Релиз системы индексации сетевого трафика Arkime 5.0

В начале февраля 2024 года состоялся релиз системы для захвата, хранения и индексации сетевых пакетов Arkime 5.0. Проект предоставляет инструменты для наглядной оценки потоков трафика и поиска информации, связанной с сетевой активностью. Исходные коды Arkime опубликованы на GitHub под лицензией Apache 2.0.

Компонент для захвата трафика Arkime написан на С, а интерфейс реализован на Node.js/JavaScript. Проект поддерживает работу в Linux и FreeBSD. Дистрибутивы Arkime доступны для скачивания для Arch Linux, RHEL/CentOS и Ubuntu.

По информации OpenNET, изначально проект Arkime разрабатывался компанией AOL с целью создания открытой замены коммерческим платформам обработки сетевых пакетов, поддерживающей развёртывание на своих серверах и способной масштабироваться для обработки трафика на скоростях в десятки гигабит в секунду.

Arkime включает инструменты для захвата и индексации трафика в формате PCAP, а также предоставляет средства для быстрого доступа к проиндексированным данным. Применение типового формата PCAP существенно упрощает интеграцию с существующими анализаторами трафика, такими как Wireshark. Объём хранимых данных ограничивается только размером имеющегося дискового массива.

Метаданные о сеансах в Arkime индексируются в кластере на базе движка Elasticsearch или OpenSearch. Компонент для захвата трафика работает в многопоточном режиме и решает задачи мониторинга, записи PCAP-дампов на диск, разбора захваченных пакетов и отправки метаданных о сеансах (SPI, Stateful packet inspection) и протоколах в кластер Elasticsearch/OpenSearch. Возможно хранение PCAP-файлов в зашифрованном виде.

Для анализа накопленной информации в Arkime предлагается веб-интерфейс, позволяющий выполнять навигацию, поиск и экспорт выборок. В