Eldonaĵo de la sistemo de kaptado, stokado kaj indeksado de retpakaĵoj Arkime 3.1 estis preparita, kiu disponigas ilojn por vide taksi trafikfluojn kaj serĉi informojn rilate al reto-agado. La projekto estis origine evoluigita fare de AOL kun la celo krei malferman kaj gastigitan anstataŭaĵon por komercaj retpakaĵetaj pretigplatformoj kiuj povas grimpi por prilabori trafikon je rapidecoj de dekoj da gigabitoj je sekundo. La kodo de la trafikkapta komponento estas skribita en C, kaj la interfaco estas efektivigita en Node.js/JavaScript. La fontkodo estas distribuita sub la permesilo Apache 2.0. Laboro en Linukso kaj FreeBSD estas subtenata. Pretaj pakaĵoj estas pretaj por Arch, CentOS kaj Ubuntu.
Arkime inkluzivas ilojn por kapti kaj indeksi trafikon en denaska PCAP-formato, kaj ankaŭ provizas ilojn por rapida aliro al indeksitaj datumoj. Uzi la PCAP-formaton multe simpligas integriĝon kun ekzistantaj trafikanaliziloj kiel ekzemple Wireshark. La kvanto de stokitaj datumoj estas limigita nur de la grandeco de la disponebla disko-tabelo. Sesiaj metadatenoj estas indeksitaj en areto bazita sur la Elasticserĉilo.
Por analizi la amasigitajn informojn, oni proponas retinterfacon, kiu ebligas al vi navigi, serĉi kaj eksporti specimenojn. La TTT-interfaco disponigas plurajn rigardajn reĝimojn - de ĝeneralaj statistikoj, konektmapoj kaj vidaj grafikaĵoj kun datumoj pri ŝanĝoj en reto-agado ĝis iloj por studi individuajn sesiojn, analizi agadon en la kunteksto de la uzataj protokoloj kaj analizado de datumoj de PCAP-ruboj. API ankaŭ estas provizita, kiu permesas vin transdoni kaptitajn pakaĵojn en PCAP-formato kaj analizitajn sesiojn en JSON-formato al triapartaj aplikoj.
Arkime konsistas el tri bazaj komponentoj:
- La trafikkapta sistemo estas plurfadena C-aplikaĵo por monitorado de trafiko, skribado de PCAP-ruboj al disko, analizado de kaptitaj pakaĵetoj kaj sendado de ŝtata paka inspektado (SPI) kaj protokolmetadatenoj al Elasticsearch-areto. Eblas stoki PCAP-dosierojn en ĉifrita formo.
- Reta interfaco bazita sur la platformo Node.js, kiu funkcias sur ĉiu trafika kapta servilo kaj prilaboras petojn rilatajn al aliro al indeksitaj datumoj kaj translokado de PCAP-dosieroj per la API.
- Stokado de metadatenoj bazita sur Elasticsearch.
En la nova eldono:
- Aldonita subteno por IETF QUIC, GENEVE, VXLAN-GPE protokoloj.
- Aldonita subteno por la tipo Q-in-Q (Duobla VLAN), kiu permesas enkapsuligi VLAN-etikedojn en duanivelaj etikedoj por vastigi la nombron da VLANoj ĝis 16 milionoj.
- Aldonita subteno por la "float" kampotipo.
- La verkisto de Amazon Elastic Compute Cloud estis migrita por uzi la protokolon IMDSv2 (Instance Metadata Service).
- Kodo refactorigita por aldoni UDP-tunelojn.
- Aldonita subteno por elasticsearchAPIKey kaj elasticsearchBasicAuth.
fonto: opennet.ru