Arkime 3.1 네트워크 트래픽 인덱싱 시스템을 사용할 수 있습니다.

트래픽 흐름을 시각적으로 평가하고 네트워크 활동과 관련된 정보를 검색하는 도구를 제공하는 네트워크 패킷 캡처, 저장 및 인덱싱을 위한 시스템 릴리스인 Arkime 3.1이 준비되었습니다. 이 프로젝트는 원래 초당 수십 기가비트의 속도로 트래픽을 처리하도록 확장할 수 있는 상용 네트워크 패킷 처리 플랫폼에 대한 개방적이고 배포 가능한 대체품을 만드는 것을 목표로 AOL에서 개발되었습니다. 트래픽 캡처 구성 요소 코드는 C로 작성되었으며 인터페이스는 Node.js/JavaScript로 구현되었습니다. 소스 코드는 Apache 2.0 라이센스에 따라 배포됩니다. Linux 및 FreeBSD에서의 작업을 지원합니다. Arch, CentOS 및 Ubuntu용 기성 패키지가 준비되어 있습니다.

Arkime에는 기본 PCAP 형식으로 트래픽을 캡처하고 인덱싱하는 도구가 포함되어 있으며 인덱싱된 데이터에 빠르게 액세스할 수 있는 도구도 제공합니다. PCAP 형식을 사용하면 Wireshark와 같은 기존 트래픽 분석기와의 통합이 크게 단순화됩니다. 저장된 데이터의 양은 사용 가능한 디스크 어레이의 크기에 의해서만 제한됩니다. 세션 메타데이터는 Elasticsearch 엔진을 기반으로 클러스터에 인덱싱됩니다.

축적된 정보를 분석하기 위해 샘플을 탐색하고 검색하고 내보낼 수 있는 웹 인터페이스가 제공됩니다. 웹 인터페이스는 일반 통계, 연결 맵, 네트워크 활동 변화에 대한 데이터가 포함된 시각적 그래프부터 개별 세션 연구, 사용된 프로토콜 컨텍스트에서 활동 분석, PCAP 덤프의 데이터 구문 분석을 위한 도구에 이르기까지 다양한 보기 모드를 제공합니다. PCAP 형식의 캡처된 패킷과 JSON 형식의 분해된 세션에 대한 데이터를 타사 애플리케이션으로 보낼 수 있는 API도 제공됩니다.

Arkime은 세 가지 기본 구성 요소로 구성됩니다.

• 트래픽 캡처 시스템은 트래픽 모니터링, 디스크에 PCAP 형식의 덤프 쓰기, 캡처된 패킷 구문 분석, 세션(SPI, Stateful 패킷 검사) 및 프로토콜에 대한 메타데이터를 Elasticsearch 클러스터로 보내기 위한 멀티스레드 C 애플리케이션입니다. PCAP 파일을 암호화된 형식으로 저장할 수 있습니다.
• 각 트래픽 캡처 서버에서 실행되고 API를 통해 색인화된 데이터 액세스 및 PCAP 파일 전송과 관련된 요청을 처리하는 Node.js 플랫폼 기반의 웹 인터페이스입니다.
• Elasticsearch 기반의 메타데이터 저장.

새 릴리스에서:

• IETF QUIC, GENEVE, VXLAN-GPE 프로토콜에 대한 지원이 추가되었습니다.
• VLAN 태그를 두 번째 수준 태그에 캡슐화하여 VLAN 수를 16만 개로 확장할 수 있는 Q-in-Q(이중 VLAN) 유형에 대한 지원이 추가되었습니다.
• "float" 필드 유형에 대한 지원이 추가되었습니다.
• Amazon Elastic Compute Cloud의 녹음 모듈이 IMDSv2(Instance Metadata Service) 프로토콜을 사용하도록 변환되었습니다.
• UDP 터널을 추가하도록 코드가 리팩터링되었습니다.
• elasticsearchAPIKey 및 elasticsearchBasicAuth에 대한 지원이 추가되었습니다.

출처 : opennet.ru