Verkkopakettien sieppaus-, tallennus- ja indeksointijärjestelmästä Arkime 3.1 on valmisteltu julkaisu, joka tarjoaa työkaluja liikennevirtojen visuaaliseen arvioimiseen ja verkon toimintaan liittyvän tiedon etsimiseen. Projektin kehitti alun perin AOL. Tavoitteena oli luoda avoin ja käyttöönotettavissa oleva korvaaja kaupallisille verkkopakettien käsittelyalustoille, jotka pystyvät skaalautumaan käsittelemään liikennettä kymmenien gigabittien sekunnissa. Liikenteen kaappauskomponentin koodi on kirjoitettu C-kielellä ja käyttöliittymä on toteutettu Node.js/JavaScript-kielellä. Lähdekoodia jaetaan Apache 2.0 -lisenssillä. Tukee työtä Linuxissa ja FreeBSD:ssä. Archille, CentOS:lle ja Ubuntulle valmistetaan valmiita paketteja.
Arkime sisältää työkalut liikenteen sieppaamiseen ja indeksointiin alkuperäisessä PCAP-muodossa, ja se tarjoaa myös työkaluja indeksoitujen tietojen nopeaan käyttöön. PCAP-muodon käyttö yksinkertaistaa huomattavasti integrointia olemassa olevien liikenneanalysaattoreiden, kuten Wiresharkin, kanssa. Tallennetun tiedon määrää rajoittaa vain käytettävissä olevan levyryhmän koko. Istunnon metatiedot indeksoidaan klusteriin, joka perustuu Elasticsearch-moottoriin.
Kertyneen tiedon analysoimiseksi tarjotaan verkkokäyttöliittymä, jonka avulla voit navigoida, etsiä ja viedä näytteitä. Verkkokäyttöliittymä tarjoaa useita katselutiloja - yleisistä tilastoista, yhteyskartoista ja visuaalisista kaavioista, joissa on tietoja verkon toiminnan muutoksista, työkaluihin yksittäisten istuntojen tutkimiseen, toiminnan analysointiin käytettyjen protokollien yhteydessä ja PCAP-vedosten tietojen jäsentämiseen. Saatavilla on myös API, jonka avulla voit lähettää tietoja kaapatuista paketeista PCAP-muodossa ja puretuista istunnoista JSON-muodossa kolmannen osapuolen sovelluksille.
Arkime koostuu kolmesta perusosasta:
- Liikenteen sieppausjärjestelmä on monisäikeinen C-sovellus liikenteen seurantaan, PCAP-muotoisten kaatotiedostojen kirjoittamiseen levylle, siepattujen pakettien jäsentämiseen ja istuntojen metatietojen (SPI, Stateful pakettien tarkastus) ja protokollien lähettämiseen Elasticsearch-klusteriin. PCAP-tiedostoja on mahdollista tallentaa salatussa muodossa.
- Node.js-alustaan perustuva verkkokäyttöliittymä, joka toimii jokaisessa liikenteen kaappauspalvelimessa ja käsittelee indeksoitujen tietojen käyttöön ja PCAP-tiedostojen siirtoon API:n kautta liittyviä pyyntöjä.
- Metatietojen tallennus perustuu Elasticsearchiin.
Uudessa julkaisussa:
- Lisätty tuki IETF QUIC-, GENEVE-, VXLAN-GPE-protokolloille.
- Lisätty tuki Q-in-Q (Double VLAN) -tyypille, jonka avulla voit kapseloida VLAN-tunnisteet toisen tason tunnisteiksi ja laajentaa VLAN-verkkojen määrää 16 miljoonaan.
- Lisätty tuki "float"-kenttätyypille.
- Amazon Elastic Compute Cloudin tallennusmoduuli on muunnettu käyttämään IMDSv2 (Instance Metadata Service) -protokollaa.
- Koodi on muokattu uudelleen UDP-tunneleiden lisäämiseksi.
- Lisätty tuki elasticsearchAPIKeylle ja elasticsearchBasicAuthille.
Lähde: opennet.ru