Một bản phát hành hệ thống thu thập, lưu trữ và lập chỉ mục các gói mạng Arkime 5.0 đã được xuất bản, cung cấp các công cụ để đánh giá trực quan các luồng lưu lượng và tìm kiếm thông tin liên quan đến hoạt động mạng. Dự án ban đầu được AOL phát triển với mục tiêu tạo ra một sự thay thế mở cho các nền tảng xử lý gói mạng thương mại hỗ trợ triển khai trên các máy chủ của hãng và có thể mở rộng quy mô để xử lý lưu lượng ở tốc độ hàng chục gigabit mỗi giây. Mã thành phần nắm bắt lưu lượng truy cập được viết bằng C và giao diện được triển khai bằng Node.js/JavaScript. Mã nguồn được phân phối theo giấy phép Apache 2.0. Hỗ trợ hoạt động trên Linux và FreeBSD. Các gói làm sẵn được chuẩn bị cho Arch Linux, RHEL/CentOS và Ubuntu.
Arkime bao gồm các công cụ để thu thập và lập chỉ mục lưu lượng truy cập PCAP, đồng thời cung cấp các công cụ để truy cập nhanh vào dữ liệu được lập chỉ mục. Việc sử dụng định dạng PCAP tiêu chuẩn giúp đơn giản hóa đáng kể việc tích hợp với các máy phân tích lưu lượng truy cập hiện có như Wireshark. Khối lượng dữ liệu được lưu trữ chỉ bị giới hạn bởi kích thước của mảng đĩa có sẵn. Siêu dữ liệu phiên được lập chỉ mục trong một cụm dựa trên công cụ Elaticsearch hoặc OpenSearch. Thành phần thu thập lưu lượng truy cập hoạt động ở chế độ đa luồng và giải quyết các nhiệm vụ giám sát, ghi kết xuất PCAP vào đĩa, phân tích các gói đã bắt và gửi siêu dữ liệu về các phiên (SPI, kiểm tra gói trạng thái) và các giao thức tới cụm Elaticsearch/OpenSearch. Có thể lưu trữ các tệp PCAP ở dạng được mã hóa.
Để phân tích thông tin tích lũy, một giao diện web được cung cấp cho phép bạn điều hướng, tìm kiếm và xuất các mẫu. Giao diện web cung cấp một số chế độ xem - từ thống kê chung, bản đồ kết nối và biểu đồ trực quan với dữ liệu về những thay đổi trong hoạt động mạng đến các công cụ để nghiên cứu các phiên riêng lẻ, phân tích hoạt động trong bối cảnh các giao thức được sử dụng và phân tích dữ liệu từ các kết xuất PCAP. Một API cũng được cung cấp cho phép bạn gửi dữ liệu về các gói đã bắt ở định dạng PCAP và các phiên được phân tách ở định dạng JSON tới các ứng dụng của bên thứ ba.
Trong phiên bản mới:
- Đã thêm khả năng gửi các yêu cầu tìm kiếm kết hợp để biết thông tin thông qua dịch vụ Cont3xt để thu thập đồng thời thông tin có sẵn trong các nguồn mở khác nhau (OSINT) về một số đối tượng.
- Đã thêm hỗ trợ cho các phương pháp lấy dấu vân tay lưu lượng truy cập JA4 và JA4+ để xác định các ứng dụng và giao thức mạng.
- Thiết kế của khối với thông tin chi tiết về phiên đã được thay đổi, giúp giảm thiểu không gian chưa sử dụng và triển khai bố cục hai cột cho màn hình lớn.
- Các khối thả xuống đã được thêm vào các tab Tệp, Lịch sử và Thống kê để tìm kiếm đồng thời trong một số phiên bản của giao diện xem số liệu thống kê (Trình xem).
- Hệ thống ủy quyền đã được thống nhất và tách thành một mô-đun riêng biệt, hiện được sử dụng trong tất cả các ứng dụng Arkime. Thay vì chế độ ủy quyền ẩn danh, phương thức thông báo được sử dụng theo mặc định. Các chế độ ủy quyền mới đã được thêm vào: cơ bản, biểu mẫu, cơ bản+biểu mẫu, cơ bản+oidc, headerOnly, tiêu đề+thông báo và tiêu đề+cơ bản.
- Tất cả các ứng dụng đã được chuyển sang hệ thống con cấu hình thống nhất hỗ trợ xử lý cài đặt ở các định dạng khác nhau (ini, json, yaml) và có khả năng tải cài đặt từ các nguồn khác nhau, ví dụ: từ đĩa, qua mạng qua HTTPS hoặc từ OpenSearch/Elasticsearch .
- Đã thêm hỗ trợ để nhập các kết xuất PCAP đã lưu (ngoại tuyến) và tải xuống chúng qua URL qua HTTPS hoặc từ bộ lưu trữ Amazon S3 mà không cần phải lưu chúng trước trên hệ thống cục bộ.
Nguồn: opennet.ru