Det er utarbeidet en utgivelse av systemet for fangst, lagring og indeksering av nettverkspakker Arkime 3.1, som gir verktøy for visuelt å vurdere trafikkflyter og søke etter informasjon relatert til nettverksaktivitet. Prosjektet ble opprinnelig utviklet av AOL med mål om å skape en åpen og distribuerbar erstatning for kommersielle nettverkspakkebehandlingsplattformer, i stand til å skalere for å behandle trafikk med hastigheter på titalls gigabit per sekund. Trafikkfangstkomponentkoden er skrevet i C, og grensesnittet er implementert i Node.js/JavaScript. Kildekoden distribueres under Apache 2.0-lisensen. Støtter arbeid på Linux og FreeBSD. Ferdige pakker er forberedt for Arch, CentOS og Ubuntu.
Arkime inkluderer verktøy for å fange og indeksere trafikk i native PCAP-format, og gir også verktøy for rask tilgang til indekserte data. Bruken av PCAP-formatet forenkler betraktelig integrasjon med eksisterende trafikkanalysatorer som Wireshark. Volumet av lagrede data begrenses kun av størrelsen på den tilgjengelige diskarrayen. Sesjonsmetadata indekseres i en klynge basert på Elasticsearch-motoren.
For å analysere den akkumulerte informasjonen tilbys et webgrensesnitt som lar deg navigere, søke og eksportere prøver. Nettgrensesnittet gir flere visningsmoduser – fra generell statistikk, tilkoblingskart og visuelle grafer med data om endringer i nettverksaktivitet til verktøy for å studere individuelle økter, analysere aktivitet i sammenheng med protokollene som brukes og analysere data fra PCAP-dumper. En API er også gitt som lar deg sende data om fangede pakker i PCAP-format og demonterte økter i JSON-format til tredjepartsapplikasjoner.
Arkime består av tre grunnleggende komponenter:
- Trafikkfangstsystemet er en flertråds C-applikasjon for overvåking av trafikk, skriving av dumps i PCAP-format til disk, parsing av fangede pakker og sending av metadata om økter (SPI, Stateful packet inspection) og protokoller til Elasticsearch-klyngen. Det er mulig å lagre PCAP-filer i kryptert form.
- Et nettgrensesnitt basert på Node.js-plattformen, som kjører på hver trafikkfangstserver og behandler forespørsler knyttet til tilgang til indekserte data og overføring av PCAP-filer via API.
- Metadatalagring basert på Elasticsearch.
I den nye utgivelsen:
- Lagt til støtte for IETF QUIC, GENEVE, VXLAN-GPE-protokoller.
- Lagt til støtte for typen Q-in-Q (Double VLAN), som lar deg kapsle inn VLAN-tagger i andrenivå-tags for å utvide antallet VLAN-er til 16 millioner.
- Lagt til støtte for "float"-felttypen.
- Opptaksmodulen i Amazon Elastic Compute Cloud er konvertert til å bruke IMDSv2 (Instance Metadata Service)-protokollen.
- Koden har blitt refaktorert for å legge til UDP-tunneler.
- Lagt til støtte for elasticsearchAPIKey og elasticsearchBasicAuth.
Kilde: opennet.ru