Arkime 3.1، د شبکې د پیکټ نیولو، ذخیره کولو، او شاخص کولو سیسټم، خپور شوی دی. دا د ټرافیک جریانونو د لید ارزونې او د شبکې فعالیت پورې اړوند معلوماتو لټون لپاره وسایل چمتو کوي. دا پروژه په اصل کې د AOL لخوا رامینځته شوې وه ترڅو د سوداګریزې شبکې د پیکټ پروسس کولو پلیټ فارمونو لپاره یو خلاص، د ځای پرځای کولو وړ بدیل رامینځته کړي چې د لسګونو ګیګابایټ په هر ثانیه کې د ټرافیک اداره کولو لپاره اندازه کولو توان لري. د ټرافیک نیولو برخه په C کې لیکل شوې، او انٹرفیس په Node.js/JavaScript کې پلي کیږي. د سرچینې کوډ د اپاچي 2.0 جواز لاندې ویشل شوی. کار په کې ملاتړ کیږي Linux او FreeBSD. د آرچ لپاره چمتو شوي کڅوړې شتون لري، CentOS и Ubuntu.
آرکیم د اصلي PCAP ب formatه کې د ترافیک نیولو او شاخص کولو لپاره وسیلې شاملې دي ، او د شاخص شوي ډیټا ته د ګړندي لاسرسي لپاره وسیلې هم چمتو کوي. د PCAP فارمیټ کارول د موجوده ترافیک تحلیل کونکو لکه ویرشارک سره ادغام خورا ساده کوي. د ذخیره شوي معلوماتو حجم یوازې د موجود ډیسک سرې اندازې پورې محدود دی. د سیشن میټاډاټا د Elasticsearch انجن پراساس په کلستر کې ترتیب شوی.
د راټول شوي معلوماتو تحلیل کولو لپاره ، یو ویب انٹرفیس وړاندیز شوی چې تاسو ته اجازه درکوي نیویګیټ ، لټون او نمونې صادر کړئ. ویب انٹرفیس د لیدو څو طریقې چمتو کوي - د عمومي احصایو څخه، د اتصال نقشې او لید ګرافونو څخه د شبکې فعالیت کې د بدلونونو ډاټا سره د انفرادي غونډو مطالعې لپاره وسیلو ته، د کارول شوي پروتوکولونو په شرایطو کې د فعالیت تحلیل او د PCAP ډمپونو څخه ډاټا پارس کول. یو API هم چمتو شوی چې تاسو ته اجازه درکوي د PCAP ب formatه کې د نیول شوي پاکټونو په اړه ډیټا او د JSON ب formatه کې جلا شوي ناستې دریمې ډلې غوښتنلیکونو ته واستوئ.
Arkime له دریو بنسټیزو برخو څخه جوړه ده:
- د ټرافيکي نيولو سيسټم د ټرافيکو د څارنې لپاره د څو تارونو لرونکی C اپليکېشن دی، د PCAP بڼه کې ډمپونه په ډيسک کې ليکل، نيول شوي پاکټونه پارس کول او د سيشنونو (SPI، Stateful Packet Inspection) او د Elasticsearch کلستر ته پروتوکولونو په اړه ميټاډاټا لېږل. دا ممکنه ده چې د PCAP فایلونه په کوډ شوي بڼه ذخیره کړئ.
- د Node.js پلیټ فارم پر بنسټ یو ویب انٹرفیس چې په هر یو کې چلیږي سرور د ټرافیک نیول او د API له لارې د انډیکس شوي معلوماتو ته لاسرسي او د PCAP فایلونو لیږدولو پورې اړوند غوښتنې پروسس کوي.
- د Elasticsearch پر بنسټ د میټاډاټا ذخیره کول.
په نوې خپرونه کې:
- د IETF QUIC، GENEVE، VXLAN-GPE پروتوکولونو لپاره ملاتړ اضافه شوی.
- د Q-in-Q (Double VLAN) ډول لپاره ملاتړ اضافه شوی، کوم چې تاسو ته اجازه درکوي د VLAN ټاګونه په دوهمه کچه ټاګونو کې ځای په ځای کړئ ترڅو د VLANs شمیر 16 ملیون ته پراخه کړئ.
- د "فلوټ" ساحې ډول لپاره ملاتړ اضافه شوی.
- په Amazon Elastic Compute Cloud کې د ثبت کولو ماډل د IMDSv2 (Instance Metadata Service) پروتوکول کارولو لپاره بدل شوی.
- کوډ د UDP تونلونو اضافه کولو لپاره ریفیکٹر شوی.
- د elasticsearchAPIKey او elasticsearchBasicAuth لپاره ملاتړ اضافه شوی.
سرچینه: opennet.ru
