Elaborouse unha versión do sistema de captura, almacenamento e indexación de paquetes de rede Arkime 3.1, que proporciona ferramentas para avaliar visualmente os fluxos de tráfico e buscar información relacionada coa actividade da rede. O proxecto foi desenvolvido orixinalmente por AOL co obxectivo de crear un substituto aberto e despregable para plataformas comerciais de procesamento de paquetes de rede, capaz de escalar para procesar o tráfico a velocidades de decenas de gigabits por segundo. O código do compoñente de captura de tráfico está escrito en C e a interface está implementada en Node.js/JavaScript. O código fonte distribúese baixo a licenza Apache 2.0. Admite o traballo en Linux e FreeBSD. Os paquetes preparados están preparados para Arch, CentOS e Ubuntu.
Arkime inclúe ferramentas para capturar e indexar o tráfico en formato PCAP nativo, e tamén ofrece ferramentas para o acceso rápido aos datos indexados. O uso do formato PCAP simplifica moito a integración cos analizadores de tráfico existentes como Wireshark. O volume de datos almacenados só está limitado polo tamaño da matriz de discos dispoñible. Os metadatos da sesión están indexados nun clúster baseado no motor de busca Elastic.
Para analizar a información acumulada ofrécese unha interface web que permite navegar, buscar e exportar mostras. A interface web ofrece varios modos de visualización: desde estatísticas xerais, mapas de conexión e gráficos visuais con datos sobre cambios na actividade da rede ata ferramentas para estudar sesións individuais, analizar a actividade no contexto dos protocolos empregados e analizar datos dos vertedoiros de PCAP. Tamén se proporciona unha API que lle permite enviar datos sobre paquetes capturados en formato PCAP e sesións desmontadas en formato JSON a aplicacións de terceiros.
Arkime consta de tres compoñentes básicos:
- O sistema de captura de tráfico é unha aplicación C multiproceso para supervisar o tráfico, escribir volcados en formato PCAP no disco, analizar paquetes capturados e enviar metadatos sobre sesións (SPI, inspección de paquetes con estado) e protocolos ao clúster Elasticsearch. É posible almacenar ficheiros PCAP en forma cifrada.
- Unha interface web baseada na plataforma Node.js, que se executa en cada servidor de captura de tráfico e procesa solicitudes relacionadas co acceso a datos indexados e a transferencia de ficheiros PCAP a través da API.
- Almacenamento de metadatos baseado en Elasticsearch.
Na nova versión:
- Engadido soporte para protocolos IETF QUIC, GENEVE, VXLAN-GPE.
- Engadiuse soporte para o tipo Q-in-Q (Doble VLAN), que lle permite encapsular etiquetas VLAN en etiquetas de segundo nivel para ampliar o número de VLAN a 16 millóns.
- Engadido soporte para o tipo de campo "float".
- O módulo de gravación en Amazon Elastic Compute Cloud converteuse para utilizar o protocolo IMDSv2 (Instance Metadata Service).
- O código foi refactorizado para engadir túneles UDP.
- Engadiuse compatibilidade con elasticsearchAPIKey e elasticsearchBasicAuth.
Fonte: opennet.ru