Một bản phát hành hệ thống thu thập, lưu trữ và lập chỉ mục các gói mạng Arkime 3.1 đã được chuẩn bị, cung cấp các công cụ để đánh giá trực quan các luồng lưu lượng và tìm kiếm thông tin liên quan đến hoạt động mạng. Dự án ban đầu được AOL phát triển với mục tiêu tạo ra một giải pháp thay thế mở và có thể triển khai cho các nền tảng xử lý gói mạng thương mại, có khả năng mở rộng quy mô để xử lý lưu lượng ở tốc độ hàng chục gigabit/giây. Mã thành phần nắm bắt lưu lượng truy cập được viết bằng C và giao diện được triển khai bằng Node.js/JavaScript. Mã nguồn được phân phối theo giấy phép Apache 2.0. Hỗ trợ hoạt động trên Linux và FreeBSD. Các gói làm sẵn được chuẩn bị cho Arch, CentOS và Ubuntu.
Arkime bao gồm các công cụ để thu thập và lập chỉ mục lưu lượng truy cập ở định dạng PCAP gốc, đồng thời cung cấp các công cụ để truy cập nhanh vào dữ liệu được lập chỉ mục. Việc sử dụng định dạng PCAP giúp đơn giản hóa đáng kể việc tích hợp với các máy phân tích lưu lượng truy cập hiện có như Wireshark. Khối lượng dữ liệu được lưu trữ chỉ bị giới hạn bởi kích thước của mảng đĩa có sẵn. Siêu dữ liệu phiên được lập chỉ mục trong một cụm dựa trên công cụ Elaticsearch.
Để phân tích thông tin tích lũy, một giao diện web được cung cấp cho phép bạn điều hướng, tìm kiếm và xuất các mẫu. Giao diện web cung cấp một số chế độ xem - từ thống kê chung, bản đồ kết nối và biểu đồ trực quan với dữ liệu về những thay đổi trong hoạt động mạng đến các công cụ để nghiên cứu các phiên riêng lẻ, phân tích hoạt động trong bối cảnh các giao thức được sử dụng và phân tích dữ liệu từ các kết xuất PCAP. Một API cũng được cung cấp cho phép bạn gửi dữ liệu về các gói đã bắt ở định dạng PCAP và các phiên được phân tách ở định dạng JSON tới các ứng dụng của bên thứ ba.
Arkime bao gồm ba thành phần cơ bản:
- Hệ thống thu thập lưu lượng truy cập là một ứng dụng C đa luồng để giám sát lưu lượng, ghi các kết xuất ở định dạng PCAP vào đĩa, phân tích cú pháp các gói đã ghi và gửi siêu dữ liệu về các phiên (SPI, kiểm tra gói trạng thái) và các giao thức tới cụm Elaticsearch. Có thể lưu trữ các tệp PCAP ở dạng được mã hóa.
- Giao diện web dựa trên nền tảng Node.js, chạy trên mỗi máy chủ thu thập lưu lượng truy cập và xử lý các yêu cầu liên quan đến truy cập dữ liệu được lập chỉ mục và truyền tệp PCAP qua API.
- Lưu trữ siêu dữ liệu dựa trên Elaticsearch.
Trong bản phát hành mới:
- Đã thêm hỗ trợ cho các giao thức IETF QUIC, GENEVE, VXLAN-GPE.
- Đã thêm hỗ trợ cho loại Q-in-Q (Double VLAN), cho phép bạn đóng gói các thẻ Vlan trong các thẻ cấp hai để mở rộng số lượng Vlan lên 16 triệu.
- Đã thêm hỗ trợ cho loại trường “float”.
- Mô-đun ghi trong Đám mây điện toán đàn hồi của Amazon đã được chuyển đổi để sử dụng giao thức IMDSv2 (Dịch vụ siêu dữ liệu phiên bản).
- Mã đã được cấu trúc lại để thêm đường hầm UDP.
- Đã thêm hỗ trợ cho elasticsearchAPIKey và elasticsearchBasicAuth.
Nguồn: opennet.ru