Usa ka pagpagawas sa sistema alang sa pagkuha, pagtipig ug pag-indeks sa mga pakete sa network nga Arkime 3.1 giandam, nga naghatag mga himan alang sa biswal nga pagsusi sa mga dagan sa trapiko ug pagpangita alang sa kasayuran nga may kalabotan sa kalihokan sa network. Ang proyekto orihinal nga gimugna sa AOL uban ang tumong sa paghimo sa usa ka bukas ug ma-deploy nga kapuli alang sa komersyal nga network packet processing platforms, nga makahimo sa pag-scale sa pagproseso sa trapiko sa gikusgon nga napulo ka gigabits kada segundo. Ang traffic capture component code gisulat sa C, ug ang interface kay gipatuman sa Node.js/JavaScript. Ang source code giapod-apod ubos sa Apache 2.0 nga lisensya. Nagsuporta sa trabaho sa Linux ug FreeBSD. Ang mga andam nga mga pakete giandam alang sa Arch, CentOS ug Ubuntu.
Ang Arkime naglakip sa mga himan alang sa pagkuha ug pag-indeks sa trapiko sa lumad nga PCAP format, ug naghatag usab og mga himan alang sa dali nga pag-access sa na-index nga datos. Ang paggamit sa pormat sa PCAP nagpayano pag-ayo sa integrasyon sa kasamtangang traffic analyzer sama sa Wireshark. Ang gidaghanon sa gitipigan nga datos limitado lamang sa gidak-on sa anaa nga disk array. Ang metadata sa sesyon gi-index sa usa ka cluster base sa Elasticsearch engine.
Aron ma-analisar ang natipon nga impormasyon, gitanyag ang usa ka web interface nga nagtugot kanimo sa pag-navigate, pagpangita ug pag-eksport sa mga sampol. Naghatag ang web interface og daghang mga mode sa pagtan-aw - gikan sa kinatibuk-ang estadistika, mga mapa sa koneksyon ug mga visual graph nga adunay mga datos sa mga pagbag-o sa kalihokan sa network hangtod sa mga himan alang sa pagtuon sa indibidwal nga mga sesyon, pag-analisar sa kalihokan sa konteksto sa mga protocol nga gigamit ug pag-parse sa datos gikan sa mga dump sa PCAP. Gihatag usab ang usa ka API nga nagtugot kanimo nga magpadala mga datos bahin sa nakuha nga mga pakete sa pormat sa PCAP ug gibungkag nga mga sesyon sa format nga JSON sa mga aplikasyon sa ikatulo nga partido.
Ang Arkime naglangkob sa tulo ka nag-unang mga sangkap:
- Ang traffic capture system usa ka multi-threaded C nga aplikasyon para sa pagmonitor sa trapiko, pagsulat sa mga dump sa PCAP format ngadto sa disk, pag-parse sa mga nakuhang packet ug pagpadala sa metadata mahitungod sa mga sesyon (SPI, Stateful packet inspection) ug mga protocol sa Elasticsearch cluster. Posible ang pagtipig sa mga file sa PCAP sa naka-encrypt nga porma.
- Usa ka web interface nga gibase sa Node.js nga plataporma, nga nagdagan sa matag traffic capture server ug nagproseso sa mga hangyo nga may kalabutan sa pag-access sa na-index nga datos ug pagbalhin sa mga file sa PCAP pinaagi sa API.
- Ang pagtipig sa metadata base sa Elasticsearch.
Sa bag-ong pagpagawas:
- Gidugang nga suporta alang sa IETF QUIC, GENEVE, VXLAN-GPE nga mga protocol.
- Gidugang nga suporta alang sa tipo nga Q-in-Q (Double VLAN), nga nagtugot kanimo sa pag-encapsulate sa mga tag sa VLAN sa mga tag sa ikaduha nga lebel aron mapalapad ang gidaghanon sa mga VLAN sa 16 milyon.
- Gidugang nga suporta alang sa "float" field type.
- Ang module sa pagrekord sa Amazon Elastic Compute Cloud nakabig aron magamit ang protocol sa IMDSv2 (Instance Metadata Service).
- Ang code gi-refactor aron idugang ang mga tunnel sa UDP.
- Gidugang nga suporta alang sa elasticsearchAPIKEy ug elasticsearchBasicAuth.
Source: opennet.ru