Byla připravena verze systému pro zachycování, ukládání a indexování síťových paketů Arkime 3.1, poskytující nástroje pro vizuální vyhodnocování toků provozu a vyhledávání informací souvisejících se síťovou aktivitou. Projekt byl původně vyvinut společností AOL s cílem vytvořit otevřenou a nasaditelnou náhradu za komerční síťové platformy pro zpracování paketů, schopné škálování pro zpracování provozu rychlostí desítek gigabitů za sekundu. Kód komponenty pro zachycení provozu je napsán v jazyce C a rozhraní je implementováno v Node.js/JavaScript. Zdrojový kód je distribuován pod licencí Apache 2.0. Podporuje práci na Linuxu a FreeBSD. Pro Arch, CentOS a Ubuntu jsou připraveny hotové balíčky.
Arkime obsahuje nástroje pro zachycování a indexování provozu v nativním formátu PCAP a poskytuje také nástroje pro rychlý přístup k indexovaným datům. Použití formátu PCAP výrazně zjednodušuje integraci se stávajícími analyzátory provozu, jako je Wireshark. Objem uložených dat je omezen pouze velikostí dostupného diskového pole. Metadata relace jsou indexována v clusteru založeném na nástroji Elasticsearch.
Pro analýzu nashromážděných informací se nabízí webové rozhraní, které umožňuje navigaci, vyhledávání a export vzorků. Webové rozhraní poskytuje několik režimů zobrazení - od obecných statistik, map připojení a vizuálních grafů s daty o změnách aktivity sítě až po nástroje pro studium jednotlivých relací, analýzu aktivity v kontextu použitých protokolů a parsování dat z PCAP výpisů. K dispozici je také rozhraní API, které umožňuje odesílat data o zachycených paketech ve formátu PCAP a rozebraných relacích ve formátu JSON aplikacím třetích stran.
Arkime se skládá ze tří základních složek:
- Systém zachycování provozu je vícevláknová C aplikace pro monitorování provozu, zapisování výpisů ve formátu PCAP na disk, analýzu zachycených paketů a odesílání metadat o relacích (SPI, Stateful packet inspection) a protokolech do clusteru Elasticsearch. Soubory PCAP je možné ukládat v zašifrované podobě.
- Webové rozhraní založené na platformě Node.js, které běží na každém serveru pro zachycení provozu a zpracovává požadavky související s přístupem k indexovaným datům a přenosem souborů PCAP přes API.
- Ukládání metadat založené na Elasticsearch.
V novém vydání:
- Přidána podpora protokolů IETF QUIC, GENEVE, VXLAN-GPE.
- Přidána podpora pro typ Q-in-Q (Double VLAN), který umožňuje zapouzdřit značky VLAN do značek druhé úrovně a rozšířit tak počet VLAN na 16 milionů.
- Přidána podpora pro typ pole „float“.
- Záznamový modul v Amazon Elastic Compute Cloud byl převeden na protokol IMDSv2 (Instance Metadata Service).
- Kód byl přepracován tak, aby přidal tunely UDP.
- Přidána podpora pro elasticsearchAPIKey a elasticsearchBasicAuth.
Zdroj: opennet.ru