Une version du système de capture, de stockage et d'indexation des paquets réseau Arkime 3.1 a été préparée, fournissant des outils pour évaluer visuellement les flux de trafic et rechercher des informations liées à l'activité du réseau. Le projet a été initialement développé par AOL dans le but de créer un remplacement ouvert et déployable des plates-formes commerciales de traitement de paquets réseau, capable d'évoluer pour traiter le trafic à des vitesses de plusieurs dizaines de gigabits par seconde. Le code du composant de capture de trafic est écrit en C et l'interface est implémentée en Node.js/JavaScript. Le code source est distribué sous la licence Apache 2.0. Prend en charge le travail sur Linux et FreeBSD. Des packages prêts à l'emploi sont préparés pour Arch, CentOS et Ubuntu.
Arkime comprend des outils de capture et d'indexation du trafic au format PCAP natif, et fournit également des outils pour un accès rapide aux données indexées. L'utilisation du format PCAP simplifie grandement l'intégration avec les analyseurs de trafic existants tels que Wireshark. Le volume des données stockées n'est limité que par la taille de la baie de disques disponible. Les métadonnées de session sont indexées dans un cluster basé sur le moteur Elasticsearch.
Pour analyser les informations accumulées, une interface Web est proposée qui vous permet de naviguer, de rechercher et d'exporter des échantillons. L'interface Web propose plusieurs modes d'affichage - des statistiques générales, des cartes de connexion et des graphiques visuels avec des données sur les modifications de l'activité du réseau aux outils permettant d'étudier des sessions individuelles, d'analyser l'activité dans le contexte des protocoles utilisés et d'analyser les données des vidages PCAP. Une API est également fournie qui vous permet d'envoyer des données sur les paquets capturés au format PCAP et les sessions désassemblées au format JSON à des applications tierces.
Arkime se compose de trois composants de base :
- Le système de capture du trafic est une application C multithread permettant de surveiller le trafic, d'écrire des dumps au format PCAP sur le disque, d'analyser les paquets capturés et d'envoyer des métadonnées sur les sessions (SPI, Stateful packet inspection) et les protocoles au cluster Elasticsearch. Il est possible de stocker des fichiers PCAP sous forme cryptée.
- Une interface web basée sur la plateforme Node.js, qui s'exécute sur chaque serveur de capture de trafic et traite les requêtes liées à l'accès aux données indexées et au transfert de fichiers PCAP via l'API.
- Stockage de métadonnées basé sur Elasticsearch.
Dans la nouvelle version :
- Ajout de la prise en charge des protocoles IETF QUIC, GENEVE, VXLAN-GPE.
- Ajout de la prise en charge du type Q-in-Q (Double VLAN), qui vous permet d'encapsuler des balises VLAN dans des balises de deuxième niveau pour augmenter le nombre de VLAN à 16 millions.
- Ajout de la prise en charge du type de champ « float ».
- Le module d'enregistrement d'Amazon Elastic Compute Cloud a été converti pour utiliser le protocole IMDSv2 (Instance Metadata Service).
- Le code a été refactorisé pour ajouter des tunnels UDP.
- Ajout de la prise en charge de elasticsearchAPIKey et elasticsearchBasicAuth.
Source: opennet.ru