A sékrési sistem pikeun motret, nyimpen jeung indexing pakét jaringan Arkime 5.0 geus diterbitkeun, nyadiakeun parabot pikeun visually assessing aliran lalulintas sarta néangan informasi patali aktivitas jaringan. Proyék éta mimitina dikembangkeun ku AOL kalayan tujuan nyiptakeun gaganti kabuka pikeun platform pamrosesan pakét jaringan komérsial anu ngadukung panyebaran dina serverna sareng tiasa skala pikeun ngolah lalu lintas dina laju puluhan gigabit per detik. Kode komponén traffic capture ditulis dina C, sarta panganteur dilaksanakeun dina Node.js/JavaScript. Kodeu sumber disebarkeun dina lisénsi Apache 2.0. Ngarojong gawé dina Linux Ubuntu jeung FreeBSD. Bungkusan anu siap-siap disiapkeun pikeun Arch Linux, RHEL / CentOS sareng Ubuntu.
Arkime ngawengku parabot pikeun néwak sarta indexing lalulintas PCAP, sarta ogé nyadiakeun parabot pikeun aksés gancang kana data indéks. Pamakéan format PCAP standar pisan nyederhanakeun integrasi sareng analisa lalu lintas anu aya sapertos Wireshark. Volume data nu disimpen ngan diwatesan ku ukuran susunan disk sadia. Metadata sési diindeks dina klaster dumasar kana mesin Elasticsearch atanapi OpenSearch. Komponén néwak lalu lintas beroperasi dina modeu multi-threaded sareng ngarengsekeun tugas ngawaskeun, nyerat dumps PCAP kana disk, nga-parsing pakét anu direbut sareng ngirim metadata ngeunaan sési (SPI, inspeksi pakét Stateful) sareng protokol ka Elasticsearch / OpenSearch klaster. Kasebut nyaéta dimungkinkeun pikeun nyimpen file PCAP dina bentuk énkripsi.
Pikeun nganalisis inpormasi akumulasi, antarbeungeut wéb ditawarkeun anu ngamungkinkeun anjeun pikeun nganapigasi, milarian sareng ngékspor conto. Antarbeungeut wéb nyayogikeun sababaraha modeu tempoan - ti statistik umum, peta sambungan sareng grafik visual kalayan data ngeunaan parobihan dina kagiatan jaringan dugi ka alat pikeun diajar sesi individu, nganalisa kagiatan dina konteks protokol anu dianggo sareng ngémutan data tina dumps PCAP. Aya ogé API anu ngamungkinkeun anjeun ngirim data ngeunaan pakét anu direbut dina format PCAP sareng sesi anu dibongkar dina format JSON ka aplikasi pihak katilu.
Dina versi anyar:
- Ditambahkeun kamampuhan pikeun ngirim requests pilarian digabungkeun pikeun informasi ngaliwatan ladenan Cont3xt pikeun ngumpulkeun informasi sadia dina rupa open source (OSINT) sakaligus ngeunaan sababaraha objék.
- Ditambahkeun dukungan pikeun metode sidik lalu lintas JA4 sareng JA4 + pikeun ngaidentipikasi protokol sareng aplikasi jaringan.
- Desain blok sareng inpormasi detil ngeunaan sési parantos dirobih, anu ngaminimalkeun rohangan anu henteu dianggo sareng ngalaksanakeun perenah dua kolom pikeun layar ageung.
- Blok drop-down geus ditambahkeun kana tab Payil, Sajarah sarta Statistik pikeun néangan sakaligus dina sababaraha instansi tina panganteur pikeun nempoan statistik (Viewer).
- Sistem otorisasina parantos dihijikeun sareng dipisahkeun kana modul anu misah, anu ayeuna dianggo dina sadaya aplikasi Arkime. Gantina mode otorisasina anonim, metode nyerna dianggo sacara standar. Modeu otorisasi anyar parantos ditambah: dasar, bentuk, dasar + bentuk, dasar + oidc, headerOnly, header + digest sareng header + basic.
- Sadaya aplikasi parantos dialihkeun kana subsistem konfigurasi anu ngahijikeun anu ngadukung setélan pamrosesan dina format anu béda (ini, json, yaml) sareng sanggup ngamuat setélan tina sumber anu béda, contona, tina disk, ngaliwatan jaringan via HTTPS atanapi tina OpenSearch/Elasticsearch. .
- Ditambahkeun dukungan pikeun ngimpor dumps PCAP anu disimpen (offline) sareng ngaunduhana via URL via HTTPS atanapi tina panyimpenan Amazon S3, tanpa kedah nyimpen heula dina sistem lokal.
sumber: opennet.ru