Κυκλοφόρησε το Arkime 3.1, ένα σύστημα καταγραφής, αποθήκευσης και δημιουργίας ευρετηρίου πακέτων δικτύου. Παρέχει εργαλεία για την οπτική αξιολόγηση των ροών κυκλοφορίας και την αναζήτηση πληροφοριών που σχετίζονται με τη δραστηριότητα δικτύου. Το έργο αναπτύχθηκε αρχικά από την AOL για να δημιουργήσει μια ανοιχτή, αναπτυσσόμενη αντικατάσταση για εμπορικές πλατφόρμες επεξεργασίας πακέτων δικτύου, ικανές να κλιμακωθούν για να χειριστούν την κυκλοφορία με ταχύτητες δεκάδων gigabit ανά δευτερόλεπτο. Το στοιχείο καταγραφής κυκλοφορίας είναι γραμμένο σε C και η διεπαφή υλοποιείται σε Node.js/JavaScript. Ο πηγαίος κώδικας διανέμεται με την άδεια Apache 2.0. Η εργασία υποστηρίζεται σε Linux και FreeBSD. Διατίθενται έτοιμα πακέτα για το Arch, CentOS и Ubuntu.
Το Arkime περιλαμβάνει εργαλεία για την καταγραφή και την ευρετηρίαση της επισκεψιμότητας στην τυπική μορφή PCAP και παρέχει επίσης εργαλεία για γρήγορη πρόσβαση σε δεδομένα που έχουν καταχωρηθεί σε ευρετήριο. Η χρήση της μορφής PCAP απλοποιεί σημαντικά την ενσωμάτωση με υπάρχοντες αναλυτές επισκεψιμότητας, όπως το Wireshark. Ο όγκος των αποθηκευμένων δεδομένων περιορίζεται μόνο από το μέγεθος του διαθέσιμου πίνακα δίσκων. Τα μεταδεδομένα περιόδου σύνδεσης ευρετηριάζονται σε ένα σύμπλεγμα που βασίζεται στη μηχανή Elasticsearch.
Προσφέρεται μια διεπαφή ιστού για την ανάλυση των συσσωρευμένων πληροφοριών, επιτρέποντας την πλοήγηση, την αναζήτηση και την εξαγωγή δειγμάτων. Η διεπαφή ιστού παρέχει διάφορες λειτουργίες προβολής — από γενικά στατιστικά στοιχεία, έναν χάρτη σύνδεσης και οπτικά γραφήματα με δεδομένα σχετικά με τις αλλαγές στη δραστηριότητα δικτύου έως εργαλεία για τη μελέτη μεμονωμένων συνεδριών, την ανάλυση της δραστηριότητας με βάση τα χρησιμοποιούμενα πρωτόκολλα και την ανάλυση δεδομένων από αρχεία PCAP. Παρέχεται επίσης ένα API που σας επιτρέπει να μεταφέρετε δεδομένα σε καταγεγραμμένα πακέτα σε μορφή PCAP και σε αναλυμένες συνεδρίες σε μορφή JSON σε εφαρμογές τρίτων.
Το Arkime αποτελείται από τρία βασικά στοιχεία:
- Το Traffic Capture System είναι μια εφαρμογή C πολλαπλών νημάτων για την παρακολούθηση της κυκλοφορίας, την εγγραφή δεδομένων PCAP σε δίσκο, την ανάλυση καταγεγραμμένων πακέτων και την αποστολή μεταδεδομένων περιόδου σύνδεσης (SPI, Stateful packet inspection) και πρωτοκόλλων σε ένα σύμπλεγμα Elasticsearch. Είναι δυνατή η αποθήκευση κρυπτογραφημένων αρχείων PCAP.
- Μια διεπαφή ιστού βασισμένη στην πλατφόρμα Node.js που εκτελείται σε κάθε υπηρέτης καταγραφή επισκεψιμότητας και επεξεργασία αιτημάτων που σχετίζονται με την πρόσβαση σε δεδομένα από ευρετήριο και τη μεταφορά αρχείων PCAP μέσω API.
- Αποθήκευση μεταδεδομένων με βάση το Elasticsearch.
Στη νέα έκδοση:
- Προστέθηκε υποστήριξη για πρωτόκολλα IETF QUIC, GENEVE, VXLAN-GPE.
- Προστέθηκε υποστήριξη για τον τύπο Q-in-Q (Double VLAN), ο οποίος επιτρέπει την ενθυλάκωση ετικετών VLAN σε ετικέτες δεύτερου επιπέδου για την επέκταση του αριθμού των VLAN σε 16 εκατομμύρια.
- Προστέθηκε υποστήριξη για τον τύπο πεδίου "float".
- Το πρόγραμμα εγγραφής στο Amazon Elastic Compute Cloud έχει μετεγκατασταθεί για να χρησιμοποιεί το πρωτόκολλο IMDSv2 (Υπηρεσία Μεταδεδομένων Παρουσίας).
- Ο κώδικας έχει αναδιαμορφωθεί για να προσθέσει σήραγγες UDP.
- Προστέθηκε υποστήριξη για τα elasticsearchAPIKey και elasticsearchBasicAuth.
Πηγή: opennet.ru
