Arkime 3.1 sare-paketeak atzemateko, gordetzeko eta indexatzeko sistemaren bertsioa prestatu da, trafiko-fluxuak bisualki ebaluatzeko eta sareko jarduerarekin lotutako informazioa bilatzeko tresnak eskainiz. Proiektua jatorriz AOLek garatu zuen sare komertzialen paketeak prozesatzeko plataformen ordezko ireki eta hedagarri bat sortzeko helburuarekin, trafikoa segundoko hamarnaka gigabit-eko abiaduran prozesatzeko eskalatzeko gai dena. Trafikoa harrapatzeko osagaiaren kodea C-n idatzita dago eta interfazea Node.js/JavaScript-en inplementatzen da. Iturburu kodea Apache 2.0 lizentziapean banatzen da. Linux eta FreeBSD-en lana onartzen du. Prestatutako paketeak Arch, CentOS eta Ubunturako prestatuta daude.
Arkime-k trafikoa berezko PCAP formatuan atzemateko eta indexatzeko tresnak biltzen ditu, eta indexatutako datuetara azkar sartzeko tresnak ere eskaintzen ditu. PCAP formatua erabiltzeak asko errazten du lehendik dauden trafiko analizatzaileekin integratzea, hala nola Wireshark. Biltegiratutako datuen bolumena eskuragarri dagoen disko-matrizearen tamainak soilik mugatzen du. Saioen metadatuak Elasticsearch engine oinarritutako kluster batean indexatzen dira.
Metatutako informazioa aztertzeko, laginak nabigatzeko, bilatu eta esportatzeko aukera ematen duen web interfaze bat eskaintzen da. Web-interfazeak hainbat ikusteko modu eskaintzen ditu: estatistika orokorrak, konexio-mapak eta sareko jarduera-aldaketei buruzko datuak dituzten grafiko bisualetatik, saio indibidualak aztertzeko tresnak, erabilitako protokoloen testuinguruan jarduera aztertzeko eta PCAP-eko zabortegietako datuak analizatzeko. Hartutako paketeei buruzko datuak PCAP formatuan eta JSON formatuan desmuntatutako saioei buruzko datuak hirugarrenen aplikazioetara bidaltzeko aukera ematen duen API bat ere eskaintzen da.
Arkime oinarrizko hiru osagai ditu:
- Trafikoa harrapatzeko sistema hari anitzeko C aplikazio bat da trafikoa monitorizatzeko, PCAP formatuan iraulketak diskoan idazteko, harrapatutako paketeak analizatzeko eta saioei buruzko metadatuak (SPI, Stateful packet inspection) eta protokoloak Elasticsearch klusterera bidaltzeko. Posible da PCAP fitxategiak zifratuta gordetzea.
- Node.js plataforman oinarritutako web interfazea, trafikoa harrapatzeko zerbitzari bakoitzean exekutatzen dena eta indexatutako datuak atzitzearekin eta PCAP fitxategiak API bidez transferitzearekin lotutako eskaerak prozesatzen dituena.
- Elasticsearch-en oinarritutako metadatuen biltegiratzea.
Argitalpen berrian:
- IETF QUIC, GENEVE, VXLAN-GPE protokoloetarako euskarria gehitu da.
- Q-in-Q (VLAN bikoitza) motarako euskarria gehitu da, VLAN etiketak bigarren mailako etiketetan kapsulatzeko aukera ematen duena, VLAN kopurua 16 milioira zabaltzeko.
- "float" eremu motarako euskarria gehitu da.
- Amazon Elastic Compute Cloud-eko grabaketa-modulua IMDSv2 (Instantzia Metadatuen Zerbitzua) protokoloa erabiltzeko bihurtu da.
- Kodea birfaktorizatu da UDP tunelak gehitzeko.
- elasticsearchAPIKey eta elasticsearchBasicAuth laguntza gehitu da.
Iturria: opennet.ru