Ġie ppreparat rilaxx tas-sistema għall-qbid, il-ħażna u l-indiċjar tal-pakketti tan-netwerk Arkime 3.1, li jipprovdi għodod għall-valutazzjoni viżwali tal-flussi tat-traffiku u t-tfittxija għal informazzjoni relatata mal-attività tan-netwerk. Il-proġett kien oriġinarjament żviluppat minn AOL bil-għan li jinħoloq sostituzzjoni miftuħa u skjerata għal pjattaformi ta 'proċessar ta' pakketti tan-netwerk kummerċjali, li kapaċi jiskalaw biex jipproċessaw it-traffiku b'veloċitajiet ta 'għexieren ta' gigabits kull sekonda. Il-kodiċi tal-komponent tal-qbid tat-traffiku huwa miktub f'Ċ, u l-interface hija implimentata f'Node.js/JavaScript. Il-kodiċi tas-sors huwa mqassam taħt il-liċenzja Apache 2.0. Jappoġġja xogħol fuq Linux u FreeBSD. Pakketti lesti huma ppreparati għal Arch, CentOS u Ubuntu.
Arkime jinkludi għodod għall-qbid u l-indiċjar tat-traffiku fil-format nattiv tal-PCAP, u jipprovdi wkoll għodod għal aċċess rapidu għal data indiċjata. L-użu tal-format PCAP jissimplifika ħafna l-integrazzjoni ma 'analizzaturi tat-traffiku eżistenti bħal Wireshark. Il-volum tad-dejta maħżuna huwa limitat biss mid-daqs tal-firxa tad-disk disponibbli. Il-metadejta tas-sessjoni hija indiċjata f'grupp ibbażat fuq il-magna ta' riċerka Elastic.
Biex tanalizza l-informazzjoni akkumulata, tiġi offruta interface tal-web li tippermettilek tinnaviga, tfittex u tesporta kampjuni. L-interface tal-web tipprovdi diversi modi ta 'wiri - minn statistika ġenerali, mapep ta' konnessjoni u graffs viżwali b'dejta dwar bidliet fl-attività tan-netwerk għal għodod għall-istudju ta 'sessjonijiet individwali, analiżi tal-attività fil-kuntest tal-protokolli użati u parsing tad-dejta minn miżbliet PCAP. Hija pprovduta wkoll API li tippermettilek tibgħat data dwar pakketti maqbuda f'format PCAP u sessjonijiet żarmati f'format JSON lil applikazzjonijiet ta 'partijiet terzi.
Arkime jikkonsisti fi tliet komponenti bażiċi:
- Is-sistema ta 'qbid tat-traffiku hija applikazzjoni C multi-threaded għall-monitoraġġ tat-traffiku, tikteb dumps fil-format PCAP fuq disk, parsing pakketti maqbuda u tibgħat metadata dwar sessjonijiet (SPI, Spezzjoni ta' pakkett Stateful) u protokolli lill-cluster Elasticsearch. Huwa possibbli li jinħażnu fajls PCAP f'forma kriptata.
- Interfaċċja tal-web ibbażata fuq il-pjattaforma Node.js, li taħdem fuq kull server tal-qbid tat-traffiku u tipproċessa talbiet relatati mal-aċċess għal dejta indiċjata u t-trasferiment tal-fajls PCAP permezz tal-API.
- Ħażna ta' metadejta bbażata fuq Elasticsearch.
Fir-rilaxx il-ġdid:
- Appoġġ miżjud għall-protokolli IETF QUIC, GENEVE, VXLAN-GPE.
- Appoġġ miżjud għat-tip Q-in-Q (Double VLAN), li jippermettilek li tiġbor tikketti VLAN f'tikketti tat-tieni livell biex tespandi n-numru ta 'VLANs għal 16-il miljun.
- Appoġġ miżjud għat-tip ta 'qasam "float".
- Il-modulu ta' reġistrazzjoni f'Amazon Elastic Compute Cloud ġie kkonvertit biex juża l-protokoll IMDSv2 (Instance Metadata Service).
- Il-kodiċi ġie refactored biex jiżdiedu mini UDP.
- Appoġġ miżjud għal elasticsearchAPIKey u elasticsearchBasicAuth.
Sors: opennet.ru