Eng Verëffentlechung vum System fir d'Erfaassung, d'Späicheren an d'Indexéiere vun Netzwierkpaketen Arkime 3.1 gouf virbereet, déi Tools ubitt fir visuell Verkéiersfloss ze bewäerten an no Informatioun am Zesummenhang mat Netzwierkaktivitéit ze sichen. De Projet gouf ursprénglech vun AOL entwéckelt mam Zil en oppenen an deployéierbare Ersatz fir kommerziell Netzwierk Paketveraarbechtungsplattformen ze kreéieren, fäeg ze skaléieren fir de Traffic mat Geschwindegkeete vun Zénger vu Gigabits pro Sekonn ze veraarbecht. De Traffic Capture Komponentcode gëtt an C geschriwwen, an d'Interface gëtt an Node.js/JavaScript implementéiert. De Quellcode gëtt ënner der Apache 2.0 Lizenz verdeelt. Ënnerstëtzt Aarbecht op Linux a FreeBSD. Fäerdeg Pakete gi fir Arch, CentOS an Ubuntu virbereet.
Arkime enthält Tools fir de Verkéier am gebiertege PCAP Format z'erfaassen an ze indexéieren, a bitt och Tools fir séier Zougang zu indexéierten Donnéeën. D'Benotzung vum PCAP-Format vereinfacht immens d'Integratioun mat existente Trafficanalysatoren wéi Wireshark. De Volume vun de gespäicherten Donnéeën ass nëmme limitéiert duerch d'Gréisst vun der verfügbaren Disk Array. Sessioun Metadaten ginn an engem Cluster indexéiert baséiert op der Elasticsearch Engine.
Fir déi gesammelt Informatioun ze analyséieren, gëtt e Webinterface ugebueden, deen Iech erlaabt Iech Proben ze navigéieren, ze sichen an ze exportéieren. D'Web-Interface bitt verschidde Gesiichtsmodi - vun allgemenge Statistiken, Verbindungskaarten a visuelle Grafike mat Daten iwwer Ännerungen an der Netzwierkaktivitéit bis Tools fir eenzel Sessiounen ze studéieren, d'Aktivitéit ze analyséieren am Kontext vun de benotzte Protokoller an d'Parséiere vun Daten aus PCAP Dumps. Eng API gëtt och zur Verfügung gestallt, déi Iech erlaabt Daten iwwer gefaange Paketen am PCAP-Format an ofgebaute Sessiounen am JSON-Format un Drëtt Partei Uwendungen ze schécken.
Arkime besteet aus dräi Basiskomponenten:
- De Traffic Capture System ass eng Multi-threaded C Applikatioun fir den Traffic ze iwwerwaachen, Dumps am PCAP Format op Disk ze schreiwen, ageholl Paketen ze analyséieren a Metadaten iwwer Sessiounen (SPI, Stateful Packet Inspection) a Protokoller an den Elasticsearch Cluster ze schécken. Et ass méiglech PCAP Dateien a verschlësselte Form ze späicheren.
- Eng Web-Interface baséiert op der Node.js Plattform, déi op all Traffic Capture Server leeft an Ufroe veraarbecht am Zesummenhang mat den Zougang zu indexéierten Donnéeën an d'Transfert vun PCAP Dateien iwwer d'API.
- Metadatenlagerung baséiert op Elasticsearch.
An der neier Verëffentlechung:
- Zousätzlech Ënnerstëtzung fir IETF QUIC, GENEVE, VXLAN-GPE Protokoller.
- Zousätzlech Ënnerstëtzung fir den Typ Q-in-Q (Double VLAN), wat Iech erlaabt VLAN-Tags an Second-Level Tags ze kapsuléieren fir d'Zuel vu VLANs op 16 Milliounen auszebauen.
- Ënnerstëtzung bäigefüügt fir den "Flott" Feldtyp.
- Den Opnammodul an Amazon Elastic Compute Cloud gouf ëmgewandelt fir den IMDSv2 (Instance Metadata Service) Protokoll ze benotzen.
- De Code gouf refactored fir UDP Tunnelen ze addéieren.
- Zousätzlech Ënnerstëtzung fir elasticsearchAPIKey an elasticsearchBasicAuth.
Source: opennet.ru