S'ha preparat un llançament del sistema de captura, emmagatzematge i indexació de paquets de xarxa Arkime 3.1, que ofereix eines per avaluar visualment els fluxos de trànsit i cercar informació relacionada amb l'activitat de la xarxa. El projecte va ser desenvolupat originalment per AOL amb l'objectiu de crear un substitut obert i desplegable per a plataformes comercials de processament de paquets de xarxa, capaç d'escalar per processar trànsit a velocitats de desenes de gigabits per segon. El codi del component de captura de trànsit està escrit en C i la interfície s'implementa a Node.js/JavaScript. El codi font es distribueix sota la llicència Apache 2.0. Admet el treball a Linux i FreeBSD. Els paquets preparats estan preparats per a Arch, CentOS i Ubuntu.
Arkime inclou eines per capturar i indexar trànsit en format PCAP natiu, i també ofereix eines per accedir ràpidament a les dades indexades. L'ús del format PCAP simplifica enormement la integració amb analitzadors de trànsit existents com Wireshark. El volum de dades emmagatzemades només està limitat per la mida de la matriu de discs disponible. Les metadades de la sessió s'indexen en un clúster basat en el motor de cerca Elastic.
Per analitzar la informació acumulada, s'ofereix una interfície web que permet navegar, cercar i exportar mostres. La interfície web ofereix diversos modes de visualització: des d'estadístiques generals, mapes de connexió i gràfics visuals amb dades sobre els canvis en l'activitat de la xarxa fins a eines per estudiar sessions individuals, analitzar l'activitat en el context dels protocols utilitzats i analitzar dades dels abocadors de PCAP. També es proporciona una API que us permet enviar dades sobre paquets capturats en format PCAP i sessions desmuntades en format JSON a aplicacions de tercers.
Arkime consta de tres components bàsics:
- El sistema de captura de trànsit és una aplicació C multifil per supervisar el trànsit, escriure bolcats en format PCAP al disc, analitzar paquets capturats i enviar metadades sobre sessions (SPI, inspecció de paquets amb estat) i protocols al clúster Elasticsearch. És possible emmagatzemar fitxers PCAP en forma xifrada.
- Una interfície web basada en la plataforma Node.js, que s'executa a cada servidor de captura de trànsit i processa les sol·licituds relacionades amb l'accés a dades indexades i la transferència de fitxers PCAP mitjançant l'API.
- Emmagatzematge de metadades basat en Elasticsearch.
A la nova versió:
- S'ha afegit suport per als protocols IETF QUIC, GENEVE, VXLAN-GPE.
- S'ha afegit suport per al tipus Q-in-Q (Double VLAN), que us permet encapsular etiquetes VLAN en etiquetes de segon nivell per ampliar el nombre de VLAN a 16 milions.
- S'ha afegit suport per al tipus de camp "float".
- El mòdul de gravació d'Amazon Elastic Compute Cloud s'ha convertit per utilitzar el protocol IMDSv2 (Instance Metadata Service).
- El codi s'ha refactoritzat per afegir túnels UDP.
- S'ha afegit compatibilitat amb elasticsearchAPIKey i elasticsearchBasicAuth.
Font: opennet.ru