Arkime 3.1 şəbəkə paketlərinin tutulması, saxlanması və indeksləşdirilməsi üçün sistemin buraxılışı hazırlanmışdır ki, bu da trafik axınının vizual qiymətləndirilməsi və şəbəkə fəaliyyəti ilə bağlı məlumatların axtarışı üçün alətlər təqdim edir. Layihə ilk olaraq AOL tərəfindən hazırlanmış və saniyədə onlarla giqabit sürətlə trafiki emal edə bilən kommersiya şəbəkə paketi emal platformaları üçün açıq və yerləşdirilə bilən bir əvəz yaratmaq məqsədi ilə hazırlanmışdır. Trafik ələ keçirmə komponentinin kodu C dilində yazılmışdır və interfeys Node.js/JavaScript-də həyata keçirilir. Mənbə kodu Apache 2.0 lisenziyası altında paylanır. Linux və FreeBSD-də işi dəstəkləyir. Arch, CentOS və Ubuntu üçün hazır paketlər hazırlanır.
Arkime, yerli PCAP formatında trafikin tutulması və indeksləşdirilməsi üçün alətləri ehtiva edir, həmçinin indeksləşdirilmiş məlumatlara sürətli çıxış üçün alətlər təqdim edir. PCAP formatının istifadəsi Wireshark kimi mövcud trafik analizatorları ilə inteqrasiyanı xeyli asanlaşdırır. Saxlanılan məlumatların həcmi yalnız mövcud disk massivinin ölçüsü ilə məhdudlaşır. Sessiya metadatası Elasticsearch mühərrikinə əsaslanan klasterdə indekslənir.
Yığılmış məlumatları təhlil etmək üçün naviqasiya, axtarış və nümunələri ixrac etməyə imkan verən veb interfeysi təklif olunur. Veb-interfeys bir neçə baxış rejimini təmin edir - ümumi statistika, əlaqə xəritələri və şəbəkə fəaliyyətindəki dəyişikliklər haqqında məlumatların olduğu vizual qrafiklərdən tutmuş fərdi sessiyaların öyrənilməsi, istifadə olunan protokollar kontekstində fəaliyyətin təhlili və PCAP zibillərindən məlumatların təhlili üçün alətlərə qədər. PCAP formatında tutulan paketlər və JSON formatında sökülən seanslar haqqında məlumatları üçüncü tərəf proqramlarına göndərməyə imkan verən API də təqdim olunur.
Arkime üç əsas komponentdən ibarətdir:
- Trafik ələ keçirmə sistemi trafikin monitorinqi, diskə PCAP formatında zibillərin yazılması, tutulan paketlərin təhlili və sessiyalar (SPI, Stateful paket yoxlaması) və protokollar haqqında metadataların Elasticsearch klasterinə göndərilməsi üçün çox yivli C proqramıdır. PCAP fayllarını şifrələnmiş formada saxlamaq mümkündür.
- Node.js platformasına əsaslanan veb interfeysi, hər bir trafik ələ keçirmə serverində işləyir və indeksləşdirilmiş məlumatlara daxil olmaq və API vasitəsilə PCAP fayllarının ötürülməsi ilə bağlı sorğuları emal edir.
- Elasticsearch-ə əsaslanan metadata saxlama.
Yeni buraxılışda:
- IETF QUIC, GENEVE, VXLAN-GPE protokolları üçün əlavə dəstək.
- VLAN-ların sayını 16 milyona çatdırmaq üçün VLAN teqlərini ikinci səviyyəli teqlərə daxil etməyə imkan verən Q-in-Q (Double VLAN) növü üçün əlavə dəstək.
- "Float" sahə növü üçün əlavə dəstək.
- Amazon Elastic Compute Cloud-da qeyd modulu IMDSv2 (Nümunə Metadata Xidməti) protokolundan istifadə etmək üçün çevrilmişdir.
- UDP tunelləri əlavə etmək üçün kod yenidən işlənib.
- elasticsearchAPIKey və elasticsearchBasicAuth üçün əlavə dəstək.
Mənbə: opennet.ru