A sékrési sistem pikeun motret, nyimpen jeung indexing pakét jaringan Arkime 3.1 geus disiapkeun, nyadiakeun parabot pikeun visually assessing aliran lalulintas sarta néangan informasi patali aktivitas jaringan. Proyék éta mimitina dikembangkeun ku AOL kalayan tujuan nyiptakeun gaganti anu kabuka sareng tiasa dianggo pikeun platform pamrosesan pakét jaringan komérsial, anu sanggup skala pikeun ngolah lalu lintas dina laju puluhan gigabit per detik. Kode komponén traffic capture ditulis dina C, sarta panganteur dilaksanakeun dina Node.js/JavaScript. Kodeu sumber disebarkeun dina lisénsi Apache 2.0. Ngarojong gawé dina Linux Ubuntu jeung FreeBSD. Bungkusan anu siap-siap disiapkeun pikeun Arch, CentOS sareng Ubuntu.
Arkime ngawengku parabot pikeun néwak sarta indexing lalulintas dina format PCAP asli, sarta ogé nyadiakeun parabot pikeun aksés gancang kana indéks data. Pamakéan format PCAP pisan nyederhanakeun integrasi sareng analisa lalu lintas anu aya sapertos Wireshark. Volume data nu disimpen ngan diwatesan ku ukuran susunan disk sadia. Metadata sési diindeks dina klaster dumasar kana mesin Elasticsearch.
Pikeun nganalisis inpormasi akumulasi, antarbeungeut wéb ditawarkeun anu ngamungkinkeun anjeun pikeun nganapigasi, milarian sareng ngékspor conto. Antarbeungeut wéb nyayogikeun sababaraha modeu tempoan - ti statistik umum, peta sambungan sareng grafik visual kalayan data ngeunaan parobihan dina kagiatan jaringan dugi ka alat pikeun diajar sesi individu, nganalisa kagiatan dina konteks protokol anu dianggo sareng ngémutan data tina dumps PCAP. Aya ogé API anu ngamungkinkeun anjeun ngirim data ngeunaan pakét anu direbut dina format PCAP sareng sesi anu dibongkar dina format JSON ka aplikasi pihak katilu.
Arkime diwangun ku tilu komponén dasar:
- Sistem newak lalulintas mangrupakeun aplikasi C multi-threaded pikeun ngawas lalulintas, nulis dumps dina format PCAP kana disk, parsing pakét direbut sarta ngirim metadata ngeunaan sesi (SPI, inspeksi pakét Stateful) jeung protokol ka klaster Elasticsearch. Kasebut nyaéta dimungkinkeun pikeun nyimpen file PCAP dina bentuk énkripsi.
- Antarbeungeut wéb dumasar kana platform Node.js, anu dijalankeun dina unggal server newak lalu lintas sareng prosés pamundut anu aya hubunganana sareng aksés data anu diindeks sareng nransferkeun file PCAP via API.
- Panyimpenan métadata dumasar kana Elasticsearch.
Dina rilis anyar:
- Ditambahkeun dukungan pikeun protokol IETF QUIC, GENEVE, VXLAN-GPE.
- Ditambahkeun rojongan pikeun Q-in-Q (Double VLAN) tipe, nu ngidinan Anjeun pikeun encapsulate tag VLAN dina tag kadua tingkat rék dilegakeun jumlah VLAN ka 16 jutaan.
- Ditambahkeun dukungan pikeun jinis lapangan "ngambang".
- Modul rekaman dina Amazon Elastic Compute Cloud parantos dirobih janten nganggo protokol IMDSv2 (Instance Metadata Service).
- Kodeu geus refactored pikeun nambahkeun torowongan UDP.
- Ditambahkeun dukungan pikeun elasticsearchAPIKey sareng elasticsearchBasicAuth.
sumber: opennet.ru