Rilis sistem kanggo njupuk, nyimpen lan ngindeks paket jaringan Arkime 3.1 wis disiapake, nyedhiyakake alat kanggo ngevaluasi arus lalu lintas kanthi visual lan nggoleki informasi sing ana gandhengane karo kegiatan jaringan. Proyek kasebut wiwitane dikembangake dening AOL kanthi tujuan nggawe panggantos sing mbukak lan bisa disebarake kanggo platform pangolahan paket jaringan komersial, sing bisa nggawe skala kanggo ngolah lalu lintas kanthi kecepatan puluhan gigabit per detik. Kode komponen dijupuk lalu lintas ditulis ing C, lan antarmuka dipun ginakaken ing Node.js/JavaScript. Kode sumber disebarake miturut lisensi Apache 2.0. Ndhukung karya ing Linux lan FreeBSD. Paket siap disiapake kanggo Arch, CentOS lan Ubuntu.
Arkime kalebu alat kanggo njupuk lan ngindeks lalu lintas ing format PCAP asli, lan uga nyedhiyakake alat kanggo akses cepet menyang data sing diindeks. Panggunaan format PCAP nyederhanakake integrasi karo analisa lalu lintas sing wis ana kayata Wireshark. Volume data sing disimpen mung diwatesi karo ukuran array disk sing kasedhiya. Metadata sesi diindeks ing kluster adhedhasar mesin Elasticsearch.
Kanggo nganalisa informasi akumulasi, antarmuka web ditawakake sing ngidini sampeyan navigasi, telusuran lan ngekspor conto. Antarmuka web nyedhiyakake sawetara mode tampilan - saka statistik umum, peta sambungan lan grafik visual kanthi data babagan owah-owahan aktivitas jaringan menyang alat kanggo sinau sesi individu, nganalisa kegiatan ing konteks protokol sing digunakake lan data parsing saka dumps PCAP. API uga kasedhiya sing ngidini sampeyan ngirim data babagan paket sing dijupuk ing format PCAP lan sesi disassembled ing format JSON menyang aplikasi pihak katelu.
Arkime kasusun saka telung komponen dhasar:
- Sistem panangkepan lalu lintas minangka aplikasi C multi-Utas kanggo ngawasi lalu lintas, nulis dumps ing format PCAP menyang disk, parsing paket sing dijupuk lan ngirim metadata babagan sesi (SPI, inspeksi paket Stateful) lan protokol menyang kluster Elasticsearch. Sampeyan bisa nyimpen file PCAP ing wangun ndhelik.
- Antarmuka web adhedhasar platform Node.js, sing mlaku ing saben server panangkepan lalu lintas lan ngolah panjaluk sing ana gandhengane kanggo ngakses data sing diindeks lan nransfer file PCAP liwat API.
- Panyimpenan metadata adhedhasar Elasticsearch.
Ing release anyar:
- Dhukungan ditambahake kanggo protokol IETF QUIC, GENEVE, VXLAN-GPE.
- Added support kanggo Q-in-Q (Double VLAN) jinis, sing ngijini sampeyan kanggo encapsulate tag VLAN ing tag tingkat kapindho kanggo nggedhekake nomer VLAN kanggo 16 yuta.
- Ditambahake dhukungan kanggo jinis lapangan "ngambang".
- Modul rekaman ing Amazon Elastic Compute Cloud wis diowahi kanggo nggunakake protokol IMDSv2 (Instance Metadata Service).
- Kode wis refactored kanggo nambah trowongan UDP.
- Dhukungan ditambahake kanggo elasticsearchAPIKy lan elasticsearchBasicAuth.
Source: opennet.ru