Подготвено е издание на системот за фаќање, складирање и индексирање мрежни пакети Arkime 3.1, обезбедувајќи алатки за визуелно оценување на сообраќајните текови и пребарување на информации поврзани со мрежната активност. Проектот првично беше развиен од AOL со цел да се создаде отворена и распоредлива замена за комерцијални мрежни платформи за обработка на пакети, способни за скалирање за обработка на сообраќај со брзина од десетици гигабити во секунда. Кодот на компонентата за снимање сообраќај е напишан во C, а интерфејсот е имплементиран во Node.js/JavaScript. Изворниот код се дистрибуира под лиценцата Apache 2.0. Поддржува работа на Linux и FreeBSD. Подготвени се готови пакети за Arch, CentOS и Ubuntu.
Arkime вклучува алатки за снимање и индексирање на сообраќајот во мајчин PCAP формат, а исто така обезбедува алатки за брз пристап до индексирани податоци. Употребата на форматот PCAP во голема мера ја поедноставува интеграцијата со постоечките сообраќајни анализатори како што е Wireshark. Обемот на складирани податоци е ограничен само од големината на достапната низа на дискови. Метаподатоците за сесијата се индексираат во кластер базиран на моторот Elasticsearch.
За да се анализираат акумулираните информации, се нуди веб-интерфејс кој ви овозможува да се движите, пребарувате и извезувате примероци. Веб-интерфејсот обезбедува неколку начини на гледање - од општа статистика, мапи за поврзување и визуелни графикони со податоци за промените во мрежната активност до алатки за проучување на поединечни сесии, анализа на активноста во контекст на користените протоколи и парсирање на податоци од депонии на PCAP. Обезбеден е и API кој ви овозможува да испраќате податоци за заробените пакети во формат PCAP и расклопени сесии во формат JSON до апликации од трети страни.
Arkime се состои од три основни компоненти:
- Системот за фаќање сообраќај е апликација C со повеќе нишки за следење на сообраќајот, запишување депонии во формат PCAP на дискот, парсирање на заробени пакети и испраќање метаподатоци за сесиите (SPI, инспекција на државни пакети) и протоколи до кластерот Elasticsearch. Можно е да се складираат PCAP-датотеки во шифрирана форма.
- Веб-интерфејс базиран на платформата Node.js, кој работи на секој сервер за снимање сообраќај и ги обработува барањата поврзани со пристап до индексирани податоци и пренос на датотеки PCAP преку API.
- Складирање на метаподатоци базирано на Elasticsearch.
Во новото издание:
- Додадена е поддршка за протоколи IETF QUIC, GENEVE, VXLAN-GPE.
- Додадена е поддршка за типот Q-in-Q (Double VLAN), кој ви овозможува да ги инкапсулирате ознаките VLAN во тагови од второ ниво за да го проширите бројот на VLAN на 16 милиони.
- Додадена е поддршка за типот на полето „float“.
- Модулот за снимање во Amazon Elastic Compute Cloud е конвертиран да го користи протоколот IMDSv2 (Instance Metadata Service).
- Кодот е рефакториран за да се додадат UDP тунели.
- Додадена е поддршка за elasticsearchAPIKey и elasticsearchBasicAuth.
Извор: opennet.ru