Нашри система барои сабт, нигоҳдорӣ ва индексатсияи бастаҳои шабакавии Arkime 3.1 омода шудааст, ки асбобҳоро барои баҳодиҳии визуалии ҷараёни трафик ва ҷустуҷӯи иттилооти марбут ба фаъолияти шабака таъмин мекунад. Лоиҳа дар ибтидо аз ҷониби AOL бо ҳадафи эҷоди як ивазкунандаи кушода ва ҷойгиршаванда барои платформаҳои коркарди бастаҳои шабакавии тиҷоратӣ таҳия шуда буд, ки қодир ба миқёси коркарди трафик бо суръати даҳҳо гигабит дар як сония мебошад. Рамзи ҷузъи сабти трафик дар C навишта шудааст ва интерфейс дар Node.js/JavaScript амалӣ карда мешавад. Рамзи манбаъ дар асоси иҷозатномаи Apache 2.0 паҳн карда мешавад. Корҳоро дар Linux ва FreeBSD дастгирӣ мекунад. Бастаҳои тайёр барои Arch, CentOS ва Ubuntu омода карда шудаанд.
Arkime асбобҳоро барои сабт ва индексатсияи трафик дар формати аслии PCAP дар бар мегирад ва инчунин асбобҳоро барои дастрасии зуд ба маълумоти индексатсияшуда таъмин мекунад. Истифодаи формати PCAP ҳамгироиро бо анализаторҳои мавҷудаи трафик ба монанди Wireshark хеле осон мекунад. Ҳаҷми маълумоти захирашуда танҳо бо андозаи массиви дискҳои дастрас маҳдуд аст. Метамаълумоти сессия дар кластер дар асоси муҳаррики Elasticsearch индексатсия карда мешавад.
Барои таҳлили иттилооти ҷамъшуда, интерфейси веб пешниҳод карда мешавад, ки ба шумо имкон медиҳад паймоиш, ҷустуҷӯ ва содироти намунаҳоро анҷом диҳед. Интерфейси веб якчанд намуди намоишро таъмин мекунад - аз омори умумӣ, харитаҳои пайвастшавӣ ва графикҳои визуалӣ бо маълумот дар бораи тағирот дар фаъолияти шабака то асбобҳо барои омӯзиши сессияҳои инфиродӣ, таҳлили фаъолият дар заминаи протоколҳои истифодашуда ва таҳлили маълумот аз партовҳои PCAP. API инчунин пешниҳод шудааст, ки ба шумо имкон медиҳад маълумот дар бораи бастаҳои гирифташуда дар формати PCAP ва сессияҳои ҷудошуда дар формати JSON ба замимаҳои тарафи сеюм фиристед.
Arkime аз се ҷузъи асосӣ иборат аст:
- Системаи сабти трафик як барномаи бисёрсоҳаи C барои мониторинги трафик, навиштани партовҳо дар формати PCAP ба диск, таҳлили бастаҳои гирифташуда ва фиристодани метамаълумот дар бораи сессияҳо (SPI, санҷиши пакети Stateful) ва протоколҳо ба кластери Elasticsearch мебошад. Файлҳои PCAP-ро дар шакли рамзгузорӣ нигоҳ доштан мумкин аст.
- Интерфейси веб бар платформаи Node.js, ки дар ҳар як сервери сабти трафик кор мекунад ва дархостҳои марбут ба дастрасӣ ба додаҳои индексатсияшуда ва интиқоли файлҳои PCAP тавассути API кор мекунад.
- Нигоҳдории метамаълумот дар асоси Elasticsearch.
Дар нашри нав:
- Дастгирии иловашуда барои протоколҳои IETF QUIC, GENEVE, VXLAN-GPE.
- Дастгирии иловашуда барои навъи Q-in-Q (Double VLAN), ки ба шумо имкон медиҳад барчаспҳои VLAN-ро дар тегҳои сатҳи дуввум фаро гиред, то шумораи VLAN-ҳо то 16 миллион афзоиш ёбад.
- Дастгирии иловашуда барои навъи майдони "шовар".
- Модули сабт дар Amazon Elastic Compute Cloud ба истифодаи протоколи IMDSv2 (Instance Metdata Service) табдил дода шудааст.
- Рамз барои илова кардани нақбҳои UDP refactored шуд.
- Дастгирии иловашуда барои elasticsearchAPIKey ва elasticsearchBasicAuth.
Манбаъ: opennet.ru