Arkime 3.1, et system til netværkspakkeindsamling, -lagring og -indeksering, er blevet udgivet. Det leverer værktøjer til visuel vurdering af trafikstrømme og søgning efter information relateret til netværksaktivitet. Projektet blev oprindeligt udviklet af AOL for at skabe en åben, implementerbar erstatning for kommercielle netværkspakkebehandlingsplatforme, der er i stand til at skalere til at håndtere trafik med hastigheder på tiere af gigabits per sekund. Trafikindsamlingskomponenten er skrevet i C, og grænsefladen er implementeret i Node.js/JavaScript. Kildekoden distribueres under Apache 2.0-licensen. Arbejdet understøttes i Linux og FreeBSD. Færdiglavede pakker er tilgængelige til Arch, CentOS и Ubuntu.
Arkime inkluderer værktøjer til at registrere og indeksere trafik i standard PCAP-formatet og tilbyder også værktøjer til hurtig adgang til indekserede data. Brugen af PCAP-formatet forenkler integrationen med eksisterende trafikanalysatorer, såsom Wireshark. Mængden af lagrede data er kun begrænset af størrelsen på det tilgængelige diskarray. Sessionsmetadata indekseres i en klynge baseret på Elasticsearch-motoren.
Der tilbydes en webgrænseflade til analyse af den akkumulerede information, hvilket muliggør navigation, søgning og eksport af prøver. Webgrænsefladen tilbyder adskillige visningstilstande - fra generel statistik, et forbindelseskort og visuelle grafer med data om ændringer i netværksaktivitet til værktøjer til at studere individuelle sessioner, analysere aktivitet i forhold til de anvendte protokoller og parse data fra PCAP-dumps. Der tilbydes også en API, der giver dig mulighed for at overføre data om optagne pakker i PCAP-format og parsede sessioner i JSON-format til tredjepartsapplikationer.
Arkime består af tre grundlæggende komponenter:
- Traffic Capture System er en multithreaded C-applikation til overvågning af trafik, skrivning af PCAP-dumps til disk, parsing af optagne pakker og afsendelse af sessionsmetadata (SPI, Stateful packet inspection) og protokoller til en Elasticsearch-klynge. Det er muligt at gemme PCAP-filer i krypteret form.
- En webgrænseflade baseret på Node.js-platformen, der kører på alle server trafikopsamling og behandler anmodninger relateret til adgang til indekserede data og overførsel af PCAP-filer via API.
- Metadatalagring baseret på Elasticsearch.
I den nye udgivelse:
- Tilføjet understøttelse af IETF QUIC-, GENEVE- og VXLAN-GPE-protokoller.
- Tilføjet understøttelse af Q-in-Q (Double VLAN) typen, som tillader indkapsling af VLAN-tags i tags på andet niveau for at udvide antallet af VLAN'er til 16 millioner.
- Tilføjet understøttelse af felttypen "float".
- Forfatteren i Amazon Elastic Compute Cloud er blevet migreret til at bruge IMDSv2-protokollen (Instance Metadata Service).
- Koden er blevet refaktoreret for at tilføje UDP-tunneller.
- Tilføjet understøttelse af elasticsearchAPIKey og elasticsearchBasicAuth.
Kilde: opennet.ru
