Arkime 3.1 د شبکې پاکټونو د نیولو، ذخیره کولو او لیست کولو لپاره د سیسټم خوشې کول چمتو شوي، د ټرافيکي جریانونو لید ارزولو او د شبکې فعالیت پورې اړوند معلوماتو لټون کولو لپاره وسایل چمتو کوي. پروژه په اصل کې د AOL لخوا رامینځته شوې وه چې هدف یې د سوداګریزې شبکې پیکټ پروسس کولو پلیټ فارمونو لپاره د خلاص او پلي کیدو وړ بدیل رامینځته کول دي ، د دې وړتیا لري چې په هره ثانیه کې د لسګونو ګیګابایټ سرعت سره ترافیک پروسس کړي. د ټرافیک نیولو برخې کوډ په C کې لیکل شوی، او انٹرفیس په Node.js/JavaScript کې پلي کیږي. د سرچینې کوډ د اپاچی 2.0 جواز لاندې ویشل شوی. په لینکس او FreeBSD کې د کار ملاتړ کوي. چمتو شوي کڅوړې د آرچ، CentOS او اوبنټو لپاره چمتو شوي.
آرکیم د اصلي PCAP ب formatه کې د ترافیک نیولو او شاخص کولو لپاره وسیلې شاملې دي ، او د شاخص شوي ډیټا ته د ګړندي لاسرسي لپاره وسیلې هم چمتو کوي. د PCAP فارمیټ کارول د موجوده ترافیک تحلیل کونکو لکه ویرشارک سره ادغام خورا ساده کوي. د ذخیره شوي معلوماتو حجم یوازې د موجود ډیسک سرې اندازې پورې محدود دی. د سیشن میټاډاټا د Elasticsearch انجن پراساس په کلستر کې ترتیب شوی.
د راټول شوي معلوماتو تحلیل کولو لپاره ، یو ویب انٹرفیس وړاندیز شوی چې تاسو ته اجازه درکوي نیویګیټ ، لټون او نمونې صادر کړئ. ویب انٹرفیس د لیدو څو طریقې چمتو کوي - د عمومي احصایو څخه، د اتصال نقشې او لید ګرافونو څخه د شبکې فعالیت کې د بدلونونو ډاټا سره د انفرادي غونډو مطالعې لپاره وسیلو ته، د کارول شوي پروتوکولونو په شرایطو کې د فعالیت تحلیل او د PCAP ډمپونو څخه ډاټا پارس کول. یو API هم چمتو شوی چې تاسو ته اجازه درکوي د PCAP ب formatه کې د نیول شوي پاکټونو په اړه ډیټا او د JSON ب formatه کې جلا شوي ناستې دریمې ډلې غوښتنلیکونو ته واستوئ.
Arkime له دریو بنسټیزو برخو څخه جوړه ده:
- د ټرافيکي نيولو سيسټم د ټرافيکو د څارنې لپاره د څو تارونو لرونکی C اپليکېشن دی، د PCAP بڼه کې ډمپونه په ډيسک کې ليکل، نيول شوي پاکټونه پارس کول او د سيشنونو (SPI، Stateful Packet Inspection) او د Elasticsearch کلستر ته پروتوکولونو په اړه ميټاډاټا لېږل. دا ممکنه ده چې د PCAP فایلونه په کوډ شوي بڼه ذخیره کړئ.
- د Node.js پلیټ فارم پراساس یو ویب انٹرفیس ، کوم چې د هر ترافیک نیول سرور پرمخ ځي او د شاخص شوي ډیټا لاسرسي او د API له لارې د PCAP فایلونو لیږد پورې اړوند غوښتنې پروسس کوي.
- د Elasticsearch پر بنسټ د میټاډاټا ذخیره کول.
په نوې خپرونه کې:
- د IETF QUIC، GENEVE، VXLAN-GPE پروتوکولونو لپاره ملاتړ اضافه شوی.
- د Q-in-Q (Double VLAN) ډول لپاره ملاتړ اضافه شوی، کوم چې تاسو ته اجازه درکوي د VLAN ټاګونه په دوهمه کچه ټاګونو کې ځای په ځای کړئ ترڅو د VLANs شمیر 16 ملیون ته پراخه کړئ.
- د "فلوټ" ساحې ډول لپاره ملاتړ اضافه شوی.
- په Amazon Elastic Compute Cloud کې د ثبت کولو ماډل د IMDSv2 (Instance Metadata Service) پروتوکول کارولو لپاره بدل شوی.
- کوډ د UDP تونلونو اضافه کولو لپاره ریفیکٹر شوی.
- د elasticsearchAPIKey او elasticsearchBasicAuth لپاره ملاتړ اضافه شوی.
سرچینه: opennet.ru