Pripravila sa verzia systému na zachytávanie, ukladanie a indexovanie sieťových paketov Arkime 3.1, ktorá poskytuje nástroje na vizuálne vyhodnocovanie prevádzkových tokov a vyhľadávanie informácií súvisiacich so sieťovou aktivitou. Projekt bol pôvodne vyvinutý spoločnosťou AOL s cieľom vytvoriť otvorenú a nasaditeľnú náhradu za komerčné sieťové platformy na spracovanie paketov, schopnú škálovať na spracovanie prevádzky rýchlosťou desiatok gigabitov za sekundu. Kód komponentu zachytávania návštevnosti je napísaný v jazyku C a rozhranie je implementované v Node.js/JavaScript. Zdrojový kód je šírený pod licenciou Apache 2.0. Podporuje prácu na Linuxe a FreeBSD. Pre Arch, CentOS a Ubuntu sú pripravené hotové balíčky.
Arkime obsahuje nástroje na zachytávanie a indexovanie prevádzky v natívnom formáte PCAP a tiež poskytuje nástroje na rýchly prístup k indexovaným údajom. Použitie formátu PCAP výrazne zjednodušuje integráciu s existujúcimi analyzátormi premávky, ako je Wireshark. Objem uložených dát je limitovaný len veľkosťou dostupného diskového poľa. Metadáta relácie sú indexované v klastri založenom na nástroji Elasticsearch.
Na analýzu nahromadených informácií sa ponúka webové rozhranie, ktoré umožňuje navigáciu, vyhľadávanie a export vzoriek. Webové rozhranie poskytuje niekoľko režimov zobrazenia – od všeobecných štatistík, máp pripojení a vizuálnych grafov s údajmi o zmenách sieťovej aktivity až po nástroje na štúdium jednotlivých relácií, analýzu aktivity v kontexte použitých protokolov a analýzu dát z PCAP výpisov. Poskytuje sa aj rozhranie API, ktoré vám umožňuje odosielať údaje o zachytených paketoch vo formáte PCAP a rozložených reláciách vo formáte JSON do aplikácií tretích strán.
Arkime sa skladá z troch základných komponentov:
- Systém zachytávania prevádzky je viacvláknová C aplikácia na monitorovanie prevádzky, zapisovanie výpisov vo formáte PCAP na disk, analýzu zachytených paketov a odosielanie metadát o reláciách (SPI, Stateful packet inspection) a protokoloch do klastra Elasticsearch. Súbory PCAP je možné ukladať v zašifrovanej podobe.
- Webové rozhranie založené na platforme Node.js, ktoré beží na každom serveri na zachytávanie návštevnosti a spracováva požiadavky súvisiace s prístupom k indexovaným údajom a prenosom súborov PCAP cez API.
- Ukladanie metadát na základe Elasticsearch.
V novom vydaní:
- Pridaná podpora pre protokoly IETF QUIC, GENEVE, VXLAN-GPE.
- Pridaná podpora pre typ Q-in-Q (Double VLAN), ktorý umožňuje zapuzdrenie VLAN tagov do tagov druhej úrovne pre rozšírenie počtu VLAN na 16 miliónov.
- Pridaná podpora pre typ poľa „float“.
- Záznamový modul v Amazon Elastic Compute Cloud bol konvertovaný na používanie protokolu IMDSv2 (Instance Metadata Service).
- Kód bol prerobený tak, aby pridal tunely UDP.
- Pridaná podpora pre elasticsearchAPIKey a elasticsearchBasicAuth.
Zdroj: opennet.ru