Útbúin hefur verið útgáfa af kerfinu til að fanga, geyma og flokka netpakka Arkime 3.1, sem býður upp á verkfæri til að meta umferðarflæði sjónrænt og leita upplýsinga sem tengjast netvirkni. Verkefnið var upphaflega þróað af AOL með það að markmiði að búa til opinn og dreifanlegan staðgengil fyrir pakkavinnslukerfi fyrir viðskiptanet, sem er fær um að skalast til að vinna úr umferð á tugum gígabita hraða á sekúndu. Kóðinn fyrir umferðarfangahluta er skrifaður í C og viðmótið er útfært í Node.js/JavaScript. Kóðanum er dreift undir Apache 2.0 leyfinu. Styður vinnu á Linux og FreeBSD. Tilbúnir pakkar eru útbúnir fyrir Arch, CentOS og Ubuntu.
Arkime inniheldur verkfæri til að fanga og flokka umferð á innfæddu PCAP sniði og býður einnig upp á verkfæri fyrir skjótan aðgang að verðtryggðum gögnum. Notkun PCAP sniðsins einfaldar mjög samþættingu við núverandi umferðargreiningartæki eins og Wireshark. Rúmmál geymdra gagna takmarkast aðeins af stærð tiltæks diskafylkis. Lýsigögn lotu eru skráð í klasa sem byggir á Elasticsearch vélinni.
Til að greina uppsafnaðar upplýsingar er boðið upp á vefviðmót sem gerir þér kleift að fletta, leita og flytja út sýnishorn. Vefviðmótið býður upp á nokkrar skoðunarstillingar - allt frá almennri tölfræði, tengikortum og sjónrænum línuritum með gögnum um breytingar á netvirkni til verkfæra til að rannsaka einstakar lotur, greina virkni í samhengi við samskiptareglur sem notaðar eru og þátta gögn frá PCAP sorphaugum. API er einnig til staðar sem gerir þér kleift að senda gögn um handtekna pakka á PCAP sniði og sundurliðaðar lotur á JSON sniði til þriðja aðila forrita.
Arkime samanstendur af þremur grunnþáttum:
- Umferðarfangakerfið er fjölþráða C forrit til að fylgjast með umferð, skrifa dumpa á PCAP sniði á disk, þátta handtekna pakka og senda lýsigögn um lotur (SPI, Stateful packet inspection) og samskiptareglur í Elasticsearch klasann. Það er hægt að geyma PCAP skrár á dulkóðuðu formi.
- Vefviðmót byggt á Node.js pallinum, sem keyrir á hverjum umferðarfangaþjóni og vinnur úr beiðnum sem tengjast aðgangi að verðtryggðum gögnum og flutningi PCAP skráa í gegnum API.
- Geymsla lýsigagna byggð á Elasticsearch.
Í nýju útgáfunni:
- Bætti við stuðningi við IETF QUIC, GENEVE, VXLAN-GPE samskiptareglur.
- Bætti við stuðningi við Q-in-Q (Double VLAN) gerð, sem gerir þér kleift að hylja VLAN merki í annars stigs merki til að auka fjölda VLAN í 16 milljónir.
- Bætti við stuðningi við reitgerðina „fljóta“.
- Upptökueiningunni í Amazon Elastic Compute Cloud hefur verið breytt til að nota IMDSv2 (Instance Metadata Service) samskiptareglur.
- Kóðinn hefur verið breyttur til að bæta við UDP göngum.
- Bætt við stuðningi við elasticsearchAPIKey og elasticsearchBasicAuth.
Heimild: opennet.ru