Arkime 3.1 tarmoq paketlarini olish, saqlash va indekslash tizimining relizi tayyorlandi, u trafik oqimlarini vizual baholash va tarmoq faoliyati bilan bog'liq ma'lumotlarni qidirish uchun vositalarni taqdim etadi. Loyiha dastlab AOL tomonidan ishlab chiqilgan bo'lib, u sekundiga o'nlab gigabit tezlikda trafikni qayta ishlashga qodir bo'lgan tijorat tarmoq paketlarini qayta ishlash platformalari uchun ochiq va joylashtiriladigan almashtirishni yaratish maqsadida ishlab chiqilgan. Trafikni yozib olish komponenti kodi C tilida yozilgan va interfeys Node.js/JavaScript da amalga oshirilgan. Manba kodi Apache 2.0 litsenziyasi ostida tarqatiladi. Linux va FreeBSD-da ishlashni qo'llab-quvvatlaydi. Arch, CentOS va Ubuntu uchun tayyor paketlar tayyorlangan.
Arkime mahalliy PCAP formatida trafikni yozib olish va indekslash vositalarini o'z ichiga oladi, shuningdek, indekslangan ma'lumotlarga tezkor kirish uchun vositalarni taqdim etadi. PCAP formatidan foydalanish Wireshark kabi mavjud trafik analizatorlari bilan integratsiyani sezilarli darajada osonlashtiradi. Saqlangan ma'lumotlar hajmi faqat mavjud disk massivining o'lchami bilan cheklangan. Seans metama'lumotlari Elasticsearch tizimiga asoslangan klasterda indekslanadi.
Yig'ilgan ma'lumotni tahlil qilish uchun navigatsiya qilish, qidirish va namunalarni eksport qilish imkonini beruvchi veb-interfeys taklif etiladi. Veb-interfeys bir nechta ko'rish rejimlarini taqdim etadi - umumiy statistika, ulanish xaritalari va tarmoq faolligidagi o'zgarishlar to'g'risidagi ma'lumotlarga ega vizual grafiklardan tortib individual seanslarni o'rganish, foydalanilgan protokollar kontekstida faoliyatni tahlil qilish va PCAP dumplaridan ma'lumotlarni tahlil qilish vositalarigacha. PCAP formatida olingan paketlar va JSON formatidagi qismlarga ajratilgan seanslar haqidagi maʼlumotlarni uchinchi tomon ilovalariga yuborish imkonini beruvchi API ham taqdim etilgan.
Arkime uchta asosiy komponentdan iborat:
- Trafikni yozib olish tizimi trafikni kuzatish, diskka PCAP formatida dumplarni yozish, olingan paketlarni tahlil qilish va sessiyalar (SPI, Stateful paket tekshiruvi) va protokollar haqidagi metama'lumotlarni Elasticsearch klasteriga jo'natish uchun mo'ljallangan ko'p tarmoqli C ilovasidir. PCAP fayllarini shifrlangan shaklda saqlash mumkin.
- Node.js platformasiga asoslangan veb-interfeys, har bir trafikni yozib olish serverida ishlaydi va indekslangan ma'lumotlarga kirish va API orqali PCAP fayllarini uzatish bilan bog'liq so'rovlarni qayta ishlaydi.
- Elasticsearch-ga asoslangan metama'lumotlarni saqlash.
Yangi nashrda:
- IETF QUIC, GENEVE, VXLAN-GPE protokollarini qo‘llab-quvvatlash qo‘shildi.
- Q-in-Q (Double VLAN) turi uchun qo‘shimcha yordam qo‘shildi, bu VLAN teglarini ikkinchi darajali teglarda inkapsulyatsiya qilish imkonini beradi, bu VLANlar sonini 16 milliongacha kengaytirish imkonini beradi.
- "Float" maydon turi uchun qo'shimcha yordam.
- Amazon Elastic Compute Cloud-dagi yozish moduli IMDSv2 (Instance Metadata Service) protokolidan foydalanishga aylantirildi.
- UDP tunnellarini qo'shish uchun kod qayta tahrirlangan.
- ElasticsearchAPIKey va elasticsearchBasicAuth uchun qo‘shimcha yordam qo‘shildi.
Manba: opennet.ru