Έχει ετοιμαστεί μια έκδοση του συστήματος για τη σύλληψη, αποθήκευση και ευρετηρίαση πακέτων δικτύου Arkime 3.1, παρέχοντας εργαλεία για την οπτική αξιολόγηση των ροών κυκλοφορίας και την αναζήτηση πληροφοριών που σχετίζονται με τη δραστηριότητα του δικτύου. Το έργο αναπτύχθηκε αρχικά από την AOL με στόχο τη δημιουργία ενός ανοικτού και αναπτυσσόμενου αντικαταστάτη για εμπορικές πλατφόρμες επεξεργασίας πακέτων δικτύου, ικανών να κλιμακώνονται για να επεξεργάζονται κίνηση με ταχύτητες δεκάδων gigabit ανά δευτερόλεπτο. Ο κώδικας του στοιχείου καταγραφής κίνησης είναι γραμμένος σε C και η διεπαφή υλοποιείται στο Node.js/JavaScript. Ο πηγαίος κώδικας διανέμεται με την άδεια Apache 2.0. Υποστηρίζει εργασία σε Linux και FreeBSD. Ετοιμάζονται έτοιμα πακέτα για Arch, CentOS και Ubuntu.
Το Arkime περιλαμβάνει εργαλεία για τη λήψη και την ευρετηρίαση της κυκλοφορίας σε εγγενή μορφή PCAP και παρέχει επίσης εργαλεία για γρήγορη πρόσβαση σε δεδομένα ευρετηρίου. Η χρήση της μορφής PCAP απλοποιεί σημαντικά την ενσωμάτωση με υπάρχοντες αναλυτές κυκλοφορίας όπως το Wireshark. Ο όγκος των αποθηκευμένων δεδομένων περιορίζεται μόνο από το μέγεθος της διαθέσιμης συστοιχίας δίσκων. Τα μεταδεδομένα περιόδου λειτουργίας ευρετηριάζονται σε ένα σύμπλεγμα που βασίζεται στη μηχανή Elasticsearch.
Για την ανάλυση των συσσωρευμένων πληροφοριών, προσφέρεται μια διεπαφή ιστού που σας επιτρέπει να πλοηγηθείτε, να αναζητήσετε και να εξάγετε δείγματα. Η διεπαφή ιστού παρέχει διάφορους τρόπους προβολής - από γενικά στατιστικά στοιχεία, χάρτες σύνδεσης και οπτικά γραφήματα με δεδομένα για αλλαγές στη δραστηριότητα του δικτύου έως εργαλεία για τη μελέτη μεμονωμένων περιόδων σύνδεσης, την ανάλυση δραστηριότητας στο πλαίσιο των πρωτοκόλλων που χρησιμοποιούνται και την ανάλυση δεδομένων από χωματερές PCAP. Παρέχεται επίσης ένα API που σας επιτρέπει να στέλνετε δεδομένα σχετικά με πακέτα που έχουν συλληφθεί σε μορφή PCAP και αποσυναρμολογημένες περιόδους λειτουργίας σε μορφή JSON σε εφαρμογές τρίτων.
Το Arkime αποτελείται από τρία βασικά στοιχεία:
- Το σύστημα καταγραφής κίνησης είναι μια εφαρμογή C πολλαπλών νημάτων για παρακολούθηση της κυκλοφορίας, εγγραφή dumps σε μορφή PCAP στο δίσκο, ανάλυση πακέτων που έχουν συλληφθεί και αποστολή μεταδεδομένων σχετικά με συνεδρίες (SPI, Stateful packet inspection) και πρωτόκολλα στο σύμπλεγμα Elasticsearch. Είναι δυνατή η αποθήκευση αρχείων PCAP σε κρυπτογραφημένη μορφή.
- Μια διεπαφή ιστού που βασίζεται στην πλατφόρμα Node.js, η οποία εκτελείται σε κάθε διακομιστή καταγραφής κίνησης και επεξεργάζεται αιτήματα που σχετίζονται με την πρόσβαση σε δεδομένα ευρετηρίου και τη μεταφορά αρχείων PCAP μέσω του API.
- Αποθήκευση μεταδεδομένων με βάση το Elasticsearch.
Στη νέα έκδοση:
- Προστέθηκε υποστήριξη για πρωτόκολλα IETF QUIC, GENEVE, VXLAN-GPE.
- Προστέθηκε υποστήριξη για τον τύπο Q-in-Q (Διπλό VLAN), που σας επιτρέπει να ενσωματώνετε ετικέτες VLAN σε ετικέτες δεύτερου επιπέδου για να επεκτείνετε τον αριθμό των VLAN σε 16 εκατομμύρια.
- Προστέθηκε υποστήριξη για τον τύπο πεδίου "float".
- Η μονάδα εγγραφής στο Amazon Elastic Compute Cloud έχει μετατραπεί ώστε να χρησιμοποιεί το πρωτόκολλο IMDSv2 (Instance Metadata Service).
- Ο κώδικας έχει ανακατασκευαστεί για να προστεθούν τούνελ UDP.
- Προστέθηκε υποστήριξη για elasticsearchAPIKey και elasticsearchBasicAuth.
Πηγή: opennet.ru