Опубликован релиз системы для захвата, хранения и индексации сетевых пакетов Arkime 5.0, предоставляющей инструменты для наглядной оценки потоков трафика и поиска информации, связанной с сетевой активностью. Изначально проект был разработан компанией AOL с целью создания открытой замены коммерческим платформам обработки сетевых пакетов, поддерживающей развёртывание на своих серверах и способной масштабироваться для обработки трафика на скоростях в десятки гигабит в секунду. Код компонента для захвата трафика написан на языке Си, а интерфейс реализован на Node.js/JavaScript. Исходные тексты распространяется под лицензией Apache 2.0. Поддерживается работа в Linux и FreeBSD. Готовые пакеты подготовлены для Arch Linux, RHEL/CentOS и Ubuntu...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60586
Как он по сравнению с тем же Wireshark? Например, Wireshark мне очень хорошо помог в обходе провайдерского DPI, который в свою очередь долго портил мне нервы и не давал подключаться к VPN. Wireshark помог проанализировать характер вредоносных DPI-пакетов и добавить несколько полезных правил в файрволл, чтобы облапошить DPI. Целый год прошел, а до сих пор VPN работает как часы. Правда на то, чтобы разобраться с Wireshark, потратил недели две, но оно того стоило. Можно подменять и модифицировать исходящие пакеты так, чтобы DPI спал спокойно.
> Как он по сравнению с тем же Wireshark?примерно как зелёное с солёным...
Ваши домохозяйкины инсайты мало интересны. Когда нужно будет, начнут резать весь трафик, который имеет характер постоянно работающей "трубы" (VPN), а не сеансового доступа (SSH или TLS). По поведенческим факторам. Пофиг будет, какой там у вас сетевой порт или на что похож протокол. И никаких RST пакетов вам отсылать для этого не понадобится.
Ваша свобода - наша недоработка. Помните об этом, товарищ.
Фигня. Любой DPI можно нагнуть. Я умудрялся делать это даже в Китае, еще в прошлом декабре, в командировке был. А еще любой VPN-трафик можно завернуть так, что он будет выглядеть как НЕ-VPN. Сюрприз, да? ;)
Да никаких сюрпризов, чел. DPI нагибаются по двум причинам. Первая - их разрабатывают подрядные галеры, набранные по объявлению из профнепригодных. Это на уровне эффективности применения. Вторая - нет политической воли. В Китае живут с торговых связей со всем миром. Отключать даже часть коммуникаций ради защиты общества от картинок с винни-пухом - довольно расточительно.
В наших реалиях вполне достаточно срезать 95% трафика и обломать монетизацию. От консолидирующего общественное мнение иноагента остается кучка маргиналов, грызущихся между собой. А большего и не требуется.И вот ты обошел DPI. Ты же не думаешь, что их DPI только ограничивает трафик? Нет, он его прежде всего анализирует. Запрещающие фильтры - это только верхушка айсберга. Накопленные данные никогда не будут удалены. Со временем их будет обрабатывать все более сильный ИИ.
> В наших реалиях вполне достаточно срезать 95% трафика и обломать монетизацию. От консолидирующего общественное мнение иноагента остается кучка маргиналов, грызущихся между собой. А большего и не требуетсяВ кои-то веки здравое рассуждение
Лучше бы ты обратил внимание на его рассуждение про ИИ. Как столкнёшся — поймёшь. Сам ещё будешь отговаривать от западных VPN.
> Аноним (48), 12-Фев-24, 19:42
> ВАКЦИНА (?), 12-Фев-24, 20:07Мальчики, если у вас такое позднее зажигание, то хотя бы паузу между комментариями выдерживайте, а то палево получается.
Мы не знакомы, хотя я предполагаю что ВАКЦИНА - товарыш майор из нэньки. Вполне может быть! Я вполне достаточно написал чтобы он тем же wireshark исследовал мой траффик.
И палево тебе кажется или не палево, но на родные ресурсы доступные без VPN лучше заходить без него. На Хабре кажется есть статья на данную тему - как точечно обходить блокировку. Конечно если тебе не хочется потом свои аккаунты увидеть в списке Firefox Monitor. Тем не менее хвастаться мнимой властью опасно для здоровья, так как в таких хвастунах заинтересованы люди из разных стран с довольно известными материальными целями. Какое-то больное стремление обходить блокировки и об этом рассказывать. Нет чтоб достойную программу написать или красивый открытый код, на том же музыкальном инструменте научится играть и об этом всем рассказать, так нет же - дешевле взять wireshark и рассказать всем что ты умеешь обход блокировки установленной властью. Великий специалист ИБ! Конечно, для этого же особо трудиться не нужно! Да и противопоставлять ничтожного себя против власти у которой есть репутация и имя вместо того чтобы им помочь это выглядит так возвышающе! От самодуров развелось!
Нет ничего здравого в этих словах. Типичный полит.наброс.
Во-первых, срезание 95% трафика явно не добавит режиму поддержки молодежи.
Во-вторых, монетизация из РФ уже давно через крипту, а нативная - за счет уехавших в соседние страны.
В-третьих, консолидация общественного мнения имеет мало веса при авторитарном режиме.
Единственное, что полезного получит режим при подобном запрете - оттягивание во времени массового разочарования в нём.
Хах, великие отменятели приехали! Угу — не слушай их, ты слушай нас! Ты отдельный класс!А вы вообще из какой страны?
