Arkime 5.0,一款網路封包擷取、儲存和索引系統,現已發布。它提供工具,以視覺化方式評估流量,並搜尋與網路活動相關的資訊。該專案最初由 AOL 開發,旨在創建一個開源的替代方案,以取代商業網路資料包處理平台。該方案可以部署在 AOL 自己的伺服器上,並可擴展以處理每秒數十千兆位元的流量。流量擷取元件使用 C 語言編寫,介面則使用 Node.js/JavaScript 實作。原始碼以 Apache 2.0 許可證發布。該計畫得到了以下機構的支持: Linux 以及 FreeBSD。 Arch 系統有現成的軟體包可用。 Linux,RHEL/CentOS и Ubuntu.
Arkime 包括用於以 PCAP 格式擷取和索引流量的工具,並提供快速存取索引資料的工具。使用標準 PCAP 格式大大簡化了與現有流量分析器(如 Wireshark)的整合。儲存的資料量僅受可用磁碟陣列的大小限制。會話元資料在基於 Elasticsearch 或 OpenSearch 引擎的叢集中被索引。流量擷取元件以多執行緒模式運行,解決監控、將 PCAP 轉儲寫入磁碟、解析擷取的資料包以及將有關會話(SPI、狀態資料包檢查)和協定的元資料傳送到 Elasticsearch/OpenSearch 叢集的任務。可以以加密形式儲存 PCAP 檔案。
為了分析累積的信息,提供了一個網路介面,允許導航、搜尋和導出樣本。網路介面提供了幾種檢視模式 - 從一般統計資料、連接圖和包含網路活動變更資料的視覺化圖表到研究單一會話、根據使用的協定分析活動以及解析 PCAP 轉儲資料的工具。還提供了 API,允許第三方應用程式傳遞 PCAP 格式的擷取封包和 JSON 格式的解析會話。
在新版本中:
- 增加了透過 Cont3xt 服務發送組合搜尋查詢資訊的功能,以便同時收集各種開放來源 (OSINT) 中有關多個物件的資訊。
- 增加了對 JA4 和 JA4+ 流量指紋識別方法的支持,以識別網路協定和應用程式。
- 會話詳細資訊區塊的設計已更改,以最大限度地減少未使用的空間,並為更大的螢幕實現雙列佈局。
- 在檔案、歷史記錄和統計資料標籤中新增了用於在查看統計資料(檢視器)的介面的多個實例中同時搜尋的下拉區塊。
- 授權系統已統一並分離為單獨的模組,現在用於所有 Arkime 應用程式。預設使用摘要方法,而不是匿名授權模式。新增了新的授權模式:basic、form、basic+form、basic+oidc、headerOnly、header+digest 和 header+basic。
- 所有應用程式都已遷移到統一的配置子系統,該子系統支援處理不同格式(ini、json、yaml)的設置,並且能夠從不同來源載入設置,例如從磁碟、透過 HTTPS 透過網路或從 OpenSearch/Elasticsearch 載入設定。
- 增加了對導入已保存(離線)PCAP 轉儲的支持,透過 HTTPS 從 URL 加載或從 Amazon S3 儲存加載,而無需先將它們保存在本機系統上。
來源: opennet.ru
