En release av Arkime 3.1 nätverkspaketfångst, lagring och indexeringssystem har utarbetats, vilket ger verktyg för att visuellt bedöma trafikflöden och söka information relaterad till nätverksaktivitet. Projektet utvecklades ursprungligen av AOL med målet att skapa en öppen och värd ersättning för kommersiella nätverkspaketbearbetningsplattformar som kan skalas för att bearbeta trafik med hastigheter på tiotals gigabits per sekund. Koden för trafikfångningskomponenten är skriven i C, och gränssnittet är implementerat i Node.js/JavaScript. Källkoden distribueras under Apache 2.0-licensen. Arbete i Linux och FreeBSD stöds. Färdiga paket är förberedda för Arch, CentOS och Ubuntu.
Arkime innehåller verktyg för att fånga och indexera trafik i inbyggt PCAP-format, och tillhandahåller även verktyg för snabb åtkomst till indexerad data. Att använda PCAP-formatet förenklar integrationen med befintliga trafikanalysatorer som Wireshark avsevärt. Mängden lagrad data begränsas endast av storleken på den tillgängliga diskarrayen. Sessionsmetadata indexeras i ett kluster baserat på Elasticsearch-motorn.
För att analysera den ackumulerade informationen föreslås ett webbgränssnitt som låter dig navigera, söka och exportera prover. Webbgränssnittet tillhandahåller flera visningslägen - från allmän statistik, anslutningskartor och visuella grafer med data om förändringar i nätverksaktivitet till verktyg för att studera individuella sessioner, analysera aktivitet i sammanhanget av de protokoll som används och tolka data från PCAP-dumpar. Ett API tillhandahålls också som låter dig skicka infångade paket i PCAP-format och analyserade sessioner i JSON-format till tredjepartsapplikationer.
Arkime består av tre grundläggande komponenter:
- Trafikfångningssystemet är en flertrådad C-applikation för att övervaka trafik, skriva PCAP-dumpar till disk, tolka infångade paket och skicka stateful packet inspection (SPI) och protokollmetadata till ett Elasticsearch-kluster. Det är möjligt att lagra PCAP-filer i krypterad form.
- Ett webbgränssnitt baserat på Node.js-plattformen som körs på varje trafikfångstserver och bearbetar förfrågningar relaterade till åtkomst av indexerad data och överföring av PCAP-filer via API:et.
- Metadatalagring baserad på Elasticsearch.
I den nya utgåvan:
- Tillagt stöd för IETF QUIC, GENEVE, VXLAN-GPE-protokoll.
- Lade till stöd för Q-in-Q (Double VLAN)-typen, vilket tillåter inkapsling av VLAN-taggar i andranivåtaggar för att utöka antalet VLAN upp till 16 miljoner.
- Lade till stöd för fälttypen "float".
- Amazon Elastic Compute Cloud-skrivaren har migrerats för att använda IMDSv2-protokollet (Instance Metadata Service).
- Kod omfaktoriserad för att lägga till UDP-tunnlar.
- Tillagt stöd för elasticsearchAPIKey och elasticsearchBasicAuth.
Källa: opennet.ru