用於捕獲、儲存和索引網路封包的系統 Arkime 3.1 已經發布,提供了用於直觀地評估流量和搜尋與網路活動相關的資訊的工具。 該專案最初由 AOL 開發,目標是為商業網路資料包處理平台創建一個開放且可部署的替代平台,能夠擴展以每秒數十吉比特的速度處理流量。 流量擷取元件程式碼採用C語言編寫,介面採用Node.js/JavaScript實作。 原始碼根據 Apache 2.0 許可證分發。 支援在 Linux 和 FreeBSD 上工作。 為 Arch、CentOS 和 Ubuntu 準備了現成的軟體包。
Arkime 包括用於以本機 PCAP 格式擷取和索引流量的工具,也提供用於快速存取索引資料的工具。 PCAP 格式的使用極大地簡化了與現有流量分析器(例如 Wireshark)的整合。 儲存資料量僅受可用磁碟陣列大小的限制。 會話元資料在基於Elasticsearch引擎的叢集中建立索引。
為了分析累積的信息,提供了一個 Web 介面,可讓您導航、搜尋和匯出樣本。 Web 介面提供了多種檢視模式 - 從一般統計資料、連接圖和具有網路活動變更資料的視覺化圖表,到用於研究單一會話、分析所用協定情境中的活動以及解析 PCAP 轉儲資料的工具。 還提供了一個 API,可讓您將有關 PCAP 格式的擷取封包和 JSON 格式的反彙編會話的資料傳送至第三方應用程式。
Arkime 由三個基本組件組成:
- 流量擷取系統是一個多執行緒C 應用程序,用於監視流量、以PCAP 格式將轉儲寫入磁碟、解析捕獲的資料包並將有關會話(SPI、狀態資料包檢查)和協定的元資料傳送到Elasticsearch 集群。 可以以加密形式儲存 PCAP 檔案。
- 基於 Node.js 平台的 Web 介面,運行在每個流量擷取伺服器上,並處理與存取索引資料和透過 API 傳輸 PCAP 檔案相關的請求。
- 基於Elasticsearch的元資料儲存。
在新版本中:
- 新增了對 IETF QUIC、GENEVE、VXLAN-GPE 協定的支援。
- 新增對Q-in-Q(雙VLAN)類型的支持,允許將VLAN標籤封裝在二級標籤中,將VLAN數量擴展至16萬個。
- 新增了對“float”欄位類型的支援。
- Amazon Elastic Compute Cloud 中的記錄模組已轉換為使用 IMDSv2(實例元資料服務)協定。
- 程式碼已重構以新增 UDP 隧道。
- 新增了對elasticsearchAPIKey 和elasticsearchBasicAuth 的支援。
來源: opennet.ru