È stata preparata una versione del sistema per l'acquisizione, l'archiviazione e l'indicizzazione dei pacchetti di rete Arkime 3.1, che fornisce strumenti per la valutazione visiva dei flussi di traffico e la ricerca di informazioni relative all'attività di rete. Il progetto è stato originariamente sviluppato da AOL con l'obiettivo di creare un sostituto aperto e implementabile per le piattaforme commerciali di elaborazione dei pacchetti di rete, in grado di scalare per elaborare il traffico a velocità di decine di gigabit al secondo. Il codice del componente di acquisizione del traffico è scritto in C e l'interfaccia è implementata in Node.js/JavaScript. Il codice sorgente è distribuito sotto la licenza Apache 2.0. Supporta il lavoro su Linux e FreeBSD. Vengono preparati pacchetti già pronti per Arch, CentOS e Ubuntu.
Arkime include strumenti per acquisire e indicizzare il traffico in formato PCAP nativo e fornisce anche strumenti per l'accesso rapido ai dati indicizzati. L'uso del formato PCAP semplifica notevolmente l'integrazione con gli analizzatori di traffico esistenti come Wireshark. Il volume dei dati archiviati è limitato solo dalla dimensione dell'array di dischi disponibile. I metadati della sessione sono indicizzati in un cluster basato sul motore Elasticsearch.
Per analizzare le informazioni accumulate, viene offerta un'interfaccia web che consente di navigare, cercare ed esportare campioni. L'interfaccia web offre diverse modalità di visualizzazione: da statistiche generali, mappe di connessione e grafici visivi con dati sui cambiamenti nell'attività di rete a strumenti per studiare sessioni individuali, analizzare l'attività nel contesto dei protocolli utilizzati e analizzare i dati dai dump PCAP. Viene inoltre fornita un'API che consente di inviare dati relativi ai pacchetti catturati in formato PCAP e alle sessioni disassemblate in formato JSON ad applicazioni di terze parti.
Arkime è costituito da tre componenti base:
- Il sistema di acquisizione del traffico è un'applicazione C multi-thread per il monitoraggio del traffico, la scrittura di dump in formato PCAP su disco, l'analisi dei pacchetti catturati e l'invio di metadati sulle sessioni (SPI, Stateful Packet Inspection) e sui protocolli al cluster Elasticsearch. È possibile archiviare file PCAP in forma crittografata.
- Un'interfaccia web basata sulla piattaforma Node.js, che viene eseguita su ciascun server di acquisizione del traffico ed elabora le richieste relative all'accesso ai dati indicizzati e al trasferimento di file PCAP tramite API.
- Archiviazione di metadati basata su Elasticsearch.
Nella nuova versione:
- Aggiunto supporto per i protocolli IETF QUIC, GENEVE, VXLAN-GPE.
- Aggiunto il supporto per la tipologia Q-in-Q (Double VLAN), che consente di incapsulare i tag VLAN in tag di secondo livello per espandere il numero di VLAN a 16 milioni.
- Aggiunto il supporto per il tipo di campo “float”.
- Il modulo di registrazione in Amazon Elastic Compute Cloud è stato convertito per utilizzare il protocollo IMDSv2 (Instance Metadata Service).
- Il codice è stato rifattorizzato per aggiungere tunnel UDP.
- Aggiunto supporto per elasticsearchAPIKey ed elasticsearchBasicAuth.
Fonte: opennet.ru