Падрыхтаваны рэліз сістэмы для захопу, захоўванні і індэксацыі сеткавых пакетаў Arkime 3.1, якая прадстаўляе прылады для нагляднай адзнакі струменяў трафіку і пошуку інфармацыі, звязанай з сеткавай актыўнасцю. Першапачаткова праект быў распрацаваны кампаніяй AOL з мэтай стварэння адчыненай і разгортванай на сваіх серверах замены камерцыйным платформам апрацоўкі сеткавых пакетаў, здольнай маштабавацца для апрацоўкі трафіку на хуткасцях у дзясяткі гігабіт у секунду. Код кампанента для захопу трафіку напісаны на мове Сі, а інтэрфейс рэалізаваны на Node.js/JavaScript. Зыходныя тэксты распаўсюджваецца пад ліцэнзіяй Apache 2.0. Падтрымліваецца праца ў Linux і FreeBSD. Гатовыя пакеты падрыхтаваны для Arch, CentOS і Ubuntu.
Arkime уключае прылады для захопу і індэксацыі трафіку ў штатным фармаце PCAP, а таксама падае сродкі для хуткага доступу да праіндэксаваных дадзеных. Ужыванне фармату PCAP істотна спрашчае інтэграцыю з існуючымі аналізатарамі трафіку, такімі як Wireshark. Аб'ём захоўваемых дадзеных абмяжоўваецца толькі памерам наяўнага дыскавага масіва. Метададзеныя аб сеансах індэксуюцца ў кластары на базе рухавічка Elasticsearch.
Для аналізу назапашанай інфармацыі прапануецца web-інтэрфейс, які дазваляе выконваць навігацыю, пошук і экспарт выбарак. У web-інтэрфейсе прадугледжана некалькі рэжымаў прагляду - ад агульнай статыстыкі, карты злучэнняў і наглядных графікаў з дадзенымі аб змене сеткавай актыўнасці да інструментаў для вывучэння асобных сеансаў, аналізу актыўнасці ў разрэзе выкарыстоўваных пратаколаў і разбору дадзеных з PCAP-дампаў. Таксама падаецца API, які дазваляе перадаваць у іншыя прыкладанні дадзеныя аб захопленых пакетах у фармаце PCAP і разабраных сеансах у фармаце JSON.
Arkime складаецца з трох базавых кампанентаў:
- Сістэма захопу трафіку – шматструменнае прыкладанне на мове Сі для маніторынгу трафіку, запісы дампаў у фармаце PCAP на дыск, разбору захопленых пакетаў і адпраўкі метададзеных аб сеансах (SPI, Stateful packet inspection) і пратаколах у кластар Elasticsearch. Магчыма захоўванне PCAP-файлаў у зашыфраваным выглядзе.
- Web-інтэрфейс на базе платформы Node.js, які запускаецца на кожным серверы захопу трафіку і апрацоўвае запыты, звязаныя з доступам да праіндэксаваных дадзеных і перадачай PCAP-файлаў праз API.
- Сховішча метададзеных на базе Elasticsearch.
У новым выпуску:
- Дададзена падтрымка пратаколаў IETF QUIC, GENEVE, VXLAN-GPE.
- Дададзена падтрымка тыпу Q-in-Q (Double VLAN), які дазваляе інкапсуляваць тэгі VLAN у тэгі другога ўзроўня для пашырэння ліку VLAN-аў да 16 млн.
- Дададзена падтрымка тыпу палёў «float».
- Модуль запісу ў Amazon Elastic Compute Cloud пераведзены на выкарыстанне пратаколу IMDSv2 (Instance Metadata Service).
- Праведзены рэфактарынг кода для дадання UDP-тунэляў.
- Дададзена падтрымка elasticsearchAPIKey і elasticsearchBasicAuth.
Крыніца: opennet.ru