Аркиме 3.1 сүлжээний пакетуудыг барьж авах, хадгалах, индексжүүлэх системийн хувилбарыг бэлтгэсэн бөгөөд энэ нь замын хөдөлгөөний урсгалыг нүдээр үнэлэх, сүлжээний үйл ажиллагаатай холбоотой мэдээллийг хайх хэрэгслээр хангагдсан. Энэхүү төслийг AOL анх боловсруулсан бөгөөд арилжааны сүлжээний пакет боловсруулах платформыг орлуулах боломжтой бөгөөд энэ нь секундэд хэдэн арван гигабит хурдтай траффик боловсруулах боломжтой юм. Замын хөдөлгөөнийг бүртгэх бүрэлдэхүүн хэсгийн код нь C хэл дээр бичигдсэн бөгөөд интерфейс нь Node.js/JavaScript дээр хэрэгждэг. Эх кодыг Apache 2.0 лицензийн дагуу түгээдэг. Линукс болон FreeBSD дээр ажиллахыг дэмждэг. Arch, CentOS, Ubuntu-д зориулж бэлэн багцуудыг бэлтгэсэн.
Arkime нь PCAP форматаар траффик авах, индексжүүлэх хэрэгслүүдийг багтаасан бөгөөд индексжүүлсэн өгөгдөлд хурдан нэвтрэх хэрэгслүүдээр хангадаг. PCAP форматыг ашиглах нь Wireshark зэрэг одоо байгаа траффик анализаторуудтай нэгдэх ажлыг ихээхэн хялбаршуулдаг. Хадгалагдсан өгөгдлийн хэмжээ нь зөвхөн боломжтой дискний массивын хэмжээгээр хязгаарлагддаг. Сессийн мета өгөгдлийг Elasticsearch систем дээр суурилсан кластерт индексжүүлдэг.
Хуримтлагдсан мэдээллийг шинжлэхийн тулд дээжийг чиглүүлэх, хайх, экспортлох боломжийг олгодог вэб интерфэйсийг санал болгож байна. Вэб интерфэйс нь ерөнхий статистик, холболтын газрын зураг, сүлжээний үйл ажиллагааны өөрчлөлтийн талаарх мэдээлэл бүхий визуал графикаас эхлээд бие даасан сессүүдийг судлах, ашигласан протоколын хүрээнд үйл ажиллагаанд дүн шинжилгээ хийх, PCAP хогийн цэгээс өгөгдлийг задлан шинжлэх зэрэг хэд хэдэн үзэх горимоор хангадаг. PCAP форматаар авсан пакетуудын талаарх мэдээллийг болон JSON форматаар задалсан сессийн талаарх мэдээллийг гуравдагч талын программ руу илгээх боломжийг олгодог API-г мөн өгсөн.
Arkime нь гурван үндсэн бүрэлдэхүүн хэсгээс бүрдэнэ.
- Traffic capture систем нь урсгалыг хянах, диск рүү PCAP форматаар дамп бичих, баригдсан пакетуудыг задлан шинжлэх, сесс (SPI, Stateful packet inspection) болон протоколуудын тухай мета өгөгдлийг Elasticsearch кластерт илгээхэд зориулагдсан олон урсгалтай C програм юм. PCAP файлуудыг шифрлэгдсэн хэлбэрээр хадгалах боломжтой.
- Node.js платформ дээр суурилсан вэб интерфэйс нь траффик хадгалах сервер бүр дээр ажилладаг бөгөөд индексжүүлсэн өгөгдөлд хандах, PCAP файлуудыг API-ээр дамжуулахтай холбоотой хүсэлтийг боловсруулдаг.
- Elasticsearch дээр суурилсан мета өгөгдлийн сан.
Шинэ хувилбарт:
- IETF QUIC, GENEVE, VXLAN-GPE протоколуудын дэмжлэгийг нэмсэн.
- Q-in-Q (Давхар VLAN) төрлийн дэмжлэгийг нэмсэн бөгөөд энэ нь VLAN-н тоог 16 сая хүртэл нэмэгдүүлэхийн тулд хоёр дахь түвшний шошгонд VLAN хаягуудыг багтаах боломжийг олгодог.
- "Хөвөгч" талбарын төрлийг дэмжсэн.
- Amazon Elastic Compute Cloud дахь бичлэгийн модулийг IMDSv2 (Instance Metadata Service) протоколыг ашиглахаар хөрвүүлсэн.
- UDP туннель нэмэхийн тулд кодыг дахин зассан.
- elasticsearchAPIKey болон elasticsearchBasicAuth-д зориулсан дэмжлэг нэмэгдсэн.
Эх сурвалж: opennet.ru