Elkészült a hálózati csomagok rögzítésére, tárolására és indexelésére szolgáló rendszer Arkime 3.1 kiadása, amely eszközöket biztosít a forgalom vizuális értékeléséhez és a hálózati tevékenységgel kapcsolatos információk kereséséhez. A projektet eredetileg az AOL fejlesztette ki azzal a céllal, hogy nyílt és telepíthető helyettesítőt hozzon létre a kereskedelmi hálózati csomagfeldolgozó platformokhoz, amely képes a forgalom több tíz gigabites/másodperces sebességű feldolgozására. A forgalomrögzítési összetevő kódja C nyelven van írva, az interfész pedig Node.js/JavaScript nyelven van megvalósítva. A forráskód az Apache 2.0 licenc alatt kerül terjesztésre. Támogatja a munkát Linuxon és FreeBSD-n. Az Arch, CentOS és Ubuntu számára kész csomagok készülnek.
Az Arkime eszközöket tartalmaz a forgalom natív PCAP formátumban történő rögzítésére és indexelésére, valamint eszközöket biztosít az indexelt adatok gyors eléréséhez. A PCAP formátum használata nagyban leegyszerűsíti a meglévő forgalomelemzőkkel, például a Wiresharkkal való integrációt. A tárolt adatok mennyiségét csak a rendelkezésre álló lemeztömb mérete korlátozza. A munkamenet metaadatait a rendszer az Elasticsearch motoron alapuló fürtben indexeli.
A felhalmozott információk elemzéséhez egy webes felületet kínálnak, amely lehetővé teszi a navigációt, a keresést és a minták exportálását. A webes felület többféle megtekintési módot kínál – az általános statisztikáktól, kapcsolati térképektől és vizuális grafikonoktól a hálózati aktivitás változásaira vonatkozó adatokkal az egyes munkamenetek tanulmányozására, a tevékenység elemzésére a használt protokollok kontextusában és a PCAP kiíratások adatainak elemzésére szolgáló eszközökig. Egy API is rendelkezésre áll, amely lehetővé teszi, hogy adatokat küldjön a rögzített csomagokról PCAP formátumban és a szétszedett munkamenetekről JSON formátumban harmadik féltől származó alkalmazásoknak.
Az Arkime három alapvető összetevőből áll:
- A forgalomrögzítő rendszer egy többszálas C alkalmazás a forgalom figyelésére, PCAP formátumú kiíratások lemezre írására, a rögzített csomagok elemzésére, valamint a munkamenetekre vonatkozó metaadatok (SPI, Stateful csomagellenőrzés) és protokollok elküldésére az Elasticsearch fürtbe. Lehetőség van PCAP fájlok titkosított formában történő tárolására.
- A Node.js platformon alapuló webes felület, amely minden egyes forgalomrögzítő szerveren fut, és feldolgozza az indexelt adatok elérésével és a PCAP-fájlok API-n keresztüli átvitelével kapcsolatos kéréseket.
- Elasticsearch alapú metaadattárolás.
Az új kiadásban:
- Hozzáadott támogatás az IETF QUIC, GENEVE, VXLAN-GPE protokollokhoz.
- Hozzáadott támogatás a Q-in-Q (Double VLAN) típushoz, amely lehetővé teszi a VLAN-címkék második szintű címkékbe foglalását, így a VLAN-ok száma 16 millióra bővül.
- Támogatás hozzáadva a „lebegő” mezőtípushoz.
- Az Amazon Elastic Compute Cloud rögzítési modulját az IMDSv2 (Instance Metadata Service) protokoll használatára alakították át.
- A kód átalakítása UDP-alagutak hozzáadásához.
- Az elasticsearchAPIKey és az elasticsearchBasicAuth támogatása.
Forrás: opennet.ru