Вот в твоих перепевах чужих фантазий про поддержку молодёжи и крипту точно нет никакого смысла. А в его словах = есть, и практика это подтверждает.
С прямыми руками и наличием знаний нагибается любой dpi. А пyкать в лужу можно сколько угодно, на любой новомодный dpi всегда найдется новый способ обхода.
В теории, ты можешь нелегально пересечь границу, особенно если ты хороший пловец или сильный альпинист, а на практике ты никогда этого не станешь делать, по многим причинам.
Подвести под TCP/IP правовую базу и все заиграет новыми красками.
Начать заводить административные дела по собранным DPI данным. Как с камер на скорость. Наследил в DPI, через неделю в бигдату завели, какие хосты неделю назад были проксями/впнками, разослали штрафы. Профит...
Да и без бигдаты видно что гормоны играют — молодёжи выделиться нечем. Нормальные люди не описывают такие мелочт, если это не осознанная пропаганда. Недостаток воспитания, внимания порождает желание непонятно чего, вот хренью и страдает.
p.s. даю подсказку — без обхода VPN можно научиться играть на музыкальном инструменте. Гитара всегда была в почете у девушек. Но да, это тебе не какой-то VPN обойти.
И как ты это делал в Китае?
Чел, расслабься. Никто в здравом уме не будет делиться такой инфой. У меня, к примеру, есть несколько способов для обхода китайских блокировок, и все работающие. Даю знакомым китайцам, тем кому действительно надо, и в ком на 100% уверен. Но даже если опустить личные лайфхаки, есть несколько публичных vpn-сервисов, которые умудряются работать в Китае сегодня. Если ты про них не знаешь, может даже и к лучшему. Значит тебе просто это не нужно.
Слив засчитан. От "я DPI обходил даже в Китае" до "ну, публичные VPN как-то" за один комментарий.
Лучше читай книжки, парень. Авось прокачаешь внимательность и научишься отличать один ник от другого. :)
На первый взгляд кажется, что основные отличия в интерфейсе - Wireshark на Qt, а здесь Web-интерфейс.
Читать научитесь. Это идексатор, а вайршарк анализатор. Попробуйте скормить вайршарку дамп за месяц. А теперь умножьте на тысячу машин в вашей сети. А теперь постройте связи в вайршарке между вашими микро сервисам на этой тысяче машин.
Вот именно. Чтобы вайршарком смотреть не абы кого, а кого надо.
В wireshark обычно смотрят обмен отдельной программы/хоста, но детально. Для диагностики конкретных ошибок обмена, затыков, потерь пакетов, фрагментации, корректности реализации протокола, корректности передаваемых данных и т.д.
Здесь упор на итоговой статистике за период по куче хостов. Какие именно там пакеты шли, в какой последовательности, какого размера - неважно.
Все с тобой понятно, голубокровная особь которая таким путем выбивается в отдельный класс. Тебе повезло, ты не такой как все...
у этих программ абсолютно разное назначение, вайршарк для анализа траффика в твоей сети, а аркми для захвата и сохранения трфаффика всей сети национального оператора, для дальнейшего сохранения трафика (АНБ для этого построили несколько дата-центров) и его постоянного длительного хранения, дальнейшему поиску по сохраненому зашифрованному траффику! то что он зашифрован, это неважно, ведь они свой липовый американский сертификат подсовывают каждому клиенту который позволяет свободно и "демократически" (как полагается тоталитарному режиму) делать поиск по зашифрованному траффику.
pcap 24/7 пишет и кладет в логопомойку. О глобальном потеплении по ходу там не думают, электричество не экономят. На нужды CIA, то бишь OSINT, понятно не жалко.
Из счетчиков iptables и такой-то перловой матери вроде munin можно состряпать получше решение. Которое побольше пакетиков пропустит, к слову. Вот только зачем...
> pcap 24/7 пишет и кладет в логопомойкуСоблюдают закон Яровой, ИМХО.
>> pcap 24/7 пишет и кладет в логопомойку
> Соблюдают закон Яровой, ИМХО.Закон Яровой появился намного позже чем вся эта деятельность по тотальной слежке в США, так же закон Яровой требует только хранить траффик некоторое установленное время, а не вечно накапливая его. К тому по закону Яровой в случае совершения преступления по решению суда траффик опредленного подозреваемого поднимается, а не делается свободный демократический поиск по траффику всех клиентов оператора. Получается что AOL, Verizon(который рисует сертификаты), Yahoo - это одна и таже компания.
> Из счетчиков iptables и такой-то перловой матери вроде munin можно состряпать получше решение.Диванная экспертиза на марше. Ты бы для начала разобрался что такое сабж и для чего он нужен, прежде чем писать тут чушь про счётчики и munin (как оно там в 2007, кстати?).
Он тем же самым занимается, что и ntopng?
Да. Только бесплатно и без смс.
ntopng тоже бесплатный.Nprobe платный, но есть netflow2ng.
1. Функционал dpi есть, Например домены из SNI вытаскивать и прочее что умеет ndpireader?
2. Можно кастомные поля добавлять (например сопоставлять ip адреса с логанами)?
На пхдейс в парке хорошая преза по аркайм была у ребят из какого-то захолустного немецкого банка. Они собрали на базе этого не полностью переименованного молоха неплохой комбайн.
фан факт - произносить надо "аркиме"