Arkime 3.1, sistema ta' qbid, ħażna u indiċjar ta' pakketti tan-netwerk, ġiet rilaxxata. Din tipprovdi għodod għall-valutazzjoni viżwali tal-flussi tat-traffiku u t-tiftix ta' informazzjoni relatata mal-attività tan-netwerk. Il-proġett ġie żviluppat oriġinarjament minn AOL biex joħloq sostitut miftuħ u skjerabbli għal pjattaformi kummerċjali tal-ipproċessar ta' pakketti tan-netwerk kapaċi li jiskalaw biex jimmaniġġjaw it-traffiku b'veloċitajiet ta' għexieren ta' gigabits kull sekonda. Il-komponent tal-qbid tat-traffiku huwa miktub f'C, u l-interfaċċja hija implimentata f'Node.js/JavaScript. Il-kodiċi tas-sors huwa mqassam taħt il-liċenzja Apache 2.0. Ix-xogħol huwa appoġġjat fi Linux u FreeBSD. Pakketti lesti huma disponibbli għal Arch, CentOS и Ubuntu.
Arkime jinkludi għodod għall-qbid u l-indiċjar tat-traffiku fil-format nattiv tal-PCAP, u jipprovdi wkoll għodod għal aċċess rapidu għal data indiċjata. L-użu tal-format PCAP jissimplifika ħafna l-integrazzjoni ma 'analizzaturi tat-traffiku eżistenti bħal Wireshark. Il-volum tad-dejta maħżuna huwa limitat biss mid-daqs tal-firxa tad-disk disponibbli. Il-metadejta tas-sessjoni hija indiċjata f'grupp ibbażat fuq il-magna ta' riċerka Elastic.
Biex tanalizza l-informazzjoni akkumulata, tiġi offruta interface tal-web li tippermettilek tinnaviga, tfittex u tesporta kampjuni. L-interface tal-web tipprovdi diversi modi ta 'wiri - minn statistika ġenerali, mapep ta' konnessjoni u graffs viżwali b'dejta dwar bidliet fl-attività tan-netwerk għal għodod għall-istudju ta 'sessjonijiet individwali, analiżi tal-attività fil-kuntest tal-protokolli użati u parsing tad-dejta minn miżbliet PCAP. Hija pprovduta wkoll API li tippermettilek tibgħat data dwar pakketti maqbuda f'format PCAP u sessjonijiet żarmati f'format JSON lil applikazzjonijiet ta 'partijiet terzi.
Arkime jikkonsisti fi tliet komponenti bażiċi:
- Is-sistema ta 'qbid tat-traffiku hija applikazzjoni C multi-threaded għall-monitoraġġ tat-traffiku, tikteb dumps fil-format PCAP fuq disk, parsing pakketti maqbuda u tibgħat metadata dwar sessjonijiet (SPI, Spezzjoni ta' pakkett Stateful) u protokolli lill-cluster Elasticsearch. Huwa possibbli li jinħażnu fajls PCAP f'forma kriptata.
- Interfaċċja tal-web ibbażata fuq il-pjattaforma Node.js li taħdem fuq kull server jaqbad it-traffiku u jipproċessa t-talbiet relatati mal-aċċess għal dejta indiċjata u t-trasferiment ta' fajls PCAP permezz tal-API.
- Ħażna ta' metadejta bbażata fuq Elasticsearch.
Fir-rilaxx il-ġdid:
- Appoġġ miżjud għall-protokolli IETF QUIC, GENEVE, VXLAN-GPE.
- Appoġġ miżjud għat-tip Q-in-Q (Double VLAN), li jippermettilek li tiġbor tikketti VLAN f'tikketti tat-tieni livell biex tespandi n-numru ta 'VLANs għal 16-il miljun.
- Appoġġ miżjud għat-tip ta 'qasam "float".
- Il-modulu ta' reġistrazzjoni f'Amazon Elastic Compute Cloud ġie kkonvertit biex juża l-protokoll IMDSv2 (Instance Metadata Service).
- Il-kodiċi ġie refactored biex jiżdiedu mini UDP.
- Appoġġ miżjud għal elasticsearchAPIKey u elasticsearchBasicAuth.
Sors: opennet.ru
