Arkime 3.1, מערכת ללכידת, אחסון ואינדוקס של חבילות רשת, שוחררה. היא מספקת כלים להערכה ויזואלית של זרימות תעבורה ולחיפוש מידע הקשור לפעילות הרשת. הפרויקט פותח במקור על ידי AOL כדי ליצור תחליף פתוח וניתן לפריסה לפלטפורמות עיבוד חבילות רשת מסחריות המסוגלות להרחבה לטיפול בתעבורה במהירויות של עשרות ג'יגה-ביט לשנייה. רכיב לכידת התעבורה כתוב ב-C, והממשק מיושם ב-Node.js/JavaScript. קוד המקור מופץ תחת רישיון Apache 2.0. העבודה נתמכת ב- Linux ו-FreeBSD. חבילות מוכנות זמינות עבור Arch, CentOS и Ubuntu.
Arkime כולל כלים ללכידה ואינדקס של תעבורה בפורמט PCAP מקורי, וכן מספק כלים לגישה מהירה לנתונים שנוספו לאינדקס. השימוש בפורמט PCAP מפשט מאוד את האינטגרציה עם מנתחי תעבורה קיימים כגון Wireshark. נפח הנתונים המאוחסנים מוגבל רק על ידי גודל מערך הדיסקים הזמין. מטא-נתונים של פעילויות באתר מתווספים לאינדקס המבוסס על מנוע Elasticsearch.
לניתוח המידע המצטבר מוצע ממשק אינטרנט המאפשר לנווט, לחפש ולייצא דוגמאות. ממשק האינטרנט מספק מספר מצבי צפייה - מסטטיסטיקה כללית, מפות חיבור וגרפים ויזואליים עם נתונים על שינויים בפעילות הרשת ועד לכלים ללימוד מפגשים בודדים, ניתוח פעילות בהקשר של הפרוטוקולים בשימוש וניתוח נתונים מ-PCAP dumps. מסופק גם API המאפשר לשלוח נתונים על מנות שנלכדו בפורמט PCAP והפעלות מפורקות בפורמט JSON ליישומי צד שלישי.
Arkime מורכב משלושה מרכיבים בסיסיים:
- מערכת לכידת התעבורה היא אפליקציית C מרובה הליכי לניטור תעבורה, כתיבת dump בפורמט PCAP לדיסק, ניתוח מנות שנלכדו ושליחת מטא נתונים אודות מפגשים (SPI, Stateful packet inspection) ופרוטוקולים לאשכול Elasticsearch. אפשר לאחסן קבצי PCAP בצורה מוצפנת.
- ממשק אינטרנט המבוסס על פלטפורמת Node.js שפועל על כל שרת לכידת תעבורה ועיבוד בקשות הקשורות לגישה לנתונים אינדקסים והעברת קבצי PCAP דרך API.
- אחסון מטא נתונים מבוסס על Elasticsearch.
במהדורה החדשה:
- נוספה תמיכה בפרוטוקולי IETF QUIC, GENEVE, VXLAN-GPE.
- נוספה תמיכה בסוג Q-in-Q (Double VLAN), המאפשרת לכלול תגי VLAN בתגיות ברמה שנייה כדי להרחיב את מספר ה-VLAN ל-16 מיליון.
- נוספה תמיכה בסוג השדה "צף".
- מודול ההקלטה באמזון Elastic Compute Cloud הומר לשימוש בפרוטוקול IMDSv2 (Instance Metadata Service).
- הקוד שופץ מחדש כדי להוסיף מנהרות UDP.
- נוספה תמיכה עבור elasticsearchAPIKey ו- elasticsearchBasicAuth.
מקור: OpenNet.ru
