Parengta tinklo paketų fiksavimo, saugojimo ir indeksavimo sistemos Arkime 3.1 leidimas, suteikiantis įrankius vizualiai įvertinti srautų srautus ir ieškoti informacijos, susijusios su tinklo veikla. Projektą iš pradžių sukūrė AOL, siekdama sukurti atvirą ir įdiegiamą komercinio tinklo paketų apdorojimo platformų pakaitalą, galintį padidinti srautą dešimčių gigabitų per sekundę greičiu. Srauto fiksavimo komponento kodas parašytas C, o sąsaja įdiegta Node.js/JavaScript. Šaltinio kodas platinamas pagal Apache 2.0 licenciją. Palaiko darbą Linux ir FreeBSD. Paruošti paketai Arch, CentOS ir Ubuntu.
„Arkime“ apima įrankius, skirtus srautui fiksuoti ir indeksuoti vietiniu PCAP formatu, taip pat įrankius, leidžiančius greitai pasiekti indeksuotus duomenis. PCAP formato naudojimas labai supaprastina integraciją su esamais srauto analizatoriais, tokiais kaip Wireshark. Saugomų duomenų kiekį riboja tik turimo disko masyvo dydis. Seanso metaduomenys indeksuojami klasteryje, pagrįstoje Elasticsearch varikliu.
Sukauptai informacijai analizuoti siūloma internetinė sąsaja, leidžianti naršyti, ieškoti ir eksportuoti pavyzdžius. Žiniatinklio sąsaja suteikia keletą peržiūros režimų – nuo bendrosios statistikos, ryšio žemėlapių ir vaizdinių grafikų su duomenimis apie tinklo veiklos pokyčius iki įrankių, skirtų atskirų seansų tyrimui, veiklos analizei naudojamų protokolų kontekste ir duomenų iš PCAP sąvartynų analizavimui. Taip pat pateikiama API, leidžianti siųsti duomenis apie užfiksuotus paketus PCAP formatu ir išardytas sesijas JSON formatu į trečiųjų šalių programas.
„Arkime“ susideda iš trijų pagrindinių komponentų:
- Srauto fiksavimo sistema yra kelių gijų C programa, skirta stebėti srautą, įrašyti ištraukas PCAP formatu į diską, analizuoti užfiksuotus paketus ir siųsti metaduomenis apie seansus (SPI, Stateful paketų tikrinimas) ir protokolus į Elasticsearch klasterį. Galima saugoti PCAP failus šifruota forma.
- Žiniatinklio sąsaja, pagrįsta Node.js platforma, kuri veikia kiekviename srauto fiksavimo serveryje ir apdoroja užklausas, susijusias su prieiga prie indeksuotų duomenų ir PCAP failų perdavimu per API.
- Metaduomenų saugykla, pagrįsta Elasticsearch.
Naujame leidime:
- Pridėtas IETF QUIC, GENEVE, VXLAN-GPE protokolų palaikymas.
- Pridėtas Q-in-Q (Double VLAN) tipo palaikymas, leidžiantis įterpti VLAN žymas į antrojo lygio žymas, kad VLAN skaičius būtų padidintas iki 16 mln.
- Pridėtas lauko tipo „plūduriavimas“ palaikymas.
- „Amazon Elastic Compute Cloud“ įrašymo modulis buvo konvertuotas naudoti IMDSv2 (Instance Metadata Service) protokolą.
- Kodas buvo pakeistas, kad būtų pridėti UDP tuneliai.
- Pridėtas elasticsearchAPIKey ir elasticsearchBasicAuth palaikymas.
Šaltinis: opennet.ru