Ho lokolloa ha tsamaiso ea ho hapa, ho boloka le ho hlahisa lipakete tsa marang-rang Arkime 3.1 e lokiselitsoe, ho fana ka lisebelisoa tsa ho hlahloba ka mahlo ho phalla ha sephethephethe le ho batla tlhahisoleseding e amanang le ts'ebetso ea marang-rang. Morero ona o ne o ntlafalitsoe ke AOL ka sepheo sa ho theha sebaka se bulehileng le se ka tsamaisoang bakeng sa liforomo tsa ts'ebetso ea lipakete tsa marang-rang, tse khonang ho phahamisa sephethephethe ka lebelo la li-gigabits tse mashome motsotsoana. Khoutu ea karolo ea sephethephethe e ngotsoe ka C, 'me sebopeho se kengoa ts'ebetsong ho Node.js/JavaScript. Khoutu ea mohloli e ajoa tlasa laesense ea Apache 2.0. E tšehetsa mosebetsi ho Linux le FreeBSD. Liphutheloana tse seng li entsoe li lokiselitsoe Arch, CentOS le Ubuntu.
Arkime e kenyelletsa lisebelisoa tsa ho ts'oara le ho supa sephethephethe ka mokhoa oa tlhaho oa PCAP, hape e fana ka lisebelisoa tsa phihlello e potlakileng ea data e ngolisitsoeng. Ts'ebeliso ea sebopeho sa PCAP e nolofatsa haholo kopanyo le bahlahlobisisi ba sephethephethe ba teng joalo ka Wireshark. Bophahamo ba data e bolokiloeng bo lekantsoe feela ke boholo ba pokello ea disk e fumanehang. Metadata ea Session e thathamisitsoe ka har'a sehlopha se ipapisitseng le enjine ea Elasticsearch.
Ho sekaseka tlhahisoleseling e bokelletsoeng, ho fanoa ka sehokelo sa webo se u lumellang ho tsamaea, ho batla le ho romela lisampole. Sehokelo sa marang-rang se fana ka mekhoa e mengata ea ho shebella - ho tloha ho lipalo-palo tse akaretsang, limmapa tsa khokahano le lirafshoa tse bonoang tse nang le data mabapi le liphetoho tsa ts'ebetso ea marang-rang ho ea ho lisebelisoa tsa ho ithuta mananeo a motho ka mong, ho sekaseka ts'ebetso maemong a liprothokholo tse sebelisitsoeng le ho arola data ho tsoa litsing tsa PCAP. API e boetse e fanoa e u lumellang hore u romelle data mabapi le lipakete tse hapiloeng ka sebopeho sa PCAP le linako tse arotsoeng ka sebopeho sa JSON ho lits'ebetso tsa mokha oa boraro.
Arkime e na le likarolo tse tharo tsa motheo:
- Sistimi ea ho ts'oara sephethephethe ke ts'ebeliso ea C e nang le likhoele tse ngata bakeng sa ho lekola sephethephethe, ho ngola litšila ka sebopeho sa PCAP ho disk, ho fetisa lipakete tse hapiloeng le ho romella metadata mabapi le linako (SPI, tlhahlobo ea pakete ea Stateful) le liprothokholo ho sehlopha sa Elasticsearch. Hoa khoneha ho boloka lifaele tsa PCAP ka mokhoa o patiloeng.
- Sebopeho sa marang-rang se thehiloeng sethaleng sa Node.js, se sebetsang ho seva se seng le se seng sa sephethephethe sa sephethephethe le ho sebetsana le likōpo tse amanang le ho fumana lintlha tsa indexed le ho fetisetsa lifaele tsa PCAP ka API.
- Polokelo ea metadata e thehiloeng ho Elasticsearch.
Tokollong e ncha:
- Tšehetso e ekelitsoeng bakeng sa liprothokholo tsa IETF QUIC, GENEVE, VXLAN-GPE.
- Ts'ehetso e ekelitsoeng bakeng sa mofuta oa Q-in-Q (Double VLAN), e u lumellang hore u kenye li-tag tsa VLAN ka li-tag tsa boemo ba bobeli ho holisa palo ea li-VLAN ho isa ho limilione tse 16.
- Tšehetso e ekelitsoeng bakeng sa mofuta oa sebaka sa "float".
- Mojule oa ho rekota ho Amazon Elastic Compute Cloud o fetotsoe ho sebelisa protocol ea IMDSv2 (Instance Metadata Service).
- Khoutu e entsoe bocha ho kenya lithanele tsa UDP.
- Tšehetso e ekelitsoeng bakeng sa elasticsearchAPIKey le elasticsearchBasicAuth.
Source: opennet.ru