Është përgatitur një lëshim i sistemit për kapjen, ruajtjen dhe indeksimin e paketave të rrjetit Arkime 3.1, duke ofruar mjete për vlerësimin vizual të flukseve të trafikut dhe kërkimin e informacionit në lidhje me aktivitetin e rrjetit. Projekti u zhvillua fillimisht nga AOL me qëllimin e krijimit të një zëvendësimi të hapur dhe të vendosshëm për platformat komerciale të përpunimit të paketave të rrjetit, të aftë për të shkallëzuar për të përpunuar trafikun me shpejtësi prej dhjetëra gigabit për sekondë. Kodi i komponentit të kapjes së trafikut është shkruar në C dhe ndërfaqja zbatohet në Node.js/JavaScript. Kodi burimor shpërndahet nën licencën Apache 2.0. Mbështet punën në Linux dhe FreeBSD. Paketat e gatshme janë përgatitur për Arch, CentOS dhe Ubuntu.
Arkime përfshin mjete për kapjen dhe indeksimin e trafikut në formatin origjinal PCAP, dhe gjithashtu ofron mjete për qasje të shpejtë në të dhënat e indeksuara. Përdorimi i formatit PCAP thjeshton shumë integrimin me analizuesit ekzistues të trafikut si Wireshark. Vëllimi i të dhënave të ruajtura kufizohet vetëm nga madhësia e grupit të diskut të disponueshëm. Të dhënat meta të sesionit indeksohen në një grup të bazuar në motorin Elasticsearch.
Për të analizuar informacionin e grumbulluar, ofrohet një ndërfaqe në internet që ju lejon të lundroni, kërkoni dhe eksportoni mostra. Ndërfaqja e uebit ofron disa mënyra shikimi - nga statistikat e përgjithshme, hartat e lidhjeve dhe grafikët vizualë me të dhëna për ndryshimet në aktivitetin e rrjetit deri te mjetet për studimin e sesioneve individuale, analizimin e aktivitetit në kontekstin e protokolleve të përdorura dhe analizimin e të dhënave nga deponitë PCAP. Ofrohet gjithashtu një API që ju lejon të dërgoni të dhëna për paketat e kapura në formatin PCAP dhe sesionet e çmontuara në formatin JSON tek aplikacionet e palëve të treta.
Arkime përbëhet nga tre komponentë bazë:
- Sistemi i kapjes së trafikut është një aplikacion C me shumë fije për monitorimin e trafikut, shkrimin e deponive në formatin PCAP në disk, analizimin e paketave të kapura dhe dërgimin e meta të dhënave për sesionet (SPI, inspektim i paketave shtetërore) dhe protokolle në grupin Elasticsearch. Është e mundur të ruhen skedarët PCAP në formë të koduar.
- Një ndërfaqe ueb bazuar në platformën Node.js, e cila funksionon në çdo server të kapjes së trafikut dhe përpunon kërkesat që lidhen me aksesin në të dhënat e indeksuara dhe transferimin e skedarëve PCAP përmes API-së.
- Ruajtja e meta të dhënave bazuar në Elasticsearch.
Në publikimin e ri:
- Mbështetje e shtuar për protokollet IETF QUIC, GENEVE, VXLAN-GPE.
- Mbështetje e shtuar për llojin Q-in-Q (Double VLAN), i cili ju lejon të kapsuloni etiketat VLAN në etiketat e nivelit të dytë për të zgjeruar numrin e VLAN-ve në 16 milionë.
- Mbështetje e shtuar për llojin e fushës "float".
- Moduli i regjistrimit në Amazon Elastic Compute Cloud është konvertuar për të përdorur protokollin IMDSv2 (Instance Metadata Service).
- Kodi është rifaktoruar për të shtuar tunele UDP.
- Mbështetje e shtuar për elasticsearchAPIKey dhe elasticsearchBasicAuth.
Burimi: opennet.ru