Keluaran sistem untuk menangkap, menyimpan dan mengindeks paket rangkaian Arkime 3.1 telah disediakan, menyediakan alat untuk menilai aliran trafik secara visual dan mencari maklumat yang berkaitan dengan aktiviti rangkaian. Projek ini pada asalnya dibangunkan oleh AOL dengan matlamat untuk mencipta penggantian terbuka dan boleh digunakan untuk platform pemprosesan paket rangkaian komersial, yang mampu menskala untuk memproses trafik pada kelajuan berpuluh-puluh gigabit sesaat. Kod komponen tangkapan trafik ditulis dalam C dan antara muka dilaksanakan dalam Node.js/JavaScript. Kod sumber diedarkan di bawah lesen Apache 2.0. Menyokong kerja pada Linux dan FreeBSD. Pakej siap sedia disediakan untuk Arch, CentOS dan Ubuntu.
Arkime termasuk alatan untuk menangkap dan mengindeks trafik dalam format PCAP asli, dan juga menyediakan alatan untuk akses pantas kepada data yang diindeks. Penggunaan format PCAP sangat memudahkan penyepaduan dengan penganalisis trafik sedia ada seperti Wireshark. Jumlah data yang disimpan dihadkan hanya oleh saiz tatasusunan cakera yang tersedia. Metadata sesi diindeks dalam kelompok berdasarkan enjin Elasticsearch.
Untuk menganalisis maklumat terkumpul, antara muka web ditawarkan yang membolehkan anda menavigasi, mencari dan mengeksport sampel. Antara muka web menyediakan beberapa mod tontonan - daripada statistik umum, peta sambungan dan graf visual dengan data tentang perubahan dalam aktiviti rangkaian kepada alatan untuk mengkaji sesi individu, menganalisis aktiviti dalam konteks protokol yang digunakan dan menghuraikan data daripada pembuangan PCAP. API juga disediakan yang membolehkan anda menghantar data tentang paket yang ditangkap dalam format PCAP dan sesi dibongkar dalam format JSON kepada aplikasi pihak ketiga.
Arkime terdiri daripada tiga komponen asas:
- Sistem tangkapan trafik ialah aplikasi C berbilang benang untuk memantau trafik, menulis pembuangan dalam format PCAP ke cakera, menghuraikan paket yang ditangkap dan menghantar metadata tentang sesi (SPI, pemeriksaan paket Stateful) dan protokol kepada kelompok Elasticsearch. Anda boleh menyimpan fail PCAP dalam bentuk yang disulitkan.
- Antara muka web berdasarkan platform Node.js, yang berjalan pada setiap pelayan tangkapan trafik dan memproses permintaan yang berkaitan dengan mengakses data diindeks dan memindahkan fail PCAP melalui API.
- Storan metadata berdasarkan Elasticsearch.
Dalam keluaran baharu:
- Menambah sokongan untuk protokol IETF QUIC, GENEVE, VXLAN-GPE.
- Sokongan tambahan untuk jenis Q-in-Q (Double VLAN), yang membolehkan anda merangkum teg VLAN dalam teg peringkat kedua untuk mengembangkan bilangan VLAN kepada 16 juta.
- Menambah sokongan untuk jenis medan "terapung".
- Modul rakaman dalam Amazon Elastic Compute Cloud telah ditukar untuk menggunakan protokol IMDSv2 (Instance Metadata Service).
- Kod telah difaktorkan semula untuk menambah terowong UDP.
- Sokongan tambahan untuk elasticsearchAPIKey dan elasticsearchBasicAuth.
Sumber: opennet.ru