Arkime 3.1 тармак пакеттерин басып алуу, сактоо жана индекстөө системасынын релизи даярдалды, ал трафик агымын визуалдык баалоо жана тармактын активдүүлүгүнө байланыштуу маалыматты издөө үчүн куралдар менен камсыз болду. Долбоор алгач AOL тарабынан иштелип чыккан жана секундасына ондогон гигабит ылдамдыкта трафикти иштетүүгө жөндөмдүү коммерциялык тармак пакеттерин иштетүү платформалары үчүн ачык жана жайылтыла турган алмаштырууну түзүү максатында иштелип чыккан. Трафикти тартуу компонентинин коду C тилинде жазылган, ал эми интерфейс Node.js/JavaScriptде ишке ашырылган. Булак коду Apache 2.0 лицензиясы боюнча таратылат. Linux жана FreeBSDде иштөөнү колдойт. Даяр пакеттер Arch, CentOS жана Ubuntu үчүн даярдалган.
Arkime жергиликтүү PCAP форматында трафикти басып алуу жана индекстөө үчүн куралдарды камтыйт, ошондой эле индекстелген маалыматтарга тез жетүү үчүн куралдар менен камсыз кылат. PCAP форматын колдонуу Wireshark сыяктуу учурдагы трафик анализаторлору менен интеграцияны абдан жөнөкөйлөтөт. Сакталган маалыматтардын көлөмү жеткиликтүү диск массивинин өлчөмү менен гана чектелет. Сеанстын метадайындары Elasticsearch кыймылдаткычына негизделген кластерде индекстелет.
Топтолгон маалыматты талдоо үчүн веб-интерфейс сунушталат, ал навигациялоого, издөөгө жана үлгүлөрдү экспорттоого мүмкүндүк берет. Веб-интерфейс бир нече көрүү режимдерин камсыздайт - жалпы статистикадан, туташуулар карталарынан жана тармактык активдүүлүктүн өзгөрүшү жөнүндө маалыматтар менен визуалдык графиктерден жеке сеанстарды изилдөө, колдонулган протоколдордун контекстинде активдүүлүктү талдоо жана PCAP таштандыларынан маалыматтарды талдоо куралдарына чейин. PCAP форматындагы басып алынган пакеттер жана JSON форматындагы демонтаждалган сеанстар жөнүндө маалыматтарды үчүнчү тараптын тиркемелерине жөнөтүүгө мүмкүндүк берген API да берилет.
Arkime үч негизги компоненттен турат:
- Трафикти тартуу системасы трафикти көзөмөлдөө, дискке PCAP форматында дамптарды жазуу, басып алынган пакеттерди талдоо жана сеанстар (SPI, Stateful пакет текшерүүсү) жана Elasticsearch кластерине протоколдор жөнүндө метаберилиштерди жөнөтүү үчүн көп агымдуу C тиркемеси. PCAP файлдарын шифрленген түрдө сактоого болот.
- Node.js платформасына негизделген веб-интерфейс, ал ар бир трафикти кармоо серверинде иштейт жана индекстелген маалыматтарга жетүү жана API аркылуу PCAP файлдарын өткөрүү менен байланышкан суроо-талаптарды иштеп чыгат.
- Elasticsearch негизинде метадайындарды сактоо.
Жаңы чыгарылышта:
- IETF QUIC, GENEVE, VXLAN-GPE протоколдоруна колдоо кошулду.
- Q-in-Q (Кош VLAN) тибине колдоо кошулду, ал VLAN тегдерин экинчи деңгээлдеги тегдерге капсулдаштырууга мүмкүндүк берет, VLANдардын санын 16 миллионго чейин кеңейтет.
- "Float" талаа түрү үчүн колдоо кошулду.
- Amazon Elastic Compute Cloud'тагы жаздыруу модулу IMDSv2 (Instance Metdata Service) протоколун колдонуу үчүн өзгөртүлгөн.
- UDP туннелдерин кошуу үчүн код рефакторацияланган.
- elasticsearchAPIKey жана elasticsearchBasicAuth үчүн кошумча колдоо.
Source: opennet.ru