Arkime 3.1 желілік пакеттерін түсіру, сақтау және индекстеу жүйесінің шығарылымы дайындалды, ол трафик ағындарын визуалды бағалау және желілік белсенділікке қатысты ақпаратты іздеу құралдарын ұсынады. Жоба бастапқыда AOL компаниясымен секундына ондаған гигабит жылдамдықпен трафикті өңдеу үшін масштабтауға қабілетті коммерциялық желі пакеттерін өңдеу платформаларының ашық және орналастырылатын ауыстыруын жасау мақсатында әзірленген. Трафикті түсіру компонентінің коды C тілінде жазылған, ал интерфейс Node.js/JavaScript ішінде жүзеге асырылады. Бастапқы код Apache 2.0 лицензиясы бойынша таратылады. Linux және FreeBSD жүйелеріндегі жұмысты қолдайды. Дайын пакеттер Arch, CentOS және Ubuntu үшін дайындалған.
Arkime жергілікті PCAP пішімінде трафикті түсіру және индекстеу құралдарын қамтиды, сонымен қатар индекстелген деректерге жылдам қол жеткізу құралдарын ұсынады. PCAP пішімін пайдалану Wireshark сияқты бар трафик анализаторларымен интеграцияны айтарлықтай жеңілдетеді. Сақталған деректердің көлемі тек қол жетімді диск массивінің өлшемімен шектеледі. Сеанс метадеректері Elasticsearch жүйесіне негізделген кластерде индекстелген.
Жинақталған ақпаратты талдау үшін үлгілерді шарлауға, іздеуге және экспорттауға мүмкіндік беретін веб-интерфейс ұсынылады. Веб-интерфейс бірнеше қарау режимдерін қамтамасыз етеді – жалпы статистикадан, қосылым карталарынан және желілік белсенділіктің өзгерістері туралы деректері бар визуалды графиктерден жеке сеанстарды зерттеуге, пайдаланылатын хаттамалар контекстіндегі белсенділікті талдауға және PCAP демптерінен деректерді талдауға арналған құралдарға дейін. Сондай-ақ, PCAP пішіміндегі түсірілген пакеттер және JSON пішіміндегі бөлшектелген сеанстар туралы деректерді үшінші тарап қолданбаларына жіберуге мүмкіндік беретін API қамтамасыз етілген.
Arkime үш негізгі компоненттен тұрады:
- Трафикті түсіру жүйесі трафикті бақылауға, дискіге демптерді PCAP пішімінде жазуға, түсірілген пакеттерді талдауға және сеанстар туралы метадеректерді (SPI, Stateful пакеттік тексеру) және Elasticsearch кластеріне хаттамаларды жіберуге арналған көп ағынды C қолданбасы болып табылады. PCAP файлдарын шифрланған түрде сақтауға болады.
- Әрбір трафикті түсіру серверінде жұмыс істейтін және индекстелген деректерге қол жеткізуге және API арқылы PCAP файлдарын тасымалдауға қатысты сұрауларды өңдейтін Node.js платформасына негізделген веб-интерфейс.
- Elasticsearch негізіндегі метадеректер қоймасы.
Жаңа шығарылымда:
- IETF QUIC, GENEVE, VXLAN-GPE протоколдарына қолдау қосылды.
- VLAN санын 16 миллионға дейін кеңейту үшін VLAN тегтерін екінші деңгейлі тегтерге инкапсуляциялауға мүмкіндік беретін Q-in-Q (Double VLAN) түріне қолдау қосылды.
- «Қалқымалы» өріс түріне қолдау қосылды.
- Amazon Elastic Compute Cloud жүйесіндегі жазу модулі IMDSv2 (Instance Metdata Service) протоколын пайдалану үшін түрлендірілді.
- UDP туннельдерін қосу үшін код қайта өңделді.
- elasticsearchAPIKey және elasticsearchBasicAuth үшін қосылған қолдау.
Ақпарат көзі: opennet.ru