Foi preparada uma versão do sistema de captura, armazenamento e indexação de pacotes de rede Arkime 3.1, que fornece ferramentas para avaliar visualmente os fluxos de tráfego e buscar informações relacionadas à atividade da rede. O projeto foi originalmente desenvolvido pela AOL com o objetivo de criar um substituto aberto e implantável para plataformas comerciais de processamento de pacotes de rede, capaz de escalar para processar tráfego a velocidades de dezenas de gigabits por segundo. O código do componente de captura de tráfego é escrito em C e a interface é implementada em Node.js/JavaScript. O código-fonte é distribuído sob a licença Apache 2.0. Suporta trabalho em Linux e FreeBSD. Pacotes prontos são preparados para Arch, CentOS e Ubuntu.
Arkime inclui ferramentas para capturar e indexar tráfego em formato PCAP nativo e também fornece ferramentas para acesso rápido aos dados indexados. O uso do formato PCAP simplifica bastante a integração com analisadores de tráfego existentes, como o Wireshark. O volume de dados armazenados é limitado apenas pelo tamanho da matriz de disco disponível. Os metadados da sessão são indexados em um cluster baseado no mecanismo Elasticsearch.
Para analisar as informações acumuladas, é oferecida uma interface web que permite navegar, pesquisar e exportar amostras. A interface web oferece vários modos de visualização - desde estatísticas gerais, mapas de conexão e gráficos visuais com dados sobre mudanças na atividade da rede até ferramentas para estudar sessões individuais, analisar a atividade no contexto dos protocolos usados e analisar dados de dumps PCAP. Também é fornecida uma API que permite enviar dados sobre pacotes capturados no formato PCAP e sessões desmontadas no formato JSON para aplicativos de terceiros.
Arkime consiste em três componentes básicos:
- O sistema de captura de tráfego é um aplicativo C multithread para monitorar tráfego, gravar dumps em formato PCAP em disco, analisar pacotes capturados e enviar metadados sobre sessões (SPI, inspeção de pacotes com estado) e protocolos para o cluster Elasticsearch. É possível armazenar arquivos PCAP de forma criptografada.
- Interface web baseada na plataforma Node.js, que roda em cada servidor de captura de tráfego e processa solicitações relacionadas ao acesso a dados indexados e transferência de arquivos PCAP por meio da API.
- Armazenamento de metadados baseado em Elasticsearch.
Na nova versão:
- Adicionado suporte para protocolos IETF QUIC, GENEVE, VXLAN-GPE.
- Adicionado suporte para o tipo Q-in-Q (Double VLAN), que permite encapsular tags VLAN em tags de segundo nível para expandir o número de VLANs para 16 milhões.
- Adicionado suporte para o tipo de campo “float”.
- O módulo de gravação no Amazon Elastic Compute Cloud foi convertido para usar o protocolo IMDSv2 (Instance Metadata Service).
- O código foi refatorado para adicionar túneis UDP.
- Adicionado suporte para elasticsearchAPIKey e elasticsearchBasicAuth.
Fonte: opennet.ru