los Lanzamiento del sistema para capturar, almacenar e indexar paquetes de red Arkime 3.1 ha sido preparado , que proporciona herramientas para evaluar visualmente los flujos de tráfico y encontrar información relacionada con la actividad de la red. El proyecto fue desarrollado originalmente por AOL con el objetivo de un reemplazo abierto y desplegable para publicidad Procesamiento de paquetes de red Plataformas en sus servidores, que son escalables para procesar el tráfico de datos a velocidades de decenas de gigabits por segundo. El código del componente Traffic Capture está escrito en C y la interfaz está implementada en Node.js / JavaScript. El código fuente es repartido bajo la licencia Apache 2.0. Se admite trabajar en Linux y FreeBSD. Listo Los paquetes son preparado para Arch, CentOS y Ubuntu.
Arkime incluye herramientas para capturar e indexar el tráfico en formato PCAP nativo y proporciona herramientas para un acceso rápido a los datos indexados. El uso del formato PCAP simplifica considerablemente la integración con analizadores de tráfico existentes como Wireshark. La cantidad de datos almacenados solo está limitada por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se agrupan según el Elasticsearch Motor .
Para analizar la información recopilada, se propone una interfaz web que permite la navegación, búsqueda y exportación de muestras. La interfaz web ofrece varios modos de visualización: desde estadísticas generales, mapas de conexión y gráficos visuales con datos sobre cambios en la actividad de la red hasta herramientas para examinar sesiones individuales, analizar la actividad en el contexto de los protocolos utilizados y analizar datos de volcados PCAP. A API es también se proporciona para permitir que las aplicaciones de terceros pasen datos de paquetes capturados en formato PCAP y sesiones analizadas en formato JSON.
Arkime consta de tres componentes básicos:
- Traffic Capture System es una aplicación C multiproceso que se utiliza para monitorear el tráfico, escribir volcados de PCAP en el disco, analizar los paquetes capturados y enviar Stateful Packet Inspection (SPI) y registros al clúster de Elasticsearch. Es posible el almacenamiento cifrado de archivos PCAP.
- Una interfaz web basada en la plataforma Node.js que se ejecuta en cada servidor de recopilación de tráfico y maneja las solicitudes relacionadas con el acceso a datos indexados y la transferencia de archivos PCAP a través del API .
- Almacén de metadatos basado en Elasticsearch.
- Se agregó soporte para los protocolos IETF QUIC, GENEVE, VXLAN-GPE.
- Se agregó soporte para el tipo Q-in-Q (Double VLAN), que permite encapsular etiquetas VLAN en etiquetas de segundo nivel para aumentar la cantidad de VLAN a 16 millones.
- Adicional Soporte para el Tipo de campo «flotante».
- El escritor de Amazon Elastic Compute Cloud se ha trasladado para utilizar el protocolo IMDSv2 (Servicio de metadatos de instancia).
- Refactorización del código para agregar túneles UDP.
- Se agregó compatibilidad con elasticsearchAPIKey y elasticsearchBasicAuth.
