A fost pregătită o versiune a sistemului de captare, stocare și indexare a pachetelor de rețea Arkime 3.1, care oferă instrumente pentru evaluarea vizuală a fluxurilor de trafic și căutarea informațiilor legate de activitatea rețelei. Proiectul a fost dezvoltat inițial de AOL cu scopul de a crea un înlocuitor deschis și implementabil pentru platformele comerciale de procesare a pachetelor de rețea, capabile să se extindă pentru a procesa traficul la viteze de zeci de gigabiți pe secundă. Codul componentei de captare a traficului este scris în C, iar interfața este implementată în Node.js/JavaScript. Codul sursă este distribuit sub licența Apache 2.0. Acceptă lucrul pe Linux și FreeBSD. Pachetele gata făcute sunt pregătite pentru Arch, CentOS și Ubuntu.
Arkime include instrumente pentru captarea și indexarea traficului în format nativ PCAP și oferă, de asemenea, instrumente pentru accesul rapid la datele indexate. Utilizarea formatului PCAP simplifică foarte mult integrarea cu analizoarele de trafic existente, cum ar fi Wireshark. Volumul datelor stocate este limitat doar de dimensiunea matricei de discuri disponibile. Metadatele sesiunii sunt indexate într-un cluster bazat pe motorul de căutare Elastic.
Pentru a analiza informațiile acumulate, este oferită o interfață web care vă permite să navigați, să căutați și să exportați mostre. Interfața web oferă mai multe moduri de vizualizare - de la statistici generale, hărți de conexiune și grafice vizuale cu date privind modificările activității în rețea până la instrumente pentru studierea sesiunilor individuale, analiza activității în contextul protocoalelor utilizate și analizarea datelor din depozitele PCAP. De asemenea, este furnizat un API care vă permite să trimiteți date despre pachetele capturate în format PCAP și sesiunile dezasamblate în format JSON către aplicații terțe.
Arkime constă din trei componente de bază:
- Sistemul de captare a traficului este o aplicație C multi-threaded pentru monitorizarea traficului, scrierea dump-urilor în format PCAP pe disc, parsarea pachetelor capturate și trimiterea de metadate despre sesiuni (SPI, Stateful packet inspection) și protocoale către clusterul Elasticsearch. Este posibil să stocați fișiere PCAP în formă criptată.
- O interfață web bazată pe platforma Node.js, care rulează pe fiecare server de captare a traficului și procesează cererile legate de accesarea datelor indexate și transferul fișierelor PCAP prin API.
- Stocarea metadatelor bazată pe Elasticsearch.
În noua versiune:
- S-a adăugat suport pentru protocoalele IETF QUIC, GENEVE, VXLAN-GPE.
- S-a adăugat suport pentru tipul Q-in-Q (VLAN dublu), care vă permite să încapsulați etichete VLAN în etichete de nivel al doilea pentru a extinde numărul de VLAN-uri la 16 milioane.
- S-a adăugat suport pentru tipul de câmp „float”.
- Modulul de înregistrare din Amazon Elastic Compute Cloud a fost convertit pentru a utiliza protocolul IMDSv2 (Instance Metadata Service).
- Codul a fost refactorizat pentru a adăuga tuneluri UDP.
- S-a adăugat suport pentru elasticsearchAPIKey și elasticsearchBasicAuth.
Sursa: opennet.ru