Valminud on võrgupakettide hõivamise, salvestamise ja indekseerimise süsteemi Arkime 3.1 väljalase, mis pakub tööriistu liiklusvoogude visuaalseks hindamiseks ja võrgutegevusega seotud info otsimiseks. Projekti töötas algselt välja AOL eesmärgiga luua avatud ja juurutav asendus kommertsvõrgu pakettide töötlemise platvormidele, mis on suutelised töötlema liiklust kiirusega kümneid gigabitte sekundis. Liiklushõive komponendi kood on kirjutatud C-keeles ja liides on realiseeritud keeles Node.js/JavaScript. Lähtekoodi levitatakse Apache 2.0 litsentsi all. Toetab tööd Linuxis ja FreeBSD-s. Valmis paketid on ette valmistatud Arch, CentOS ja Ubuntu jaoks.
Arkime sisaldab tööriistu liikluse hõivamiseks ja indekseerimiseks natiivses PCAP-vormingus ning pakub ka tööriistu kiireks juurdepääsuks indekseeritud andmetele. PCAP-vormingu kasutamine lihtsustab oluliselt integreerimist olemasolevate liiklusanalüsaatoritega, nagu Wireshark. Salvestatud andmete mahtu piirab ainult saadaoleva kettamassiivi suurus. Seansi metaandmed indekseeritakse Elasticsearchi mootoril põhinevas klastris.
Kogunenud teabe analüüsimiseks pakutakse veebiliidest, mis võimaldab navigeerida, otsida ja eksportida näidiseid. Veebiliides pakub mitmeid vaatamisrežiime – alates üldisest statistikast, ühenduskaartidest ja visuaalsetest graafikutest võrgutegevuse muutuste andmetega kuni tööriistadeni üksikute seansside uurimiseks, aktiivsuse analüüsimiseks kasutatavate protokollide kontekstis ja andmete sõelumiseks PCAP-i prügimägedest. Samuti on saadaval API, mis võimaldab saata andmeid PCAP-vormingus jäädvustatud pakettide ja JSON-vormingus lahti võetud seansside kohta kolmandate osapoolte rakendustele.
Arkime koosneb kolmest põhikomponendist:
- Liiklushõivesüsteem on mitme lõimega C-rakendus liikluse jälgimiseks, PCAP-vormingus tõmmiste kettale kirjutamiseks, jäädvustatud pakettide sõelumiseks ning seansside metaandmete (SPI, Stateful pakettide kontroll) ja protokollide saatmiseks Elasticsearchi klastrisse. PCAP-faile on võimalik salvestada krüpteeritud kujul.
- Node.js platvormil põhinev veebiliides, mis töötab igas liiklushõiveserveris ja töötleb päringuid, mis on seotud indekseeritud andmetele juurdepääsu ja PCAP-failide edastamisega API kaudu.
- Elasticsearchil põhinev metaandmete salvestamine.
Uues väljaandes:
- Lisatud IETF QUIC, GENEVE, VXLAN-GPE protokollide tugi.
- Lisatud on toetus Q-in-Q (double VLAN) tüübile, mis võimaldab kapseldada VLAN-i sildid teise taseme siltidesse, et suurendada VLAN-ide arvu 16 miljonini.
- Lisatud tugi väljatüübile "ujumine".
- Amazon Elastic Compute Cloudi salvestusmoodul on teisendatud kasutama IMDSv2 (Instance Metadata Service) protokolli.
- Kood on ümber kujundatud, et lisada UDP tunnelid.
- Lisatud tugi elasticsearchAPIKey ja elasticsearchBasicAuth jaoks.
Allikas: opennet.ru