Ja va ser alliberada la nova versió de Arkime 3.1 (anteriorment conegut com Moloch)

Darkcrizt

4 minuts

fa poc es va donar a conèixer el llançament de el sistema de captura, emmagatzematge i indexació de paquets de xarxa Arkime 3.1, que proporciona eines per avaluar visualment els fluxos de trànsit i cercar informació relacionada amb l'activitat de la xarxa.

El projecte va ser desenvolupat originalment per AOL amb l'objectiu de crear un reemplaçament obert i implementable per a les plataformes de processament de paquets de xarxa comercial en els seus servidors que poden escalar per gestionar el trànsit a velocitats de desenes de gigabits per segon.

sobre Arkime

Per als qui desconeixen de Arkime, deixin-me dir-los que anteriorment era conegut com Moloch el qual era un conjunt d'eines per capturar i indexar el trànsit en format PCAP estàndard i també proporciona eines per a un accés ràpid a les dades indexats. L'ús d'el format PCAP simplifica enormement la integració amb analitzadors de trànsit existents com Wireshark. La quantitat de dades emmagatzemades està limitada només per la grandària de la matriu de discos disponible. Les metadades de la sessió s'indexen en un clúster basat en el motor Elasticsearch.

Per analitzar la informació acumulada es proposa una interfície web que permet la navegació, cerca i exportació de mostres. La interfície web proporciona diverses maneres de visualització: des estadístiques generals, mapes de connexió i gràfics visuals amb dades sobre canvis en l'activitat de la xarxa fins a eines per estudiar sessions individuals, analitzar l'activitat en el context dels protocols utilitzats i analitzar dades de bolcats de PCAP.

També es proporciona una API per permetre que les aplicacions de tercers passin dades de paquets capturats en format PCAP i sessions analitzades en format JSON.

Arkime té tres components bàsics:

  1. Traffic Capture System és una aplicació C multiprocés per monitoritzar el trànsit, escriure bolcats de PCAP en el disc, analitzar els paquets capturats i enviar metadades de sessió (inspecció de paquets amb estat) (SCI) i protocols a el clúster d'Elasticsearch. És possible l'emmagatzematge xifrat d'arxius PCAP.
  2. Una interfície web basada en la plataforma NODE.JS que s'executa a cada servidor de captura de trànsit i maneja les sol·licituds relacionades amb l'accés a dades indexats i la transferència d'arxius PCAP a través de l'API.
  3. Magatzem de metadades basat en Elasticsearch.

Principals novetats de Arkime 3.1

En aquesta nova versió alliberada un dels canvis més importants que es destaca és el canvi del nom de el projecte, ja que com més amunt els comentava el projecte anteriorment era conegut com Moloch i els desenvolupadors comenta que el projecte ha experimentat un creixement i un canvi significatius i van pensar que era un bon moment per canviar el nom a Arkime. 

Un altre dels canvis que es destaca és la interfície d'usuari completament nova per a la configuració WISE, la creació i actualització de fonts WISE i les estadístiques WISE. Aquesta és una nova i poderosa eina per ajudar els usuaris a començar amb WISE o millorar el seu servei WISE sense haver de dedicar temps a la configuració o els arxius d'origen.

D'altra banda, també es destaca que es va agregar suport per als protocols IETF QUIC, GENEVE, VXLAN-GPE, A més que es va agregar suport per al tipus Q-in-Q (Double VLAN), que permet encapsular etiquetes VLAN en etiquetes de segon nivell per expandir la quantitat de VLAN a 16 milions.

Dels altres canvis que es destaquen:

  • Es va agregar suport per al tipus de camp «flotant».
  • L'escriptor d'Amazon Elastic Compute Cloud s'ha traslladat per utilitzar el protocol IMDSv2 (Instance Metadata Service).
  • Refactorització de el codi per afegir túnels UDP.
  • Es va agregar compatibilitat amb elasticsearchAPIKey i elasticsearchBasicAuth.

Finalment si estàs interessat en conèixer més a l'respecte d'aquesta nova versió, pots consultar els detalls en el següent enllaç.

obtenir Arkime

Per als que estiguin interessats a poder obtindre aquesta utilitat, han de saber que el codi de l'component de captura de trànsit està escrit en C i la interfície està implementada en NODE.JS / JavaScript. El codi font es distribueix sota la llicència Apache 2.0. S'admet el treball en Linux i FreeBSD.

Els paquets Ready estan preparats per Arch, CentOS i Ubuntu i es poden obtenir des del següent enllaç.


Deixa el teu comentari

La seva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats amb *

*

*

  1. Responsable de les dades: Miguel Ángel Gatón
  2. Finalitat de les dades: Controlar l'SPAM, gestió de comentaris.
  3. Legitimació: El teu consentiment
  4. Comunicació de les dades: No es comunicaran les dades a tercers excepte per obligació legal.
  5. Emmagatzematge de les dades: Base de dades allotjada en Occentus Networks (UE)
  6. Drets: En qualsevol moment pots limitar, recuperar i esborrar la teva informació.