наскоро беше обявено стартирането на системата за улавяне, съхранение и индексиране на мрежови пакети Arkime 3.1, който предоставя инструменти за визуална оценка на потоците от трафик и търсене на информация, свързана с мрежовата дейност.
Проектът е разработен първоначално от AOL с цел създаване на отворен и разгръщащ се заместител за търговски мрежови платформи за обработка на пакети на техните сървъри, които могат да мащабират, за да обработват трафик със скорост от десетки гигабита в секунда.
За Arkime
За тези, които не са запознати с Arkime, нека ви кажа това известен преди като Молох който беше набор от инструменти за улавяне и индексиране на трафика в стандартен формат PCAP и също така предоставя инструменти за бърз достъп до индексирани данни. Използването на PCAP формат значително опростява интеграцията със съществуващи анализатори на трафика, като Wireshark. Количеството съхранени данни е ограничено само от размера на наличния дисков масив. Метаданните за сесията се индексират в клъстер, базиран на двигателя Elasticsearch.
За да се анализира натрупаната информация, се предлага уеб интерфейс, който позволява разглеждане, търсене и експортиране на проби. Уеб интерфейсът предоставя няколко режима на показване: от обща статистика, карти на връзки и визуални графики с данни за промени в мрежовата активност до инструменти за изучаване на отделни сесии, анализиране на активността в контекста на използваните протоколи и анализ на данни от PCAP сметища.
Осигурен е и API, който позволява на приложения на трети страни да предават уловени пакетни данни във формат PCAP и анализирани сесии във формат JSON.
Аркиме Той има три основни компонента:
- Системата за улавяне на трафик е многонишково приложение C за наблюдение на трафика, запис на PCAP изхвърляния на диск, анализиране на заснети пакети и изпращане на метаданни за сесията (Stateful Packet Inspection) (SPI) и протоколи към клъстера Elasticsearch. Възможно е криптирано съхранение на PCAP файлове.
- Уеб интерфейс, базиран на платформата Node.js, който работи на всеки сървър за улавяне на трафик и обработва заявки, свързани с достъп до индексирани данни и прехвърляне на PCAP файлове чрез API.
- Магазин за метаданни, базиран на Elasticsearch.
Основни новости на Arkime 3.1
В тази нова издадена версия една от най -важните промени, която се откроява, е промяната на името на проекта, тъй като както по -горе коментирах проекта По -рано беше известен като Moloch и разработчиците коментират, че проектът е имал растеж и значителна промяна и те смятаха, че е подходящ момент да променят името на Arkime.
Друга от промените, които се открояват, е изцяло новият потребителски интерфейс за WISE конфигурация, създаване и актуализиране на WISE източници и WISE статистика. Това е мощен нов инструмент, който помага на потребителите да започнат с WISE или да подобрят своята услуга WISE, без да се налага да отделят време за конфигурационни или изходни файлове.
От друга страна, също отбелязва се, че е добавена поддръжка за IETF QUIC, GENEVE, VXLAN-GPE протоколиОсвен това беше добавена поддръжка за типа Q-in-Q (двойна VLAN), която ви позволява да капсулирате VLAN тагове в маркери от второ ниво, за да разширите броя на VLAN до 16 милиона.
От останалите промени, които се открояват:
- Добавена поддръжка за типа „плаващо“ поле.
- Писателят на Amazon Elastic Compute Cloud е преместен да използва протокола IMDSv2 (Instance Metadata Service).
- Рефакторинг на код за добавяне на UDP тунели.
- Добавена е поддръжка за elasticsearchAPIKey и elasticsearchBasicAuth.
И накрая, ако се интересувате да научите повече за тази нова версия, можете да се консултирате с подробностите В следващия линк.
Вземете Arkime
За тези, които се интересуват от възможността да получат тази помощна програма, те трябва да знаят, че кодът на компонента за улавяне на трафик е написан на C и интерфейсът е реализиран в Node.js / JavaScript. Изходният код се разпространява под лиценза Apache 2.0. Поддържа се работа с Linux и FreeBSD.
Готовите пакети са готови за Arch, CentOS и Ubuntu и могат да бъдат получени от линка по-долу.