Ang isang release ng system para sa pagkuha, pag-iimbak at pag-index ng mga network packet Arkime 3.1 ay inihanda, na nagbibigay ng mga tool para sa biswal na pagtatasa ng mga daloy ng trapiko at paghahanap ng impormasyon na nauugnay sa aktibidad ng network. Ang proyekto ay orihinal na binuo ng AOL na may layuning lumikha ng isang bukas at ma-deploy na kapalit para sa mga komersyal na network packet processing platform, na may kakayahang mag-scale upang maproseso ang trapiko sa bilis na sampu-sampung gigabits bawat segundo. Ang traffic capture component code ay nakasulat sa C, at ang interface ay ipinatupad sa Node.js/JavaScript. Ang source code ay ipinamahagi sa ilalim ng Apache 2.0 na lisensya. Sinusuportahan ang trabaho sa Linux at FreeBSD. Ang mga handa na pakete ay inihanda para sa Arch, CentOS at Ubuntu.
Kasama sa Arkime ang mga tool para sa pagkuha at pag-index ng trapiko sa katutubong format ng PCAP, at nagbibigay din ng mga tool para sa mabilis na pag-access sa na-index na data. Ang paggamit ng format ng PCAP ay lubos na nagpapadali sa pagsasama sa mga kasalukuyang traffic analyzer gaya ng Wireshark. Ang dami ng nakaimbak na data ay limitado lamang sa laki ng available na disk array. Ang metadata ng session ay na-index sa isang cluster batay sa Elasticsearch engine.
Upang pag-aralan ang naipon na impormasyon, nag-aalok ng web interface na nagbibigay-daan sa iyong mag-navigate, maghanap at mag-export ng mga sample. Ang web interface ay nagbibigay ng ilang mga mode ng pagtingin - mula sa mga pangkalahatang istatistika, mga mapa ng koneksyon at mga visual na graph na may data sa mga pagbabago sa aktibidad ng network hanggang sa mga tool para sa pag-aaral ng mga indibidwal na session, pagsusuri ng aktibidad sa konteksto ng mga protocol na ginamit at pag-parse ng data mula sa mga dump ng PCAP. Nagbibigay din ng API na nagbibigay-daan sa iyong magpadala ng data tungkol sa mga nakuhang packet sa PCAP na format at mga na-disassemble na session sa JSON na format sa mga third-party na application.
Ang Arkime ay binubuo ng tatlong pangunahing sangkap:
- Ang traffic capture system ay isang multi-threaded C application para sa pagsubaybay sa trapiko, pagsulat ng mga dump sa PCAP na format sa disk, pag-parse ng mga nakuhang packet at pagpapadala ng metadata tungkol sa mga session (SPI, Stateful packet inspection) at mga protocol sa Elasticsearch cluster. Posibleng mag-imbak ng mga PCAP file sa naka-encrypt na anyo.
- Isang web interface na batay sa platform ng Node.js, na tumatakbo sa bawat traffic capture server at nagpoproseso ng mga kahilingang nauugnay sa pag-access ng naka-index na data at paglilipat ng mga PCAP file sa pamamagitan ng API.
- Imbakan ng metadata batay sa Elasticsearch.
Sa bagong release:
- Nagdagdag ng suporta para sa mga protocol ng IETF QUIC, GENEVE, VXLAN-GPE.
- Nagdagdag ng suporta para sa uri ng Q-in-Q (Double VLAN), na nagbibigay-daan sa iyong i-encapsulate ang mga VLAN tag sa mga second-level na tag para mapalawak ang bilang ng mga VLAN sa 16 milyon.
- Nagdagdag ng suporta para sa uri ng field na "float".
- Ang module ng pag-record sa Amazon Elastic Compute Cloud ay na-convert upang gamitin ang protocol ng IMDSv2 (Instance Metadata Service).
- Na-refactor ang code upang magdagdag ng mga tunnel ng UDP.
- Nagdagdag ng suporta para sa elasticsearchAPIKy at elasticsearchBasicAuth.
Pinagmulan: opennet.ru