Er is een release voorbereid van het systeem voor het vastleggen, opslaan en indexeren van netwerkpakketten Arkime 3.1, dat hulpmiddelen biedt voor het visueel beoordelen van verkeersstromen en het zoeken naar informatie met betrekking tot netwerkactiviteit. Het project is oorspronkelijk ontwikkeld door AOL met als doel een open en inzetbare vervanging te creëren voor commerciële netwerkpakketverwerkingsplatforms, die kunnen worden opgeschaald om verkeer te verwerken met snelheden van tientallen gigabits per seconde. De componentcode voor het vastleggen van verkeer is geschreven in C en de interface is geïmplementeerd in Node.js/JavaScript. De broncode wordt gedistribueerd onder de Apache 2.0-licentie. Ondersteunt werk op Linux en FreeBSD. Er worden kant-en-klare pakketten voorbereid voor Arch, CentOS en Ubuntu.
Arkime bevat tools voor het vastleggen en indexeren van verkeer in het oorspronkelijke PCAP-formaat, en biedt ook tools voor snelle toegang tot geïndexeerde gegevens. Het gebruik van het PCAP-formaat vereenvoudigt de integratie met bestaande verkeersanalysatoren zoals Wireshark aanzienlijk. Het volume aan opgeslagen gegevens wordt alleen beperkt door de grootte van de beschikbare schijfarray. Sessiemetagegevens worden geïndexeerd in een cluster op basis van de Elasticsearch-engine.
Om de verzamelde informatie te analyseren, wordt een webinterface aangeboden waarmee u kunt navigeren, zoeken en monsters kunt exporteren. De webinterface biedt verschillende weergavemodi - van algemene statistieken, verbindingskaarten en visuele grafieken met gegevens over veranderingen in netwerkactiviteit tot tools voor het bestuderen van individuele sessies, het analyseren van activiteit in de context van de gebruikte protocollen en het parseren van gegevens uit PCAP-dumps. Er is ook een API beschikbaar waarmee u gegevens over vastgelegde pakketten in PCAP-indeling en gedemonteerde sessies in JSON-indeling naar toepassingen van derden kunt verzenden.
Arkime bestaat uit drie basiscomponenten:
- Het traffic capture-systeem is een multi-threaded C-applicatie voor het monitoren van verkeer, het schrijven van dumps in PCAP-formaat naar schijf, het parseren van vastgelegde pakketten en het verzenden van metagegevens over sessies (SPI, Stateful packet inspection) en protocollen naar het Elasticsearch-cluster. Het is mogelijk om PCAP-bestanden gecodeerd op te slaan.
- Een webinterface gebaseerd op het Node.js-platform, dat op elke verkeersregistratieserver draait en verzoeken verwerkt met betrekking tot toegang tot geïndexeerde gegevens en het overbrengen van PCAP-bestanden via de API.
- Metadata-opslag op basis van Elasticsearch.
In de nieuwe uitgave:
- Ondersteuning toegevoegd voor IETF QUIC, GENEVE, VXLAN-GPE-protocollen.
- Ondersteuning toegevoegd voor het type Q-in-Q (Double VLAN), waarmee u VLAN-tags kunt inkapselen in tags van het tweede niveau om het aantal VLAN's uit te breiden tot 16 miljoen.
- Ondersteuning toegevoegd voor het veldtype “zwevend”.
- De opnamemodule in Amazon Elastic Compute Cloud is geconverteerd om het IMDSv2-protocol (Instance Metadata Service) te gebruiken.
- De code is opnieuw bewerkt om UDP-tunnels toe te voegen.
- Ondersteuning toegevoegd voor elasticsearchAPIKey en elasticsearchBasicAuth.
Bron: opennet.ru