Chaidh foillseachadh den t-siostam airson a bhith a’ glacadh, a’ stòradh agus a’ clàradh phasgan lìonra Arkime 3.1 ullachadh, a’ toirt seachad innealan airson sruthan trafaic a mheasadh gu fradharcach agus a bhith a’ lorg fiosrachadh co-cheangailte ri gnìomhachd lìonra. Chaidh am pròiseact a leasachadh an toiseach le AOL leis an amas a bhith a’ cruthachadh àite fosgailte agus so-chleachdadh airson àrd-ùrlaran giullachd pacaid lìonra malairteach, comasach air sgèileadh gus trafaic a phròiseasadh aig astaran deichean de gigabits gach diog. Tha an còd co-phàirt glacadh trafaic sgrìobhte ann an C, agus tha an eadar-aghaidh air a chuir an gnìomh ann an Node.js/JavaScript. Tha an còd tùsail air a sgaoileadh fo chead Apache 2.0. A’ toirt taic do dh’ obair air Linux agus FreeBSD. Tha pasganan deiseil air an ullachadh airson Arch, CentOS agus Ubuntu.
Tha Arkime a’ toirt a-steach innealan airson trafaic a ghlacadh agus a chlàradh ann an cruth PCAP dùthchasach, agus cuideachd a’ toirt seachad innealan airson faighinn gu luath air dàta clàr-amais. Tha cleachdadh cruth PCAP gu mòr a’ sìmpleachadh amalachadh le sgrùdairean trafaic a th’ ann mar Wireshark. Tha meud an dàta a tha air a stòradh air a chuingealachadh a-mhàin le meud an t-sreath diosc a tha ri fhaighinn. Tha meata-dàta seisean air a chlàr-amais ann am buidheann stèidhichte air an einnsean Elasticsearch.
Gus mion-sgrùdadh a dhèanamh air an fhiosrachadh cruinnichte, tha eadar-aghaidh lìn air a thabhann a leigeas leat sampaill a sheòladh, a lorg agus às-mhalairt. Tha an eadar-aghaidh lìn a’ toirt seachad grunn mhodhan seallaidh - bho staitistig choitcheann, mapaichean ceangail agus grafaichean lèirsinneach le dàta mu atharrachaidhean ann an gnìomhachd lìonra gu innealan airson seiseanan fa leth a sgrùdadh, mion-sgrùdadh gnìomhachd ann an co-theacsa nam protocalan a thathar a’ cleachdadh agus parsadh dàta bho thumaichean PCAP. Tha API air a thoirt seachad cuideachd a leigeas leat dàta a chuir air falbh mu phasganan glacte ann an cruth PCAP agus seiseanan air an cuir às a chèile ann an cruth JSON gu tagraidhean treas-phàrtaidh.
Tha trì pàirtean bunaiteach ann an Arkime:
- Tha an siostam glacaidh trafaic na thagradh C ioma-snàthainn airson sùil a chumail air trafaic, a’ sgrìobhadh chnapan-starra ann an cruth PCAP gu diosc, a’ parsadh phasganan glacte agus a’ cur meata-dàta mu sheiseanan (SPI, sgrùdadh pacaid stàiteil) agus protocalan chun bhuidheann Elasticsearch. Tha e comasach faidhlichean PCAP a stòradh ann an cruth crioptaichte.
- Eadar-aghaidh lìn stèidhichte air an àrd-ùrlar Node.js, a bhios a’ ruith air gach frithealaiche glacaidh trafaic agus a’ pròiseasadh iarrtasan co-cheangailte ri faighinn gu dàta clàr-amais agus gluasad faidhlichean PCAP tron API.
- Stòradh meata-dàta stèidhichte air Elasticsearch.
Anns an fhoillseachadh ùr:
- Taic a bharrachd airson protocolaidhean IETF QUIC, GENEVE, VXLAN-GPE.
- Taic a bharrachd airson an t-seòrsa Q-in-Q (VLAN Dùbailte), a leigeas leat tagaichean VLAN a chuartachadh ann an tagaichean dàrna ìre gus an àireamh de VLANn a leudachadh gu 16 millean.
- Taic a bharrachd airson an seòrsa raoin “float”.
- Chaidh am modal clàraidh ann an Amazon Elastic Compute Cloud atharrachadh gus am pròtacal IMDSv2 (Instance Metadata Service) a chleachdadh.
- Chaidh an còd ath-leasachadh gus tunailean UDP a chur ris.
- Taic a bharrachd airson elasticsearchAPIKey agus elasticsearchBasicAuth.
Source: fosgailtenet.ru