Rilis sistem untuk menangkap, menyimpan dan mengindeks paket jaringan Arkime 3.1 telah disiapkan, menyediakan alat untuk menilai arus lalu lintas secara visual dan mencari informasi terkait aktivitas jaringan. Proyek ini awalnya dikembangkan oleh AOL dengan tujuan menciptakan pengganti platform pemrosesan paket jaringan komersial yang terbuka dan dapat diterapkan, yang mampu melakukan penskalaan untuk memproses lalu lintas dengan kecepatan puluhan gigabit per detik. Kode komponen penangkapan lalu lintas ditulis dalam C, dan antarmuka diimplementasikan dalam Node.js/JavaScript. Kode sumber didistribusikan di bawah lisensi Apache 2.0. Mendukung pekerjaan di Linux dan FreeBSD. Paket siap pakai disiapkan untuk Arch, CentOS dan Ubuntu.
Arkime menyertakan alat untuk menangkap dan mengindeks lalu lintas dalam format PCAP asli, dan juga menyediakan alat untuk akses cepat ke data yang diindeks. Penggunaan format PCAP sangat menyederhanakan integrasi dengan penganalisis lalu lintas yang ada seperti Wireshark. Volume data yang disimpan hanya dibatasi oleh ukuran array disk yang tersedia. Metadata sesi diindeks dalam cluster berdasarkan mesin Elasticsearch.
Untuk menganalisis akumulasi informasi, antarmuka web ditawarkan yang memungkinkan Anda menavigasi, mencari, dan mengekspor sampel. Antarmuka web menyediakan beberapa mode tampilan - mulai dari statistik umum, peta koneksi dan grafik visual dengan data tentang perubahan aktivitas jaringan hingga alat untuk mempelajari sesi individual, menganalisis aktivitas dalam konteks protokol yang digunakan, dan menguraikan data dari dump PCAP. API juga disediakan yang memungkinkan Anda mengirim data tentang paket yang diambil dalam format PCAP dan sesi yang dibongkar dalam format JSON ke aplikasi pihak ketiga.
Arkime terdiri dari tiga komponen dasar:
- Sistem penangkapan lalu lintas adalah aplikasi C multi-utas untuk memantau lalu lintas, menulis dump dalam format PCAP ke disk, mengurai paket yang ditangkap, dan mengirim metadata tentang sesi (SPI, Inspeksi paket Stateful) dan protokol ke cluster Elasticsearch. Dimungkinkan untuk menyimpan file PCAP dalam bentuk terenkripsi.
- Antarmuka web berdasarkan platform Node.js, yang berjalan di setiap server penangkapan lalu lintas dan memproses permintaan terkait akses data yang diindeks dan mentransfer file PCAP melalui API.
- Penyimpanan metadata berdasarkan Elasticsearch.
Dalam rilis baru:
- Menambahkan dukungan untuk protokol IETF QUIC, GENEVE, VXLAN-GPE.
- Menambahkan dukungan untuk tipe Q-in-Q (Double VLAN), yang memungkinkan Anda merangkum tag VLAN dalam tag tingkat kedua untuk menambah jumlah VLAN hingga 16 juta.
- Menambahkan dukungan untuk jenis bidang βfloatβ.
- Modul perekaman di Amazon Elastic Compute Cloud telah dikonversi untuk menggunakan protokol IMDSv2 (Instance Metadata Service).
- Kode telah difaktorkan ulang untuk menambahkan terowongan UDP.
- Menambahkan dukungan untuk elasticsearchAPIKey dan elasticsearchBasicAuth.
Sumber: opennet.ru