Ua hoʻomākaukau ʻia kahi hoʻokuʻu ʻana o ka ʻōnaehana no ka hopu ʻana, mālama ʻana a me ka helu ʻana i nā ʻeke pūnaewele ʻo Arkime 3.1, e hāʻawi ana i nā mea hana no ka nānā ʻana i nā kahe a me ka ʻimi ʻana i ka ʻike e pili ana i ka hana pūnaewele. Ua hoʻokumu mua ʻia ka papahana e AOL me ka pahuhopu o ka hoʻokumu ʻana i kahi pani hāmama a hiki ke hoʻoili ʻia no nā kahua hoʻoili packet pūnaewele ʻoihana, hiki ke hoʻonui i ke kaʻa i ka wikiwiki o nā ʻumi gigabits i kekona. Ua kākau ʻia ke code ʻāpana traffic capture ma C, a ua hoʻokō ʻia ka interface ma Node.js/JavaScript. Hāʻawi ʻia ke code kumu ma lalo o ka laikini Apache 2.0. Kākoʻo i ka hana ma Linux a me FreeBSD. Hoʻomākaukau ʻia nā pūʻolo i mākaukau no Arch, CentOS a me Ubuntu.
Aia ʻo Arkime i nā mea hana no ka hopu ʻana a me ka helu ʻana i nā kaʻa ma ke ʻano PCAP maoli, a hāʻawi pū i nā mea hana no ke komo wikiwiki ʻana i ka ʻikepili i kuhikuhi ʻia. ʻO ka hoʻohana ʻana i ke ʻano PCAP e hoʻomaʻamaʻa nui i ka hoʻohui ʻana me nā mea loiloi kaʻa e like me Wireshark. Ua kaupalena ʻia ka nui o ka ʻikepili i mālama ʻia e ka nui o ka laha disk i loaʻa. Hōʻike ʻia ka metadata session i kahi pūʻulu e pili ana i ka ʻenekini Elasticsearch.
No ke kālailai ʻana i ka ʻike i hōʻiliʻili ʻia, hāʻawi ʻia kahi kikowaena pūnaewele e hiki ai iā ʻoe ke hoʻokele, ʻimi a hoʻoiho i nā mea hoʻohālike. Hāʻawi ke kikowaena pūnaewele i kekahi mau ʻano nānā - mai nā helu helu maʻamau, nā palapala pili a me nā kiʻi hiʻohiʻona me nā ʻikepili e pili ana i nā loli o ka hana pūnaewele i nā mea hana no ke aʻo ʻana i nā kau pākahi, ke kālailai ʻana i ka hana i loko o ka pōʻaiapili o nā protocols i hoʻohana ʻia a me ka hoʻokaʻawale ʻana i nā ʻikepili mai nā dumps PCAP. Hāʻawi pū ʻia kahi API e hiki ai iā ʻoe ke hoʻouna i ka ʻikepili e pili ana i nā ʻeke i hopu ʻia ma ka ʻano PCAP a me nā manawa i hoʻokaʻawale ʻia ma ka format JSON i nā noi ʻaoʻao ʻekolu.
Aia ʻo Arkime i ʻekolu mau ʻāpana kumu:
- ʻO ka ʻōnaehana hopu kaʻa he noi C multi-threaded no ka nānā ʻana i ka hele ʻana, ke kākau ʻana i nā dumps ma ka format PCAP i ka disk, ka hoʻopaʻa ʻana i nā ʻeke hopu ʻia a me ka hoʻouna ʻana i nā metadata e pili ana i nā kau (SPI, Stateful packet inspection) a me nā protocols i ka hui Elasticsearch. Hiki ke mālama i nā faila PCAP ma ke ʻano i hoʻopili ʻia.
- He kikowaena pūnaewele i hoʻokumu ʻia ma ka paepae Node.js, e holo ana ma kēlā me kēia kikowaena hopu hopu a me nā noi noi e pili ana i ke komo ʻana i ka ʻikepili i kuhikuhi ʻia a me ka hoʻoili ʻana i nā faila PCAP ma o ka API.
- Mālama ʻia ka metadata ma muli o Elasticsearch.
I ka hoʻokuʻu hou:
- Kākoʻo hoʻohui ʻia no nā protocols IETF QUIC, GENEVE, VXLAN-GPE.
- Kākoʻo hoʻohui ʻia no ke ʻano Q-in-Q (Double VLAN), e hiki ai iā ʻoe ke hoʻopili i nā huaʻōlelo VLAN i nā hōʻailona pae ʻelua e hoʻonui i ka nui o nā VLAN i 16 miliona.
- Hoʻohui i ke kākoʻo no ke ʻano kahua "float".
- Ua hoʻololi ʻia ka module hoʻopaʻa ma Amazon Elastic Compute Cloud e hoʻohana i ka protocol IMDSv2 (Instance Metadata Service).
- Ua hoʻololi hou ʻia ke code e hoʻohui i nā tunnels UDP.
- Hoʻohui kākoʻo no elasticsearchAPIKey a me elasticsearchBasicAuth.
Source: opennet.ru