Mae datganiad o'r system ar gyfer dal, storio a mynegeio pecynnau rhwydwaith Arkime 3.1 wedi'i baratoi, gan ddarparu offer ar gyfer asesu llif traffig yn weledol a chwilio am wybodaeth yn ymwneud Γ’ gweithgaredd rhwydwaith. Datblygwyd y prosiect yn wreiddiol gan AOL gyda'r nod o greu llwyfan agored y gellir ei ddefnyddio yn lle llwyfannau prosesu pecynnau rhwydwaith masnachol, sy'n gallu graddio i brosesu traffig ar gyflymder o ddegau o gigabits yr eiliad. Mae cod y gydran dal traffig wedi'i ysgrifennu yn C, a gweithredir y rhyngwyneb yn Node.js/JavaScript. Mae'r cod ffynhonnell yn cael ei ddosbarthu o dan y drwydded Apache 2.0. Yn cefnogi gwaith ar Linux a FreeBSD. Paratoir pecynnau parod ar gyfer Arch, CentOS a Ubuntu.
Mae Arkime yn cynnwys offer ar gyfer dal a mynegeio traffig mewn fformat PCAP brodorol, ac mae hefyd yn darparu offer ar gyfer mynediad cyflym i ddata mynegeio. Mae'r defnydd o fformat PCAP yn symleiddio'r integreiddio Γ’ dadansoddwyr traffig presennol fel Wireshark yn fawr. Mae maint y data sydd wedi'i storio wedi'i gyfyngu gan faint yr arae disg sydd ar gael yn unig. Mae metadata sesiwn yn cael ei fynegeio mewn clwstwr yn seiliedig ar y peiriant Elasticsearch.
Er mwyn dadansoddi'r wybodaeth a gasglwyd, cynigir rhyngwyneb gwe sy'n eich galluogi i lywio, chwilio ac allforio samplau. Mae'r rhyngwyneb gwe yn darparu sawl dull gwylio - o ystadegau cyffredinol, mapiau cysylltiad a graffiau gweledol gyda data ar newidiadau mewn gweithgaredd rhwydwaith i offer ar gyfer astudio sesiynau unigol, dadansoddi gweithgaredd yng nghyd-destun y protocolau a ddefnyddir a dosrannu data o dympiau PCAP. Darperir API hefyd sy'n eich galluogi i anfon data am becynnau wedi'u dal mewn fformat PCAP a sesiynau wedi'u datgymalu yn fformat JSON i gymwysiadau trydydd parti.
Mae Arkime yn cynnwys tair cydran sylfaenol:
- Mae'r system dal traffig yn gymhwysiad C aml-edau ar gyfer monitro traffig, ysgrifennu tomenni mewn fformat PCAP i ddisg, dosrannu pecynnau wedi'u dal ac anfon metadata am sesiynau (SPI, archwiliad pecynnau Stateful) a phrotocolau i'r clwstwr Elasticsearch. Mae'n bosibl storio ffeiliau PCAP ar ffurf wedi'i hamgryptio.
- Rhyngwyneb gwe yn seiliedig ar lwyfan Node.js, sy'n rhedeg ar bob gweinydd dal traffig ac yn prosesu ceisiadau sy'n ymwneud Γ’ chael mynediad at ddata mynegeio a throsglwyddo ffeiliau PCAP trwy'r API.
- Storio metadata yn seiliedig ar Elasticsearch.
Yn y datganiad newydd:
- Cefnogaeth ychwanegol ar gyfer protocolau IETF QUIC, GENEVE, VXLAN-GPE.
- Cefnogaeth ychwanegol ar gyfer y math Q-in-Q (VLAN Dwbl), sy'n eich galluogi i grynhoi tagiau VLAN mewn tagiau ail lefel i ehangu nifer y VLANs i 16 miliwn.
- Ychwanegwyd cefnogaeth ar gyfer y math maes βarnofioβ.
- Mae'r modiwl recordio yn Amazon Elastic Compute Cloud wedi'i drawsnewid i ddefnyddio'r protocol IMDSv2 (Instance Metadata Service).
- Mae'r cod wedi'i ail-ffactorio i ychwanegu twneli CDU.
- Cefnogaeth ychwanegol ar gyfer elasticsearchAPIKey ac elasticsearchBasicAuth.
Ffynhonnell: opennet.ru