Pripremljeno je izdanje sistema za hvatanje, skladištenje i indeksiranje mrežnih paketa Arkime 3.1, koji pruža alate za vizuelnu procenu tokova saobraćaja i traženje informacija vezanih za mrežnu aktivnost. Projekt je prvobitno razvio AOL s ciljem stvaranja otvorene zamjene za komercijalne mrežne platforme za obradu paketa, sposobne za skaliranje za obradu prometa brzinom od desetina gigabita u sekundi. Kod komponente za hvatanje saobraćaja je napisan u C, a interfejs je implementiran u Node.js/JavaScript. Izvorni kod se distribuira pod licencom Apache 2.0. Podržava rad na Linuxu i FreeBSD-u. Gotovi paketi su pripremljeni za Arch, CentOS i Ubuntu.
Arkime uključuje alate za hvatanje i indeksiranje saobraćaja u izvornom PCAP formatu, a takođe pruža alate za brz pristup indeksiranim podacima. Upotreba PCAP formata uvelike pojednostavljuje integraciju sa postojećim analizatorima saobraćaja kao što je Wireshark. Količina pohranjenih podataka ograničena je samo veličinom dostupnog diskovnog niza. Metapodaci sesije se indeksiraju u klaster baziran na Elasticsearch engine-u.
Za analizu akumuliranih informacija, nudi se web sučelje koje vam omogućava navigaciju, pretraživanje i izvoz uzoraka. Web sučelje pruža nekoliko načina pregleda - od općih statistika, mapa veza i vizualnih grafova sa podacima o promjenama mrežne aktivnosti do alata za proučavanje pojedinačnih sesija, analize aktivnosti u kontekstu korištenih protokola i parsiranja podataka iz PCAP deponija. Takođe je obezbeđen API koji vam omogućava slanje podataka o uhvaćenim paketima u PCAP formatu i rastavljenim sesijama u JSON formatu aplikacijama trećih strana.
Arkime se sastoji od tri osnovne komponente:
- Sistem za hvatanje saobraćaja je višenitna C aplikacija za praćenje saobraćaja, pisanje dumpova u PCAP formatu na disk, raščlanjivanje uhvaćenih paketa i slanje metapodataka o sesijama (SPI, Stateful packet inspection) i protokola u Elasticsearch klaster. Moguće je pohraniti PCAP datoteke u šifriranom obliku.
- Web interfejs baziran na Node.js platformi, koji radi na svakom serveru za hvatanje saobraćaja i obrađuje zahteve koji se odnose na pristup indeksiranim podacima i prenos PCAP fajlova preko API-ja.
- Skladištenje metapodataka bazirano na Elasticsearch-u.
U novom izdanju:
- Dodata podrška za IETF QUIC, GENEVE, VXLAN-GPE protokole.
- Dodata podrška za tip Q-in-Q (Double VLAN), koji vam omogućava da inkapsulirate VLAN oznake u oznake drugog nivoa kako biste proširili broj VLAN-ova na 16 miliona.
- Dodata podrška za tip polja "float".
- Modul za snimanje u Amazon Elastic Compute Cloud je konvertovan da koristi IMDSv2 (Instance Metadata Service) protokol.
- Kod je refaktoriran za dodavanje UDP tunela.
- Dodata podrška za elasticsearchAPIKey i elasticsearchBasicAuth.
izvor: opennet.ru