En udgivelse af systemet til indsamling, lagring og indeksering af netværkspakker Arkime 3.1 er blevet udarbejdet, som giver værktøjer til visuel vurdering af trafikstrømme og søgning efter information relateret til netværksaktivitet. Projektet blev oprindeligt udviklet af AOL med det formål at skabe en åben og deployerbar erstatning for kommercielle netværkspakkebehandlingsplatforme, der er i stand til at skalere til at behandle trafik med hastigheder på titusvis af gigabits i sekundet. Trafikfangstkomponentkoden er skrevet i C, og grænsefladen er implementeret i Node.js/JavaScript. Kildekoden distribueres under Apache 2.0-licensen. Understøtter arbejde på Linux og FreeBSD. Der er klargjort færdige pakker til Arch, CentOS og Ubuntu.
Arkime inkluderer værktøjer til at fange og indeksere trafik i native PCAP-format og giver også værktøjer til hurtig adgang til indekserede data. Brugen af PCAP-formatet forenkler integrationen med eksisterende trafikanalysatorer som Wireshark. Mængden af lagrede data er kun begrænset af størrelsen af det tilgængelige diskarray. Sessionsmetadata indekseres i en klynge baseret på Elasticsearch-motoren.
For at analysere den akkumulerede information tilbydes en webgrænseflade, der giver dig mulighed for at navigere, søge og eksportere prøver. Webgrænsefladen giver flere visningstilstande - fra generel statistik, forbindelseskort og visuelle grafer med data om ændringer i netværksaktivitet til værktøjer til at studere individuelle sessioner, analyse af aktivitet i sammenhæng med de anvendte protokoller og parsing af data fra PCAP-dumps. Der leveres også en API, der giver dig mulighed for at sende data om optagne pakker i PCAP-format og adskilte sessioner i JSON-format til tredjepartsapplikationer.
Arkime består af tre grundlæggende komponenter:
- Trafikregistreringssystemet er en multi-threaded C-applikation til overvågning af trafik, skrivning af dumps i PCAP-format til disk, parsing af fangede pakker og afsendelse af metadata om sessioner (SPI, Stateful packet inspection) og protokoller til Elasticsearch-klyngen. Det er muligt at gemme PCAP-filer i krypteret form.
- En webgrænseflade baseret på Node.js-platformen, som kører på hver trafikfangstserver og behandler anmodninger relateret til adgang til indekserede data og overførsel af PCAP-filer via API'et.
- Metadatalagring baseret på Elasticsearch.
I den nye udgivelse:
- Tilføjet understøttelse af IETF QUIC, GENEVE, VXLAN-GPE protokoller.
- Tilføjet understøttelse af typen Q-in-Q (Double VLAN), som giver dig mulighed for at indkapsle VLAN-tags i tags på andet niveau for at udvide antallet af VLAN'er til 16 millioner.
- Tilføjet understøttelse af felttypen "float".
- Optagelsesmodulet i Amazon Elastic Compute Cloud er blevet konverteret til at bruge IMDSv2 (Instance Metadata Service) protokollen.
- Koden er blevet ændret for at tilføje UDP-tunneler.
- Tilføjet støtte til elasticsearchAPIKey og elasticsearchBasicAuth.
Kilde: opennet.ru