Una versione di u sistema per catturà, almacenà è indexà i pacchetti di rete Arkime 3.1 hè stata preparata, chì furnisce strumenti per a valutazione visuale di i flussi di trafficu è a ricerca di l'infurmazioni relative à l'attività di a rete. U prugettu hè statu inizialmente sviluppatu da AOL cù u scopu di creà un rimpiazzamentu apertu è dispiegabile per e plataforme di trasfurmazioni di pacchetti di rete cummerciale, capaci di scalà per processà u trafficu à velocità di decine di gigabits per seconda. U codice di cumpunenti di cattura di trafficu hè scrittu in C, è l'interfaccia hè implementata in Node.js/JavaScript. U codice fonte hè distribuitu sottu a licenza Apache 2.0. Supporta u travagliu in Linux è FreeBSD. I pacchetti pronti sò preparati per Arch, CentOS è Ubuntu.
Arkime include strumenti per catturà è indexà u trafficu in u formatu nativu PCAP, è furnisce ancu strumenti per un accessu rapidu à e dati indexati. L'usu di u formatu PCAP simplifica assai l'integrazione cù l'analizatori di trafficu esistenti cum'è Wireshark. U voluminu di dati almacenati hè limitatu solu da a dimensione di l'array di discu dispunibule. I metadati di a sessione sò indexati in un cluster basatu annantu à u mutore di ricerca Elastic.
Per analizà l'infurmazioni accumulate, hè offerta una interfaccia web chì vi permette di navigà, di ricerca è di esporà campioni. L'interfaccia web furnisce parechji modi di visualizazione - da statistiche generale, carte di cunnessione è grafici visuali cù dati nantu à i cambiamenti in l'attività di a rete à l'arnesi per studià e sessioni individuali, analizà l'attività in u cuntestu di i protokolli utilizati è analizà e dati da i dumps PCAP. Una API hè ancu furnita chì permette di mandà dati nantu à i pacchetti catturati in formatu PCAP è sessioni disassemblate in formatu JSON à applicazioni di terzu.
Arkime hè custituitu di trè cumpunenti basi:
- U sistema di cattura di u trafficu hè una applicazione C multi-threaded per u seguimentu di u trafficu, scrive dumps in formatu PCAP à u discu, analizà i pacchetti catturati è mandà metadati nantu à e sessioni (SPI, Stateful packet inspection) è protokolli à u cluster Elasticsearch. Hè pussibule almacenà i schedari PCAP in forma criptata.
- Una interfaccia web basata nantu à a piattaforma Node.js, chì corre nantu à ogni servitore di cattura di trafficu è processa e dumande relative à l'accessu à i dati indexati è u trasferimentu di schedari PCAP via l'API.
- U almacenamentu di metadati basatu annantu à Elasticsearch.
In a nova versione:
- Supportu aghjuntu per i protokolli IETF QUIC, GENEVE, VXLAN-GPE.
- Aghjunghje supportu per u tipu Q-in-Q (Double VLAN), chì vi permette di incapsulà tag VLAN in tags di u sicondu livellu per espansione u numeru di VLAN à 16 milioni.
- Aghjunghje supportu per u tipu di campu "float".
- U modulu di registrazione in Amazon Elastic Compute Cloud hè statu cunvertitu per utilizà u protocolu IMDSv2 (Instance Metadata Service).
- U codice hè statu refactored per aghjunghje tunnel UDP.
- Aggiuntu supportu per elasticsearchAPIKey è elasticsearchBasicAuth.
Source: opennet.ru