Պատրաստվել է Arkime 3.1 ցանցային փաթեթների գրավման, պահպանման և ինդեքսավորման համակարգի թողարկումը, որը գործիքներ է տրամադրում երթևեկության հոսքերի տեսողական գնահատման և ցանցի գործունեության հետ կապված տեղեկատվության որոնման համար: Նախագիծն ի սկզբանե մշակվել է AOL-ի կողմից՝ նպատակ ունենալով ստեղծել կոմերցիոն ցանցային փաթեթների մշակման հարթակների համար բաց և տեղակայվող փոխարինող, որը կարող է ընդլայնել տրաֆիկը տասնյակ գիգաբիթ/վրկ արագությամբ: Երթևեկության գրավման բաղադրիչի կոդը գրված է C-ով, իսկ ինտերֆեյսը ներդրված է Node.js/JavaScript-ում: Աղբյուրի կոդը տարածվում է Apache 2.0 լիցենզիայի ներքո: Աջակցում է աշխատել Linux-ի և FreeBSD-ի վրա: Պատրաստված են պատրաստի փաթեթներ Arch-ի, CentOS-ի և Ubuntu-ի համար։
Arkime-ը ներառում է թրաֆիկը ֆիքսելու և ինդեքսավորելու գործիքներ հայրենի PCAP ձևաչափով, ինչպես նաև տրամադրում է գործիքներ ինդեքսավորված տվյալներին արագ մուտք գործելու համար: PCAP ձևաչափի օգտագործումը մեծապես հեշտացնում է ինտեգրումը գոյություն ունեցող երթևեկության անալիզատորների հետ, ինչպիսին է Wireshark-ը: Պահպանված տվյալների ծավալը սահմանափակվում է միայն առկա սկավառակի զանգվածի չափով: Աշխատաշրջանի մետատվյալները ինդեքսավորվում են կլաստերում, որը հիմնված է Elasticsearch շարժիչի վրա:
Կուտակված տեղեկատվությունը վերլուծելու համար առաջարկվում է վեբ ինտերֆեյս, որը թույլ է տալիս նավարկել, որոնել և արտահանել նմուշներ: Վեբ ինտերֆեյսը տրամադրում է դիտման մի քանի ռեժիմներ՝ ընդհանուր վիճակագրությունից, կապի քարտեզներից և տեսողական գրաֆիկներից՝ ցանցի գործունեության փոփոխության վերաբերյալ տվյալներից մինչև առանձին նիստերի ուսումնասիրության գործիքներ, օգտագործված արձանագրությունների համատեքստում ակտիվությունը վերլուծելու և PCAP աղբավայրերի տվյալների վերլուծություն: Ապահովված է նաև API, որը թույլ է տալիս ուղարկել տվյալները PCAP ձևաչափով գրավված փաթեթների և JSON ձևաչափով ապամոնտաժված նիստերի մասին երրորդ կողմի հավելվածներին:
Arkime-ը բաղկացած է երեք հիմնական բաղադրիչներից.
- Երթևեկության գրավման համակարգը բազմաշերտ C ծրագիր է՝ երթևեկությունը մոնիտորինգի, PCAP ձևաչափով աղբարկղեր սկավառակի վրա գրելու, գրաված փաթեթները վերլուծելու և նիստերի մասին մետատվյալներ (SPI, Stateful փաթեթների ստուգում) և արձանագրություններ ուղարկելու համար Elasticsearch կլաստերին: Հնարավոր է պահպանել PCAP ֆայլերը կոդավորված տեսքով:
- Վեբ ինտերֆեյս, որը հիմնված է Node.js հարթակի վրա, որն աշխատում է յուրաքանչյուր երթևեկության գրավման սերվերի վրա և մշակում է ինդեքսավորված տվյալներ մուտք գործելու և API-ի միջոցով PCAP ֆայլեր փոխանցելու հետ կապված հարցումները:
- Մետատվյալների պահեստավորում՝ հիմնված Elasticsearch-ի վրա:
Նոր թողարկումում.
- Ավելացվել է աջակցություն IETF QUIC, GENEVE, VXLAN-GPE արձանագրությունների համար:
- Ավելացվել է Q-in-Q (Կրկնակի VLAN) տիպի աջակցություն, որը թույլ է տալիս ընդգրկել VLAN պիտակները երկրորդ մակարդակի պիտակներում՝ VLAN-ների թիվը հասցնելով 16 միլիոնի:
- Ավելացվեց աջակցություն «float» դաշտի տեսակի համար:
- Amazon Elastic Compute Cloud-ի ձայնագրման մոդուլը փոխակերպվել է՝ օգտագործելու IMDSv2 (Instance Metadata Service) արձանագրությունը:
- Կոդը վերամշակվել է՝ UDP թունելներ ավելացնելու համար:
- Ավելացվել է աջակցություն elasticsearchAPIKey-ի և elasticsearchBasicAuth-ի համար:
Source: opennet.ru