Pripravljena je bila izdaja sistema za zajem, shranjevanje in indeksiranje omrežnih paketov Arkime 3.1, ki ponuja orodja za vizualno ocenjevanje prometnih tokov in iskanje informacij, povezanih z omrežno aktivnostjo. Projekt je prvotno razvil AOL s ciljem ustvariti odprto in uvedljivo zamenjavo za komercialne platforme za obdelavo paketov v omrežju, ki se lahko prilagajajo za obdelavo prometa s hitrostjo več deset gigabitov na sekundo. Koda komponente za zajem prometa je napisana v C, vmesnik pa je implementiran v Node.js/JavaScript. Izvorna koda se distribuira pod licenco Apache 2.0. Podpira delo na Linuxu in FreeBSD. Za Arch, CentOS in Ubuntu so pripravljeni že pripravljeni paketi.
Arkime vključuje orodja za zajem in indeksiranje prometa v izvornem formatu PCAP ter ponuja tudi orodja za hiter dostop do indeksiranih podatkov. Uporaba formata PCAP močno poenostavi integracijo z obstoječimi analizatorji prometa, kot je Wireshark. Količina shranjenih podatkov je omejena le z velikostjo razpoložljivega diskovnega polja. Metapodatki seje so indeksirani v gruči, ki temelji na iskalniku Elasticsearch.
Za analizo zbranih informacij je na voljo spletni vmesnik, ki omogoča navigacijo, iskanje in izvoz vzorcev. Spletni vmesnik omogoča več načinov gledanja – od splošne statistike, zemljevidov povezav in vizualnih grafov s podatki o spremembah omrežne aktivnosti do orodij za preučevanje posameznih sej, analiziranje aktivnosti v kontekstu uporabljenih protokolov in razčlenjevanje podatkov iz odlagališč PCAP. Na voljo je tudi API, ki omogoča pošiljanje podatkov o zajetih paketih v formatu PCAP in razstavljenih sejah v formatu JSON aplikacijam tretjih oseb.
Arkime je sestavljen iz treh osnovnih komponent:
- Sistem za zajem prometa je večnitna aplikacija C za spremljanje prometa, pisanje izpiskov v formatu PCAP na disk, razčlenjevanje zajetih paketov in pošiljanje metapodatkov o sejah (SPI, Stateful packet inspection) in protokolih v gručo Elasticsearch. Datoteke PCAP je mogoče shraniti v šifrirani obliki.
- Spletni vmesnik, ki temelji na platformi Node.js, ki deluje na vsakem strežniku za zajem prometa in obdeluje zahteve, povezane z dostopom do indeksiranih podatkov in prenosom datotek PCAP prek API-ja.
- Shranjevanje metapodatkov, ki temelji na Elasticsearch.
V novi izdaji:
- Dodana podpora za protokole IETF QUIC, GENEVE, VXLAN-GPE.
- Dodana podpora za vrsto Q-in-Q (dvojni VLAN), ki vam omogoča, da oznake VLAN enkapsulirate v oznake druge ravni, da razširite število omrežij VLAN na 16 milijonov.
- Dodana podpora za vrsto polja »float«.
- Snemalni modul v Amazon Elastic Compute Cloud je bil pretvorjen za uporabo protokola IMDSv2 (Instance Metadata Service).
- Koda je bila spremenjena za dodajanje tunelov UDP.
- Dodana podpora za elasticsearchAPIKey in elasticsearchBasicAuth.
Vir: opennet.ru