نيٽ ورڪ پيڪيٽس کي پڪڙڻ، اسٽوريج ۽ انڊيڪس ڪرڻ لاءِ سسٽم جو هڪ رليز Arkime 3.1 تيار ڪيو ويو آهي، ٽريفڪ جي وهڪري جو بصري جائزو وٺڻ ۽ نيٽ ورڪ جي سرگرمي سان لاڳاپيل معلومات جي ڳولا لاءِ اوزار مهيا ڪرڻ. پروجيڪٽ اصل ۾ AOL پاران ترقي ڪئي وئي هئي تجارتي نيٽ ورڪ پيڪيٽ پروسيسنگ پليٽ فارمن لاءِ هڪ کليل ۽ قابل استعمال متبادل ٺاهڻ جي مقصد سان، ٽيين گيگا بائيٽ في سيڪنڊ جي رفتار تي ٽرئفڪ کي پروسيس ڪرڻ لاءِ اسڪيلنگ ڪرڻ جي قابل. ٽرئفڪ جي قبضي جو جزو ڪوڊ C ۾ لکيل آهي، ۽ انٽرفيس Node.js/JavaScript ۾ لاڳو ڪيو ويو آهي. ماخذ ڪوڊ Apache 2.0 لائسنس تحت ورهايو ويو آهي. لينڪس ۽ فري بي ايس ڊي تي ڪم کي سپورٽ ڪري ٿو. تيار ٿيل پيڪيجز آرڪ، CentOS ۽ Ubuntu لاء تيار ڪيا ويا آهن.
Arkime ۾ مقامي PCAP فارميٽ ۾ ٽريفڪ کي پڪڙڻ ۽ انڊيڪس ڪرڻ جا اوزار شامل آهن، ۽ انڊيڪس ٿيل ڊيٽا تائين جلدي رسائي لاءِ اوزار پڻ مهيا ڪري ٿو. PCAP فارميٽ جو استعمال تمام گھڻو آسان بڻائي ٿو انضمام کي موجوده ٽريفڪ اينالائيزر سان جيئن ته Wireshark. ذخيرو ٿيل ڊيٽا جو مقدار صرف موجود ڊسڪ جي سائيز جي حد تائين محدود آهي. سيشن ميٽاداٽا هڪ ڪلستر ۾ ترتيب ڏنل آهي Elasticsearch انجڻ جي بنياد تي.
گڏ ڪيل معلومات جو تجزيو ڪرڻ لاءِ، هڪ ويب انٽرفيس پيش ڪيو ويو آهي جيڪو توهان کي نيويگيٽ ڪرڻ، ڳولڻ ۽ برآمد ڪرڻ جي اجازت ڏئي ٿو. ويب انٽرفيس ڪيترن ئي ڏسڻ جا طريقا مهيا ڪري ٿو - عام انگن اکرن، ڪنيڪشن نقشن ۽ بصري گرافس کان وٺي نيٽ ورڪ سرگرمي ۾ تبديلين تي ڊيٽا سان گڏ انفرادي سيشن جي مطالعي لاءِ اوزار، استعمال ڪيل پروٽوڪول جي حوالي سان سرگرمي جو تجزيو ڪرڻ ۽ PCAP ڊمپس مان ڊيٽا کي پارس ڪرڻ. هڪ API پڻ مهيا ڪئي وئي آهي جيڪا توهان کي PCAP فارميٽ ۾ قبضو ڪيل پيڪٽس بابت ڊيٽا موڪلڻ جي اجازت ڏئي ٿي ۽ JSON فارميٽ ۾ جدا ٿيل سيشن ٽئين پارٽي جي ايپليڪيشنن ڏانهن.
Arkime ٽن بنيادي حصن تي مشتمل آهي:
- ٽريفڪ ڪيپچر سسٽم ٽريفڪ جي نگراني لاءِ ملٽي ٿريڊ سي ايپليڪيشن آهي، ڊسڪ ۾ PCAP فارميٽ ۾ ڊمپ لکڻ، قبضي ڪيل پيڪٽن کي پارس ڪرڻ ۽ سيشن بابت ميٽا ڊيٽا موڪلڻ (SPI، Stateful packet inspection) ۽ پروٽوڪول Elasticsearch ڪلسٽر ڏانهن. اهو ممڪن آهي ته PCAP فائلن کي انڪريپٽ فارم ۾ ذخيرو ڪرڻ لاء.
- Node.js پليٽ فارم تي ٻڌل هڪ ويب انٽرفيس، جيڪو هر ٽرئفڪ ڪيپچر سرور تي هلندو آهي ۽ انڊيڪس ٿيل ڊيٽا تائين رسائي ۽ API ذريعي PCAP فائلن کي منتقل ڪرڻ سان لاڳاپيل درخواستن تي عمل ڪندو آهي.
- Metadata اسٽوريج جي بنياد تي Elasticsearch.
نئين رليز ۾:
- شامل ڪيل سپورٽ IETF QUIC، GENEVE، VXLAN-GPE پروٽوڪول لاءِ.
- Q-in-Q (ڊبل VLAN) قسم لاءِ سپورٽ شامل ڪئي وئي، جيڪا توھان کي VLAN ٽيگ کي ٻي سطح جي ٽيگ ۾ شامل ڪرڻ جي اجازت ڏئي ٿي ته جيئن VLANs جي تعداد کي 16 ملين تائين وڌايو وڃي.
- شامل ڪيل سپورٽ "فلوٽ" فيلڊ جي قسم لاءِ.
- Amazon Elastic Compute Cloud ۾ رڪارڊنگ ماڊل کي IMDSv2 (Instance Metadata Service) پروٽوڪول استعمال ڪرڻ لاءِ تبديل ڪيو ويو آهي.
- UDP سرنگن کي شامل ڪرڻ لاءِ ڪوڊ ريفيڪٽر ڪيو ويو آھي.
- elasticsearchAPIKey ۽ elasticsearchBasicAuth لاءِ سپورٽ شامل ڪئي وئي.
جو ذريعو: opennet.ru