Pripremljeno je izdanje sustava za snimanje, pohranjivanje i indeksiranje mrežnih paketa Arkime 3.1, koji nudi alate za vizualnu procjenu tokova prometa i traženje informacija vezanih uz mrežnu aktivnost. Projekt je izvorno razvio AOL s ciljem stvaranja otvorene i razmjestive zamjene za komercijalne mrežne platforme za obradu paketa, sposobne za skaliranje za obradu prometa brzinama od desetaka gigabita u sekundi. Kod komponente za snimanje prometa napisan je u C-u, a sučelje je implementirano u Node.js/JavaScript. Izvorni kod se distribuira pod licencom Apache 2.0. Podržava rad na Linuxu i FreeBSD-u. Gotovi paketi su pripremljeni za Arch, CentOS i Ubuntu.
Arkime uključuje alate za snimanje i indeksiranje prometa u izvornom PCAP formatu, a također pruža alate za brzi pristup indeksiranim podacima. Korištenje PCAP formata uvelike pojednostavljuje integraciju s postojećim analizatorima prometa kao što je Wireshark. Količina pohranjenih podataka ograničena je samo veličinom raspoloživog diskovnog polja. Metapodaci sesije indeksirani su u klasteru temeljenom na Elasticsearch engineu.
Za analizu prikupljenih informacija nudi se web sučelje koje vam omogućuje navigaciju, pretraživanje i izvoz uzoraka. Web sučelje nudi nekoliko načina pregleda - od općih statistika, mapa povezivanja i vizualnih grafikona s podacima o promjenama mrežne aktivnosti do alata za proučavanje pojedinačnih sesija, analiziranje aktivnosti u kontekstu korištenih protokola i raščlanjivanje podataka iz PCAP dumpova. Također je osiguran API koji vam omogućuje slanje podataka o snimljenim paketima u PCAP formatu i rastavljenim sesijama u JSON formatu aplikacijama trećih strana.
Arkime se sastoji od tri osnovne komponente:
- Sustav za hvatanje prometa je C aplikacija s više niti za praćenje prometa, pisanje ispisa u PCAP formatu na disk, raščlanjivanje snimljenih paketa i slanje metapodataka o sesijama (SPI, Stateful packet inspekcija) i protokola u Elasticsearch klaster. Moguće je pohraniti PCAP datoteke u šifriranom obliku.
- Web sučelje temeljeno na Node.js platformi, koje radi na svakom poslužitelju za snimanje prometa i obrađuje zahtjeve koji se odnose na pristup indeksiranim podacima i prijenos PCAP datoteka putem API-ja.
- Pohranjivanje metapodataka temeljeno na Elasticsearchu.
U novom izdanju:
- Dodana podrška za IETF QUIC, GENEVE, VXLAN-GPE protokole.
- Dodana je podrška za tip Q-in-Q (Double VLAN), koji vam omogućuje da enkapsulirate VLAN oznake u oznake druge razine kako biste proširili broj VLAN-ova na 16 milijuna.
- Dodana podrška za tip polja "float".
- Modul za snimanje u Amazon Elastic Compute Cloudu pretvoren je za korištenje protokola IMDSv2 (Instance Metadata Service).
- Kod je refaktoriran za dodavanje UDP tunela.
- Dodana podrška za elasticsearchAPIKey i elasticsearchBasicAuth.
Izvor: opennet.ru