ネットワーク パケットのキャプチャ、保存、インデックス付けを行うシステム Arkime 3.1 のリリースが準備され、トラフィック フローを視覚的に評価し、ネットワーク アクティビティに関連する情報を検索するためのツールが提供されます。 このプロジェクトはもともと AOL によって開発され、商用ネットワークのパケット処理プラットフォームに代わるオープンで導入可能な代替プラットフォームを作成し、毎秒数十ギガビットの速度でトラフィックを処理できるように拡張できました。 トラフィック キャプチャ コンポーネントのコードは C で記述され、インターフェイスは Node.js/JavaScript で実装されます。 ソース コードは Apache 2.0 ライセンスに基づいて配布されます。 Linux および FreeBSD での作業をサポートします。 Arch、CentOS、Ubuntu用の既製パッケージが用意されています。
Arkime には、ネイティブ PCAP 形式でトラフィックをキャプチャおよびインデックス付けするためのツールが含まれており、インデックス付けされたデータに迅速にアクセスするためのツールも提供します。 PCAP 形式を使用すると、Wireshark などの既存のトラフィック アナライザーとの統合が大幅に簡素化されます。 保存されるデータの量は、利用可能なディスク アレイのサイズによってのみ制限されます。 セッション メタデータは、Elasticsearch エンジンに基づいてクラスター内でインデックス付けされます。
蓄積された情報を分析するために、サンプルの移動、検索、エクスポートを可能にする Web インターフェイスが提供されます。 Web インターフェイスは、一般的な統計、接続マップ、ネットワーク アクティビティの変化に関するデータを含む視覚的なグラフから、個々のセッションを調査し、使用されているプロトコルのコンテキストでアクティビティを分析し、PCAP ダンプからのデータを解析するためのツールに至るまで、いくつかの表示モードを提供します。 PCAP 形式でキャプチャされたパケットおよび JSON 形式で逆アセンブルされたセッションに関するデータをサードパーティ アプリケーションに送信できる API も提供されています。
Arkime は XNUMX つの基本コンポーネントで構成されます。
- トラフィック キャプチャ システムは、トラフィックの監視、PCAP 形式でのダンプのディスクへの書き込み、キャプチャされたパケットの解析、セッション (SPI、ステートフル パケット インスペクション) およびプロトコルに関するメタデータの Elasticsearch クラスターへの送信を行うマルチスレッド C アプリケーションです。 PCAP ファイルを暗号化された形式で保存することができます。
- Node.js プラットフォームに基づく Web インターフェイス。各トラフィック キャプチャ サーバー上で実行され、インデックス付きデータへのアクセスと API を介した PCAP ファイルの転送に関連するリクエストを処理します。
- Elasticsearch に基づくメタデータ ストレージ。
新しいリリースでは:
- IETF QUIC、GENEVE、VXLAN-GPE プロトコルのサポートが追加されました。
- Q-in-Q (ダブル VLAN) タイプのサポートが追加されました。これにより、VLAN タグを第 16 レベルのタグにカプセル化して、VLAN の数を XNUMX 万に拡張できます。
- 「float」フィールドタイプのサポートが追加されました。
- Amazon Elastic Compute Cloud の記録モジュールは、IMDSv2 (Instance Metadata Service) プロトコルを使用するように変換されました。
- UDP トンネルを追加するためにコードがリファクタリングされました。
- elasticsearchAPIKey と elasticsearchBasicAuth のサポートが追加されました。
出所: オープンネット.ru