مؤخرا تم الإعلان عن إطلاق نظام الالتقاط ، تخزين حزم الشبكة والفهرسة Arkime 3.1 ، الذي يوفر أدوات لتقييم تدفقات حركة المرور بصريًا والبحث عن المعلومات المتعلقة بنشاط الشبكة.
تم تطوير المشروع أصلاً بواسطة AOL بهدف إنشاء بديل مفتوح وقابل للنشر لمنصات معالجة حزم الشبكات التجارية على خوادمهم التي يمكنها التوسع للتعامل مع حركة المرور بسرعات تصل إلى عشرات الجيجابت في الثانية.
حول Arkime
بالنسبة لأولئك الذين ليسوا على دراية بـ Arkime ، دعني أخبرك بذلك كان يُعرف سابقًا باسم مولوك والتي كانت عبارة عن مجموعة أدوات لالتقاط وفهرسة حركة المرور بتنسيق PCAP القياسي كما يوفر أدوات للوصول السريع إلى البيانات المفهرسة. يؤدي استخدام تنسيق PCAP إلى تبسيط التكامل مع أدوات تحليل حركة المرور الحالية مثل Wireshark. كمية البيانات المخزنة محدودة فقط بحجم مجموعة الأقراص المتاحة. تتم فهرسة البيانات الوصفية للجلسة في مجموعة تستند إلى محرك Elasticsearch.
لتحليل المعلومات المتراكمة ، تم اقتراح واجهة ويب تتيح تصفح العينات والبحث عنها وتصديرها. توفر واجهة الويب العديد من أوضاع العرض: من الإحصائيات العامة وخرائط الاتصال والرسوم البيانية المرئية مع بيانات عن التغييرات في نشاط الشبكة إلى أدوات لدراسة الجلسات الفردية وتحليل النشاط في سياق البروتوكولات المستخدمة وتحليل البيانات من مقالب PCAP.
يتم توفير واجهة برمجة التطبيقات أيضًا للسماح لتطبيقات الجهات الخارجية بتمرير بيانات الحزمة الملتقطة بتنسيق PCAP وجلسات التحليل بتنسيق JSON.
اركيمي يتكون من ثلاثة مكونات أساسية:
- نظام التقاط حركة المرور هو تطبيق C متعدد مؤشرات الترابط لمراقبة حركة المرور ، وكتابة عمليات تفريغ PCAP على القرص ، وتحليل الحزم الملتقطة ، وإرسال البيانات الوصفية للجلسة (فحص الحزمة بالحالة) (SPI) والبروتوكولات إلى مجموعة Elasticsearch. التخزين المشفر لملفات PCAP ممكن.
- واجهة ويب تعتمد على النظام الأساسي Node.js تعمل على كل خادم لالتقاط حركة المرور وتعالج الطلبات المتعلقة بالوصول إلى البيانات المفهرسة ونقل ملفات PCAP من خلال واجهة برمجة التطبيقات.
- مخزن البيانات الوصفية القائم على Elasticsearch.
المستجدات الرئيسية من Arkime 3.1
في هذا الإصدار الجديد ، أحد أهم التغييرات التي تبرز هو تغيير اسم المشروع ، منذ كما ورد أعلاه علقت على المشروع كان يُعرف سابقًا باسم Moloch ويعلق المطورون على أن المشروع قد شهد نموًا وتغيير كبير واعتقدوا أنه الوقت المناسب لتغيير الاسم إلى Arkime.
من التغييرات البارزة الأخرى واجهة المستخدم الجديدة تمامًا لتكوين WISE ، إنشاء وتحديث مصادر WISE وإحصاءات WISE. هذه أداة جديدة قوية لمساعدة المستخدمين على البدء في استخدام WISE أو تحسين خدمة WISE الخاصة بهم دون قضاء الوقت في التكوين أو ملفات المصدر.
من ناحية أخرى ، أيضا من الواضح أنه تمت إضافة دعم لبروتوكولات IETF QUIC و GENEVE و VXLAN-GPEبالإضافة إلى ذلك ، تمت إضافة الدعم لنوع Q-in-Q (Double VLAN) ، والذي يسمح بتغليف علامات VLAN في علامات المستوى الثاني لتوسيع عدد شبكات VLAN إلى 16 مليون.
من التغييرات الأخرى التي تبرز:
- تمت إضافة دعم لنوع الحقل "العائم".
- انتقل كاتب Amazon Elastic Compute Cloud إلى استخدام بروتوكول IMDSv2 (خدمة بيانات تعريف المثيل).
- إعادة بناء الكود لإضافة أنفاق UDP.
- تمت إضافة دعم elasticsearchAPIKey و elasticsearchBasicAuth.
أخيرًا ، إذا كنت مهتمًا بمعرفة المزيد عن هذا الإصدار الجديد ، يمكنك الرجوع إلى التفاصيل في الرابط التالي.
احصل على Arkime
بالنسبة لأولئك الذين يرغبون في الحصول على هذه الأداة المساعدة ، يجب أن يعلموا أن رمز مكون التقاط حركة المرور مكتوب بلغة C ويتم تنفيذ الواجهة في Node.js / JavaScript. يتم توزيع الكود المصدري بموجب ترخيص Apache 2.0. العمل على Linux و FreeBSD مدعوم.
الحزم الجاهزة هي Arch و CentOS و Ubuntu جاهزة ويمكن الحصول عليها من الرابط أدناه.