用于捕获、存储和索引网络数据包的系统 Arkime 3.1 已经发布,提供了用于直观地评估流量和搜索与网络活动相关的信息的工具。 该项目最初由 AOL 开发,目标是为商业网络数据包处理平台创建一个开放且可部署的替代平台,能够扩展以每秒数十吉比特的速度处理流量。 流量捕获组件代码采用C语言编写,接口采用Node.js/JavaScript实现。 源代码根据 Apache 2.0 许可证分发。 支持在 Linux 和 FreeBSD 上工作。 为 Arch、CentOS 和 Ubuntu 准备了现成的软件包。
Arkime 包括用于以本机 PCAP 格式捕获和索引流量的工具,还提供用于快速访问索引数据的工具。 PCAP 格式的使用极大地简化了与现有流量分析器(例如 Wireshark)的集成。 存储数据量仅受可用磁盘阵列大小的限制。 会话元数据在基于Elasticsearch引擎的集群中建立索引。
为了分析累积的信息,提供了一个 Web 界面,允许您导航、搜索和导出样本。 Web 界面提供了多种查看模式 - 从一般统计数据、连接图和带有网络活动变化数据的可视化图表,到用于研究单个会话、分析所用协议上下文中的活动以及解析 PCAP 转储数据的工具。 还提供了一个 API,允许您将有关 PCAP 格式的捕获数据包和 JSON 格式的反汇编会话的数据发送到第三方应用程序。
Arkime 由三个基本组件组成:
- 流量捕获系统是一个多线程 C 应用程序,用于监视流量、以 PCAP 格式将转储写入磁盘、解析捕获的数据包并将有关会话(SPI、状态数据包检查)和协议的元数据发送到 Elasticsearch 集群。 可以以加密形式存储 PCAP 文件。
- 基于 Node.js 平台的 Web 界面,在每个流量捕获服务器上运行,并处理与访问索引数据和通过 API 传输 PCAP 文件相关的请求。
- 基于Elasticsearch的元数据存储。
在新版本中:
- 添加了对 IETF QUIC、GENEVE、VXLAN-GPE 协议的支持。
- 新增对Q-in-Q(双VLAN)类型的支持,允许您将VLAN标签封装在二级标签中,将VLAN数量扩展至16万个。
- 添加了对“float”字段类型的支持。
- Amazon Elastic Compute Cloud 中的记录模块已转换为使用 IMDSv2(实例元数据服务)协议。
- 该代码已被重构以添加 UDP 隧道。
- 添加了对elasticsearchAPIKey 和elasticsearchBasicAuth 的支持。
来源: opennet.ru