用于捕获、存储和索引网络数据包的系统 Arkime 5.0 已经发布,提供了用于直观地评估流量和搜索与网络活动相关的信息的工具。该项目最初由 AOL 开发,目标是创建商业网络数据包处理平台的开放替代品,支持在其服务器上部署,并可以扩展以每秒数十吉比特的速度处理流量。流量捕获组件代码采用C语言编写,接口采用Node.js/JavaScript实现。源代码根据 Apache 2.0 许可证分发。支持在 Linux 和 FreeBSD 上工作。为 Arch Linux、RHEL/CentOS 和 Ubuntu 准备了现成的软件包。
Arkime 包括用于捕获和索引 PCAP 流量的工具,还提供用于快速访问索引数据的工具。标准 PCAP 格式的使用极大地简化了与 Wireshark 等现有流量分析器的集成。存储数据量仅受可用磁盘阵列大小的限制。会话元数据在基于 Elasticsearch 或 OpenSearch 引擎的集群中建立索引。流量捕获组件以多线程模式运行,解决监控、将 PCAP 转储写入磁盘、解析捕获的数据包以及将有关会话(SPI、状态数据包检查)和协议的元数据发送到 Elasticsearch/OpenSearch 集群的任务。可以以加密形式存储 PCAP 文件。
为了分析累积的信息,提供了一个 Web 界面,允许您导航、搜索和导出样本。 Web 界面提供了多种查看模式 - 从一般统计数据、连接图和带有网络活动变化数据的可视化图表,到用于研究单个会话、分析所用协议上下文中的活动以及解析 PCAP 转储数据的工具。 还提供了一个 API,允许您将有关 PCAP 格式的捕获数据包和 JSON 格式的反汇编会话的数据发送到第三方应用程序。
在新版本中:
- 添加了通过 Cont3xt 服务发送组合信息搜索请求的功能,以同时收集有关多个对象的各种开源 (OSINT) 中可用的信息。
- 添加了对 JA4 和 JA4+ 流量指纹识别方法的支持,以识别网络协议和应用程序。
- 包含有关会话的详细信息的块的设计已更改,最大限度地减少了未使用的空间并实现了大屏幕的两列布局。
- 文件、历史记录和统计选项卡中添加了下拉块,以便在查看统计信息(查看器)的界面的多个实例中同时进行搜索。
- 授权系统已被统一并分离为一个单独的模块,现在所有 Arkime 应用程序中都使用该模块。默认使用digest方式,而不是匿名授权方式。添加了新的授权模式:basic、form、basic+form、basic+oidc、headerOnly、header+digest 和 header+basic。
- 所有应用程序都已转移到统一的配置子系统,该子系统支持处理不同格式(ini、json、yaml)的设置,并且能够从不同来源加载设置,例如从磁盘、通过 HTTPS 通过网络或从 OpenSearch/Elasticsearch 。
- 添加了对导入保存的(离线)PCAP 转储并通过 HTTPS 或从 Amazon S3 存储的 URL 下载它们的支持,而无需先将它们保存在本地系统上。
来源: opennet.ru