'n Vrystelling van die Arkime 3.1-netwerkpakketvaslegging, -berging en -indekseringstelsel is voorberei, wat gereedskap verskaf om verkeersvloeie visueel te assesseer en inligting te soek wat met netwerkaktiwiteit verband hou. Die projek is oorspronklik deur AOL ontwikkel met die doel om 'n oop en gehuisveste plaasvervanger vir kommersiële netwerkpakketverwerkingsplatforms te skep wat kan skaal om verkeer te verwerk teen 'n spoed van tientalle gigabits per sekonde. Die kode van die verkeer vaslegging komponent is geskryf in C, en die koppelvlak is geïmplementeer in Node.js/JavaScript. Die bronkode word onder die Apache 2.0-lisensie versprei. Werk in Linux en FreeBSD word ondersteun. Gereed pakkette word voorberei vir Arch, CentOS en Ubuntu.
Arkime bevat gereedskap vir die vaslegging en indeksering van verkeer in inheemse PCAP-formaat, en bied ook gereedskap vir vinnige toegang tot geïndekseerde data. Die gebruik van die PCAP-formaat vergemaklik integrasie met bestaande verkeersontleders soos Wireshark aansienlik. Die hoeveelheid gestoorde data word slegs beperk deur die grootte van die beskikbare skyfskikking. Sessie-metadata word geïndekseer in 'n groepering gebaseer op die Elasticsearch-enjin.
Om die opgehoopte inligting te ontleed, word 'n webkoppelvlak voorgestel wat jou toelaat om te navigeer, te soek en monsters uit te voer. Die webkoppelvlak bied verskeie kykmodusse – van algemene statistieke, verbindingskaarte en visuele grafieke met data oor veranderinge in netwerkaktiwiteit tot hulpmiddels vir die bestudering van individuele sessies, ontleding van aktiwiteit in die konteks van die protokolle wat gebruik word, en die ontleding van data vanaf PCAP-stortings. 'n API word ook voorsien wat jou toelaat om vasgelegde pakkies in PCAP-formaat en ontleed sessies in JSON-formaat na derdeparty-toepassings deur te gee.
Arkime bestaan uit drie basiese komponente:
- Die verkeersopvangstelsel is 'n multi-draad C-toepassing vir die monitering van verkeer, die skryf van PCAP-stortings na skyf, die ontleed van vasgelegde pakkies, en die stuur van stateful packet inspection (SPI) en protokol-metadata na 'n Elasticsearch-kluster. Dit is moontlik om PCAP-lêers in geënkripteerde vorm te stoor.
- 'n Webkoppelvlak gebaseer op die Node.js-platform wat op elke verkeersopvangbediener loop en versoeke verwerk wat verband hou met toegang tot geïndekseerde data en die oordrag van PCAP-lêers deur die API.
- Metadataberging gebaseer op Elasticsearch.
In die nuwe vrystelling:
- Bygevoeg ondersteuning vir IETF QUIC, GENEVE, VXLAN-GPE protokolle.
- Bygevoeg ondersteuning vir die Q-in-Q (Double VLAN) tipe, wat dit moontlik maak om VLAN-etikette in tweedevlak-etikette in te kapsel om die aantal VLAN's tot 16 miljoen uit te brei.
- Bygevoeg ondersteuning vir die "float" veld tipe.
- Die Amazon Elastic Compute Cloud-skrywer is gemigreer om die IMDSv2 (Instance Metadata Service) protokol te gebruik.
- Kode herfaktor om UDP-tonnels by te voeg.
- Bygevoeg ondersteuning vir elasticsearchAPIKey en elasticsearchBasicAuth.
Bron: opennet.ru