In útjefte fan it systeem foar it fêstlizzen, opslaan en yndeksearjen fan netwurkpakketten Arkime 3.1 is taret, ark foar it fisueel beoardieljen fan ferkearsstreamen en sykjen nei ynformaasje yn ferbân mei netwurkaktiviteit. It projekt waard oarspronklik ûntwikkele troch AOL mei it doel om in iepen en ynsetbere ferfanging te meitsjen foar kommersjele netwurkpakketferwurkingsplatfoarms, yn steat om te skaaljen om ferkear te ferwurkjen mei snelheden fan tsientallen gigabits per sekonde. It ferkear capture komponint koade is skreaun yn C, en de ynterface wurdt útfierd yn Node.js/JavaScript. De boarnekoade wurdt ferspraat ûnder de Apache 2.0-lisinsje. Unterstützt wurk op Linux en FreeBSD. Klear makke pakketten wurde taret foar Arch, CentOS en Ubuntu.
Arkime omfettet ark foar it fangen en yndeksearjen fan ferkear yn native PCAP-formaat, en leveret ek ark foar rappe tagong ta yndekseare gegevens. It gebrûk fan it PCAP-formaat makket de yntegraasje mei besteande ferkearsanalyzers lykas Wireshark sterk simplifies. It folume fan opsleine gegevens wurdt allinich beheind troch de grutte fan 'e beskikbere skiif array. Sesje-metadata wurdt yndeksearre yn in kluster basearre op de Elasticsearch-motor.
Om de sammele ynformaasje te analysearjen, wurdt in webynterface oanbean wêrmei jo samples kinne navigearje, sykje en eksportearje. De webynterface biedt ferskate werjeftemodi - fan algemiene statistiken, ferbiningskaarten en fisuele grafiken mei gegevens oer feroaringen yn netwurkaktiviteit oant ark foar it studearjen fan yndividuele sesjes, analysearjen fan aktiviteit yn 'e kontekst fan' e brûkte protokollen en it parsearjen fan gegevens fan PCAP-dumps. In API wurdt ek levere wêrmei jo gegevens kinne stjoere oer fongen pakketten yn PCAP-formaat en disassembled sesjes yn JSON-formaat nei applikaasjes fan tredden.
Arkime bestiet út trije basiskomponinten:
- It ferkearsopfangsysteem is in multi-threaded C-applikaasje foar it kontrolearjen fan ferkear, it skriuwen fan dumps yn PCAP-formaat nei skiif, it parsearjen fan fongen pakketten en it ferstjoeren fan metadata oer sesjes (SPI, Stateful packet ynspeksje) en protokollen nei it Elasticsearch-kluster. It is mooglik om PCAP-bestannen yn fersifere foarm op te slaan.
- In webynterface basearre op it Node.js-platfoarm, dat rint op elke ferkearsfangserver en ferwurket fersiken yn ferbân mei tagong ta yndeksearre gegevens en oerbringen fan PCAP-bestannen fia de API.
- Metadata opslach basearre op Elasticsearch.
Yn de nije release:
- Stipe tafoege foar IETF QUIC, GENEVE, VXLAN-GPE-protokollen.
- Stipe tafoege foar it type Q-in-Q (Double VLAN), wêrtroch jo VLAN-tags kinne ynkapselje yn tags op twadde nivo om it oantal VLAN's út te wreidzjen nei 16 miljoen.
- Stipe tafoege foar it fjildtype "float".
- De opnamemodule yn Amazon Elastic Compute Cloud is omboud om it IMDSv2 (Instance Metadata Service) protokol te brûken.
- De koade is refactored om UDP-tunnels ta te foegjen.
- Stipe tafoege foar elasticsearchAPIKey en elasticsearchBasicAuth.
Boarne: opennet.ru