Se ha preparado una versión del sistema para capturar, almacenar e indexar paquetes de red Arkime 3.1, que proporciona herramientas para evaluar visualmente los flujos de tráfico y buscar información relacionada con la actividad de la red. El proyecto fue desarrollado originalmente por AOL con el objetivo de crear un reemplazo abierto y desplegable para plataformas de procesamiento de paquetes de redes comerciales, capaz de escalar para procesar tráfico a velocidades de decenas de gigabits por segundo. El código del componente de captura de tráfico está escrito en C y la interfaz está implementada en Node.js/JavaScript. El código fuente se distribuye bajo la licencia Apache 2.0. Admite trabajo en Linux y FreeBSD. Se preparan paquetes listos para usar para Arch, CentOS y Ubuntu.
Arkime incluye herramientas para capturar e indexar tráfico en formato PCAP nativo y también proporciona herramientas para un acceso rápido a datos indexados. El uso del formato PCAP simplifica enormemente la integración con analizadores de tráfico existentes como Wireshark. El volumen de datos almacenados está limitado únicamente por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se indexan en un clúster basado en el motor Elasticsearch.
Para analizar la información acumulada se ofrece una interfaz web que permite navegar, buscar y exportar muestras. La interfaz web ofrece varios modos de visualización, desde estadísticas generales, mapas de conexión y gráficos visuales con datos sobre cambios en la actividad de la red hasta herramientas para estudiar sesiones individuales, analizar la actividad en el contexto de los protocolos utilizados y analizar datos de volcados PCAP. También se proporciona una API que le permite enviar datos sobre paquetes capturados en formato PCAP y sesiones desensambladas en formato JSON a aplicaciones de terceros.
Arkime consta de tres componentes básicos:
- El sistema de captura de tráfico es una aplicación C multiproceso para monitorear el tráfico, escribir volcados en formato PCAP en el disco, analizar paquetes capturados y enviar metadatos sobre sesiones (SPI, inspección de paquetes con estado) y protocolos al clúster Elasticsearch. Es posible almacenar archivos PCAP en forma cifrada.
- Una interfaz web basada en la plataforma Node.js, que se ejecuta en cada servidor de captura de tráfico y procesa solicitudes relacionadas con el acceso a datos indexados y la transferencia de archivos PCAP a través de la API.
- Almacenamiento de metadatos basado en Elasticsearch.
En el nuevo lanzamiento:
- Se agregó soporte para los protocolos IETF QUIC, GENEVE, VXLAN-GPE.
- Se agregó soporte para el tipo Q-in-Q (Doble VLAN), que le permite encapsular etiquetas VLAN en etiquetas de segundo nivel para expandir la cantidad de VLAN a 16 millones.
- Se agregó soporte para el tipo de campo "flotante".
- El módulo de grabación de Amazon Elastic Compute Cloud se ha convertido para utilizar el protocolo IMDSv2 (Instance Metadata Service).
- El código ha sido refactorizado para agregar túneles UDP.
- Se agregó soporte para elasticsearchAPIKey y elasticsearchBasicAuth.
Fuente: opennet.ru