نیٹ ورک پیکٹ Arkime 5.0 کو کیپچر کرنے، اسٹور کرنے اور انڈیکس کرنے کے لیے سسٹم کا ایک اجراء شائع کیا گیا ہے، جو ٹریفک کے بہاؤ کو بصری طور پر جانچنے اور نیٹ ورک کی سرگرمی سے متعلق معلومات کی تلاش کے لیے ٹولز فراہم کرتا ہے۔ اس پروجیکٹ کو اصل میں AOL نے تجارتی نیٹ ورک پیکٹ پروسیسنگ پلیٹ فارمز کے لیے ایک کھلا متبادل بنانے کے مقصد کے ساتھ تیار کیا تھا جو اس کے سرورز پر تعیناتی کی حمایت کرتا ہے اور دسیوں گیگا بٹس فی سیکنڈ کی رفتار سے ٹریفک کو پروسیس کرنے کے لیے پیمانہ بنا سکتا ہے۔ ٹریفک کیپچر جزو کوڈ C میں لکھا جاتا ہے، اور انٹرفیس Node.js/JavaScript میں لاگو ہوتا ہے۔ سورس کوڈ اپاچی 2.0 لائسنس کے تحت تقسیم کیا جاتا ہے۔ لینکس اور فری بی ایس ڈی پر کام کی حمایت کرتا ہے۔ آرک لینکس، RHEL/CentOS اور Ubuntu کے لیے تیار پیکجز تیار کیے گئے ہیں۔
Arkime میں PCAP ٹریفک کو کیپچر کرنے اور انڈیکس کرنے کے ٹولز شامل ہیں، اور انڈیکسڈ ڈیٹا تک فوری رسائی کے لیے ٹولز بھی فراہم کرتا ہے۔ معیاری PCAP فارمیٹ کا استعمال موجودہ ٹریفک تجزیہ کاروں جیسے کہ Wireshark کے ساتھ انضمام کو بہت آسان بناتا ہے۔ ذخیرہ شدہ ڈیٹا کا حجم صرف دستیاب ڈسک سرنی کے سائز سے محدود ہے۔ سیشن میٹا ڈیٹا کو Elasticsearch یا OpenSearch انجن پر مبنی کلسٹر میں ترتیب دیا جاتا ہے۔ ٹریفک کیپچر کا جزو ملٹی تھریڈڈ موڈ میں کام کرتا ہے اور نگرانی کے کاموں کو حل کرتا ہے، PCAP ڈمپ کو ڈسک پر لکھتا ہے، کیپچر شدہ پیکٹوں کو پارس کرتا ہے اور سیشنز کے بارے میں میٹا ڈیٹا بھیجتا ہے (SPI، اسٹیٹفول پیکٹ انسپکشن) اور پروٹوکولز Elasticsearch/OpenSearch کلسٹر کو۔ پی سی اے پی فائلوں کو انکرپٹڈ شکل میں ذخیرہ کرنا ممکن ہے۔
جمع شدہ معلومات کا تجزیہ کرنے کے لیے، ایک ویب انٹرفیس پیش کیا جاتا ہے جو آپ کو نیویگیٹ، تلاش اور نمونے برآمد کرنے کی اجازت دیتا ہے۔ ویب انٹرفیس دیکھنے کے کئی موڈ فراہم کرتا ہے - عام اعدادوشمار، کنکشن کے نقشے اور بصری گراف سے لے کر نیٹ ورک کی سرگرمیوں میں تبدیلیوں کے اعداد و شمار سے لے کر انفرادی سیشنز کے مطالعہ کے لیے ٹولز تک، استعمال کیے گئے پروٹوکول کے تناظر میں سرگرمی کا تجزیہ کرنا اور PCAP ڈمپس سے ڈیٹا پارس کرنا۔ ایک API بھی فراہم کیا گیا ہے جو آپ کو پی سی اے پی فارمیٹ میں کیپچر شدہ پیکٹوں کے بارے میں ڈیٹا اور JSON فارمیٹ میں الگ الگ سیشنز کو تھرڈ پارٹی ایپلی کیشنز کو بھیجنے کی اجازت دیتا ہے۔
نئے ورژن میں:
- متعدد اشیاء کے بارے میں بیک وقت مختلف کھلے ذرائع (OSINT) میں دستیاب معلومات کو اکٹھا کرنے کے لیے Cont3xt سروس کے ذریعے معلومات کے لیے مشترکہ تلاش کی درخواستیں بھیجنے کی صلاحیت کو شامل کیا۔
- نیٹ ورک پروٹوکولز اور ایپلیکیشنز کی شناخت کے لیے JA4 اور JA4+ ٹریفک فنگر پرنٹنگ کے طریقوں کے لیے معاونت شامل کی گئی۔
- سیشن کے بارے میں تفصیلی معلومات کے ساتھ بلاک کا ڈیزائن تبدیل کر دیا گیا ہے، جو غیر استعمال شدہ جگہ کو کم کرتا ہے اور بڑی اسکرینوں کے لیے دو کالم لے آؤٹ کو لاگو کرتا ہے۔
- ڈراپ ڈاؤن بلاکس کو فائلوں، تاریخ اور اعدادوشمار کے ٹیب میں شامل کیا گیا ہے تاکہ اعداد و شمار (دیکھنے والے) کو دیکھنے کے لیے انٹرفیس کی متعدد مثالوں میں بیک وقت تلاش کیا جا سکے۔
- اجازت دینے کے نظام کو یکجا کر کے ایک الگ ماڈیول میں الگ کر دیا گیا ہے، جو اب تمام Arkime ایپلی کیشنز میں استعمال ہوتا ہے۔ گمنام اجازت کے موڈ کے بجائے، ڈائجسٹ کا طریقہ بطور ڈیفالٹ استعمال ہوتا ہے۔ نئے اجازت نامہ کے طریقوں کو شامل کیا گیا ہے: بنیادی، فارم، بنیادی+فارم، بنیادی + oidc، ہیڈر صرف، ہیڈر + ڈائجسٹ اور ہیڈر + بنیادی۔
- تمام ایپلیکیشنز کو ایک متحد کنفیگریشن سب سسٹم میں منتقل کر دیا گیا ہے جو مختلف فارمیٹس (ini، json، yaml) میں پروسیسنگ سیٹنگز کو سپورٹ کرتا ہے اور مختلف ذرائع سے سیٹنگز لوڈ کرنے کے قابل ہے، مثال کے طور پر، ڈسک سے، نیٹ ورک پر HTTPS کے ذریعے یا OpenSearch/Elasticsearch سے۔ .
- محفوظ شدہ (آف لائن) PCAP ڈمپ کو درآمد کرنے اور انہیں URL کے ذریعے HTTPS کے ذریعے یا Amazon S3 اسٹوریج سے ڈاؤن لوڈ کرنے کے لیے معاونت شامل کی گئی، انہیں پہلے مقامی سسٹم پر محفوظ کرنے کی ضرورت کے بغیر۔
ماخذ: opennet.ru