ho phalla ha sephethephethe le ho batla tlhahisoleseding e amanang le mosebetsi oa marang-rang. Morero ona o ne o ntlafalitsoe ke AOL ka sepheo sa ho theha sebaka se bulehileng bakeng sa liforomo tsa ts'ebetso tsa marang-rang tsa marang-rang tse tšehetsang ho romelloa ho li-server tsa eona mme li ka lekanya ho sebetsa sephethephethe ka lebelo la li-gigabits tse mashome motsotsoana. Khoutu ea karolo ea sephethephethe e ngotsoe ka C, 'me sebopeho se kengoa ts'ebetsong ho Node.js/JavaScript. Khoutu ea mohloli e ajoa tlasa laesense ea Apache 2.0. E tšehetsa mosebetsi ho Linux le FreeBSD. Liphutheloana tse seng li entsoe li lokiselitsoe Arch Linux, RHEL/CentOS le Ubuntu.
Arkime e kenyelletsa lisebelisoa tsa ho hapa le ho supa sephethephethe sa PCAP, hape e fana ka lisebelisoa tsa phihlello e potlakileng ea data e ngolisitsoeng. Tšebeliso ea sebopeho se tloaelehileng sa PCAP e nolofatsa haholo kopanyo le bahlahlobisisi ba sephethephethe ba teng joalo ka Wireshark. Bophahamo ba data e bolokiloeng bo lekantsoe feela ke boholo ba pokello ea disk e fumanehang. Metadata ea Session e thathamisitsoe ka har'a sehlopha se ipapisitseng le Elasticsearch kapa enjine ea OpenSearch. Karolo ea ho ts'oara sephethephethe e sebetsa ka mokhoa o nang le likhoele tse ngata 'me e rarolla mesebetsi ea ho beha leihlo, ho ngola lithōle tsa PCAP ho disk, ho kopanya lipakete tse hapiloeng le ho romella metadata mabapi le linako (SPI, Stateful packet inspection) le liprothokholo ho sehlopha sa Elasticsearch/OpenSearch. Hoa khoneha ho boloka lifaele tsa PCAP ka mokhoa o patiloeng.
Ho sekaseka tlhahisoleseling e bokelletsoeng, ho fanoa ka sehokelo sa webo se u lumellang ho tsamaea, ho batla le ho romela lisampole. Sehokelo sa marang-rang se fana ka mekhoa e mengata ea ho shebella - ho tloha ho lipalo-palo tse akaretsang, limmapa tsa khokahano le lirafshoa tse bonoang tse nang le data mabapi le liphetoho tsa ts'ebetso ea marang-rang ho ea ho lisebelisoa tsa ho ithuta mananeo a motho ka mong, ho sekaseka ts'ebetso maemong a liprothokholo tse sebelisitsoeng le ho arola data ho tsoa litsing tsa PCAP. API e boetse e fanoa e u lumellang hore u romelle data mabapi le lipakete tse hapiloeng ka sebopeho sa PCAP le linako tse arotsoeng ka sebopeho sa JSON ho lits'ebetso tsa mokha oa boraro.
Khatisong e ncha:
- E kentse bokhoni ba ho romela likopo tse kopaneng tsa tlhahisoleseling ka ts'ebeletso ea Cont3xt ho bokella lintlha tse fumanehang mehloling e fapaneng e bulehileng (OSINT) ka nako e le 'ngoe mabapi le lintho tse' maloa.
- Ts'ehetso e ekelitsoeng bakeng sa mekhoa ea menoana ea JA4 le JA4+ ea sephethephethe ho tsebahatsa liprothokholo le lits'ebetso tsa marang-rang.
- Sebopeho sa block se nang le lintlha tse qaqileng mabapi le seboka se fetotsoe, se fokotsang sebaka se sa sebelisoeng le ho kenya tšebetsong sebopeho sa likholomo tse peli bakeng sa li-skrini tse kholo.
- Li-blocks li kenyelelitsoe ho li-tab tsa Lifaele, Nalane le Lipalo-palo bakeng sa ho batlisisa ka nako e le 'ngoe maemong a' maloa a sebopeho sa ho shebella lipalo-palo (Seboni).
- Sistimi ea tumello e kopantsoe 'me e arotsoe ka mojule o arohaneng, o seng o sebelisoa lits'ebetsong tsohle tsa Arkime. Sebakeng sa mokhoa oa tumello o sa tsejoeng, mokhoa oa ho cheka o sebelisoa ka mokhoa o ikhethileng. Ho ekelitsoe mekhoa e mecha ea tumello: motheo, sebopeho, mofuta oa motheo, oa motheo+oidc, headerOnly, header+digest le header+basic.
- Lisebelisoa tsohle li fetiselitsoe ho sistimi e kopaneng ea tlhophiso e ts'ehetsang litlhophiso tsa ts'ebetso ka mefuta e fapaneng (ini, json, yaml) mme e khona ho kenya litlhophiso ho tsoa mehloling e fapaneng, mohlala, ho tsoa ho disk, marang-rang ka HTTPS kapa ho OpenSearch/Elasticsearch. .
- Ts'ehetso e ekelitsoeng bakeng sa ho kenya lithōle tsa PCAP tse bolokiloeng (ntle le marang-rang) le ho li jarolla ka URL ka HTTPS kapa ho tloha polokelong ea Amazon S3, ntle le tlhoko ea ho li boloka pele ho sistimi ea lehae.
Source: opennet.ru