Ir sagatavots tīkla pakešu uztveršanas, uzglabāšanas un indeksēšanas sistēmas Arkime 3.1 laidiens, kas nodrošina rīkus trafika plūsmu vizuālai novērtēšanai un ar tīkla darbību saistītas informācijas meklēšanai. Projektu sākotnēji izstrādāja AOL ar mērķi izveidot atvērtu un mitinātu komerciālo tīklu pakešu apstrādes platformu aizstājēju, kas var tikt mērogots, lai apstrādātu trafiku ar ātrumu desmitiem gigabitu sekundē. Datplūsmas uztveršanas komponenta kods ir rakstīts C valodā, un interfeiss ir ieviests Node.js/JavaScript. Avota kods tiek izplatīts saskaņā ar Apache 2.0 licenci. Darbs Linux un FreeBSD tiek atbalstīts. Gatavas paketes ir sagatavotas Arch, CentOS un Ubuntu.
Arkime ietver rīkus trafika tveršanai un indeksēšanai vietējā PCAP formātā, kā arī nodrošina rīkus ātrai piekļuvei indeksētiem datiem. PCAP formāta izmantošana ievērojami vienkāršo integrāciju ar esošajiem trafika analizatoriem, piemēram, Wireshark. Uzglabājamo datu apjomu ierobežo tikai pieejamā diska masīva lielums. Sesijas metadati tiek indeksēti klasterī, kura pamatā ir Elasticsearch dzinējs.
Lai analizētu uzkrāto informāciju, tiek piedāvāts tīmekļa interfeiss, kas ļauj pārvietoties, meklēt un eksportēt paraugus. Tīmekļa saskarne nodrošina vairākus skatīšanās režīmus - no vispārīgas statistikas, savienojumu kartēm un vizuāliem grafikiem ar datiem par tīkla aktivitāšu izmaiņām līdz rīkiem atsevišķu sesiju izpētei, darbības analīzei izmantoto protokolu kontekstā un datu parsēšanai no PCAP izgāztuvēm. Tiek nodrošināts arī API, kas ļauj nodot tvertās paketes PCAP formātā un parsētas sesijas JSON formātā trešo pušu lietojumprogrammām.
Arkime sastāv no trim pamata sastāvdaļām:
- Datplūsmas uztveršanas sistēma ir daudzpavedienu C lietojumprogramma trafika uzraudzībai, izgāztuvju ierakstīšanai PCAP formātā diskā, uztverto pakešu parsēšanai un sesijas metadatu (SPI, Stateful pakešu pārbaude) un protokolu nosūtīšanai Elasticsearch klasterim. Ir iespējams saglabāt PCAP failus šifrētā veidā.
- Tīmekļa saskarne, kuras pamatā ir Node.js platforma, kas darbojas katrā trafika uztveršanas serverī un apstrādā pieprasījumus, kas saistīti ar piekļuvi indeksētiem datiem un PCAP failu pārsūtīšanu, izmantojot API.
- Metadatu glabāšana, pamatojoties uz Elasticsearch.
Jaunajā laidienā:
- Pievienots IETF QUIC, GENEVE, VXLAN-GPE protokolu atbalsts.
- Pievienots atbalsts Q-in-Q (Double VLAN) tipam, kas ļauj iekapsulēt VLAN tagus otrā līmeņa tagos, lai paplašinātu VLAN skaitu līdz 16 miljoniem.
- Pievienots atbalsts lauka tipam "peldēt".
- Amazon Elastic Compute Cloud rakstītājs ir migrēts, lai izmantotu IMDSv2 (Instance Metadata Service) protokolu.
- Kods ir pārveidots, lai pievienotu UDP tuneļus.
- Pievienots elasticsearchAPIKey un elasticsearchBasicAuth atbalsts.
Avots: opennet.ru