Arkime 3.1

Теги

Изначально проект Arkime был разработан компанией AOL с целью создания открытой и развёртываемой на своих серверах замены коммерческим платформам обработки сетевых пакетов, способной масштабироваться для обработки трафика на скоростях в десятки гигабит в секунду.

Arkime включает инструменты для захвата и индексации трафика в штатном формате PCAP, а также предоставляет средства для быстрого доступа к проиндексированным данным. Применение формата PCAP существенно упрощает интеграцию с существующими анализаторами трафика, такими как Wireshark. Объём хранимых данных ограничивается только размером имеющегося дискового массива. Метаданные о сеансах индексируются в кластере на базе движка Elasticsearch. 

Для анализа накопленной информации предлагается web-интерфейс, позволяющий выполнять навигацию, поиск и экспорт выборок. В web-интерфейсе предусмотрено несколько режимов просмотра - от общей статистики, карты соединений и наглядных графиков с данными об изменении сетевой активности до инструментов для изучения отдельных сеансов, анализа активности в разрезе используемых протоколов и разбора данных из PCAP-дампов.

Изменения в новой версии программы:

  • Добавлена поддержка протоколов IETF QUIC, GENEVE, VXLAN-GPE.
  • Добавлена поддержка типа Q-in-Q (Double VLAN), позволяющего инкапсулировать теги VLAN в теги второго уровня для расширения числа VLAN-ов до 16 млн.
  • Добавлена поддержка типа полей "float".
  • Модуль записи в Amazon Elastic Compute Cloud переведён на использование протокола IMDSv2 (Instance Metadata Service).
  • Проведён рефакторинг кода для добавления UDP-туннелей.
  • Добавлена поддержка elasticsearchAPIKey и elasticsearchBasicAuth.

Код Arkime написан на языке Си, а интерфейс реализован на Node.js/JavaScript. Исходные тексты распространяется под лицензией Apache 2.0.