Arkime 3.1 ağ paketlerinin yakalanması, saklanması ve indekslenmesine yönelik sistemin, trafik akışlarını görsel olarak değerlendirmeye ve ağ etkinliğiyle ilgili bilgileri aramaya yönelik araçlar sağlayan bir sürümü hazırlandı. Proje ilk olarak AOL tarafından ticari ağ paket işleme platformları için saniyede onlarca gigabit hızlarda trafiği işleyecek şekilde ölçeklenebilen açık ve konuşlandırılabilir bir alternatif oluşturmak amacıyla geliştirildi. Trafik yakalama bileşeninin kodu C dilinde yazılmıştır ve arayüz Node.js/JavaScript'te uygulanmıştır. Kaynak kodu Apache 2.0 lisansı altında dağıtılmaktadır. Linux ve FreeBSD üzerinde çalışmayı destekler. Arch, CentOS ve Ubuntu için hazır paketler hazırlanmıştır.
Arkime, trafiği yerel PCAP formatında yakalamak ve indekslemek için araçlar içerir ve ayrıca indekslenmiş verilere hızlı erişim için araçlar sağlar. PCAP formatının kullanılması, Wireshark gibi mevcut trafik analizörleriyle entegrasyonu büyük ölçüde basitleştirir. Saklanan verilerin hacmi yalnızca mevcut disk dizisinin boyutuyla sınırlıdır. Oturum meta verileri, Elasticsearch motorunu temel alan bir kümede dizine eklenir.
Toplanan bilgileri analiz etmek için numunelerde gezinmenize, aramanıza ve dışa aktarmanıza olanak tanıyan bir web arayüzü sunulur. Web arayüzü, genel istatistiklerden, bağlantı haritalarından ve ağ etkinliğindeki değişikliklerle ilgili verileri içeren görsel grafiklerden, bireysel oturumları incelemek, kullanılan protokoller bağlamında etkinliği analiz etmek ve PCAP dökümlerinden verileri ayrıştırmak için araçlara kadar çeşitli görüntüleme modları sağlar. Yakalanan paketler hakkındaki verileri PCAP formatında ve ayrıştırılmış oturumları JSON formatında üçüncü taraf uygulamalara göndermenize olanak tanıyan bir API de sağlanır.
Arkime üç temel bileşenden oluşur:
- Trafik yakalama sistemi, trafiği izlemek, dökümleri PCAP formatında diske yazmak, yakalanan paketleri ayrıştırmak ve oturumlar (SPI, Durum bilgisi olan paket incelemesi) ve protokoller hakkındaki meta verileri Elasticsearch kümesine göndermek için kullanılan çok iş parçacıklı bir C uygulamasıdır. PCAP dosyalarını şifrelenmiş biçimde saklamak mümkündür.
- Her trafik yakalama sunucusunda çalışan ve indekslenmiş verilere erişim ve PCAP dosyalarının API aracılığıyla aktarılmasıyla ilgili istekleri işleyen, Node.js platformunu temel alan bir web arayüzü.
- Elasticsearch'e dayalı meta veri depolama.
Yeni sürümde:
- IETF QUIC, GENEVE, VXLAN-GPE protokolleri için destek eklendi.
- VLAN sayısını 16 milyona çıkarmak için VLAN etiketlerini ikinci düzey etiketlerde kapsüllemenize olanak tanıyan Q-in-Q (Çift VLAN) türü için destek eklendi.
- "Kayan" alan türü için destek eklendi.
- Amazon Elastic Compute Cloud'daki kayıt modülü, IMDSv2 (Örnek Meta Veri Hizmeti) protokolünü kullanacak şekilde dönüştürüldü.
- Kod, UDP tünelleri eklenecek şekilde yeniden düzenlendi.
- elasticsearchAPIKey ve elasticsearchBasicAuth için destek eklendi.
Kaynak: opennet.ru