Arkime 3.1, un sistema di cattura, almacenamentu è indicizazione di pacchetti di rete, hè statu publicatu. Fornisce strumenti per valutà visivamente i flussi di trafficu è circà informazioni relative à l'attività di rete. U prugettu hè statu sviluppatu inizialmente da AOL per creà un rimpiazzamentu apertu è implementabile per e piattaforme di trasfurmazione di pacchetti di rete cummerciali capaci di scalà per gestisce u trafficu à velocità di decine di gigabit per seconda. U cumpunente di cattura di trafficu hè scrittu in C, è l'interfaccia hè implementata in Node.js/JavaScript. U codice surghjente hè distribuitu sottu a licenza Apache 2.0. U travagliu hè supportatu in Linux è FreeBSD. Pacchetti pronti sò dispunibili per Arch, CentOS и Ubuntu.
Arkime include strumenti per catturà è indexà u trafficu in u formatu nativu PCAP, è furnisce ancu strumenti per un accessu rapidu à e dati indexati. L'usu di u formatu PCAP simplifica assai l'integrazione cù l'analizatori di trafficu esistenti cum'è Wireshark. U voluminu di dati almacenati hè limitatu solu da a dimensione di l'array di discu dispunibule. I metadati di a sessione sò indexati in un cluster basatu annantu à u mutore di ricerca Elastic.
Per analizà l'infurmazioni accumulate, hè offerta una interfaccia web chì vi permette di navigà, di ricerca è di esporà campioni. L'interfaccia web furnisce parechji modi di visualizazione - da statistiche generale, carte di cunnessione è grafici visuali cù dati nantu à i cambiamenti in l'attività di a rete à l'arnesi per studià e sessioni individuali, analizà l'attività in u cuntestu di i protokolli utilizati è analizà e dati da i dumps PCAP. Una API hè ancu furnita chì permette di mandà dati nantu à i pacchetti catturati in formatu PCAP è sessioni disassemblate in formatu JSON à applicazioni di terzu.
Arkime hè custituitu di trè cumpunenti basi:
- U sistema di cattura di u trafficu hè una applicazione C multi-threaded per u seguimentu di u trafficu, scrive dumps in formatu PCAP à u discu, analizà i pacchetti catturati è mandà metadati nantu à e sessioni (SPI, Stateful packet inspection) è protokolli à u cluster Elasticsearch. Hè pussibule almacenà i schedari PCAP in forma criptata.
- Un'interfaccia web basata annantu à a piattaforma Node.js chì funziona nantu à ogni servitore cattura di trafficu è processa e richieste relative à l'accessu à i dati indicizzati è u trasferimentu di fugliali PCAP via API.
- U almacenamentu di metadati basatu annantu à Elasticsearch.
In a nova versione:
- Supportu aghjuntu per i protokolli IETF QUIC, GENEVE, VXLAN-GPE.
- Aghjunghje supportu per u tipu Q-in-Q (Double VLAN), chì vi permette di incapsulà tag VLAN in tags di u sicondu livellu per espansione u numeru di VLAN à 16 milioni.
- Aghjunghje supportu per u tipu di campu "float".
- U modulu di registrazione in Amazon Elastic Compute Cloud hè statu cunvertitu per utilizà u protocolu IMDSv2 (Instance Metadata Service).
- U codice hè statu refactored per aghjunghje tunnel UDP.
- Aggiuntu supportu per elasticsearchAPIKey è elasticsearchBasicAuth.
Source: opennet.ru
