nylig lanceringen af fangstsystemet blev annonceret, netværkspakkelagring og indeksering Arkime 3.1, som giver værktøjer til visuelt at vurdere trafikstrømme og søg efter oplysninger relateret til netværksaktivitet.
Projektet blev udviklet oprindeligt af AOL med det mål at skabe en åben og anvendelig erstatning til kommercielle netværkspakkebehandlingsplatforme på deres servere, der kan skalere til at håndtere trafik med hastigheder på titalls gigabit i sekundet.
Om Arkime
For dem, der ikke kender Arkime, lad mig fortælle dig det tidligere kendt som Moloch som var et værktøjskasse til at fange og indeksere trafik i standard PCAP -format og det giver også værktøjer til hurtig adgang til indekserede data. Brug af PCAP -formatet forenkler integrationen i høj grad med eksisterende trafikanalysatorer som Wireshark. Mængden af data, der er gemt, er kun begrænset af størrelsen på det tilgængelige diskarray. Sessionens metadata er indekseret i en klynge baseret på Elasticsearch -motoren.
For at analysere de akkumulerede oplysninger foreslås en webgrænseflade, der gør det muligt at gennemse, søge og eksportere prøver. Webgrænsefladen indeholder flere visningsmetoder: fra generel statistik, forbindelseskort og visuelle grafer med data om ændringer i netværksaktivitet til værktøjer til undersøgelse af individuelle sessioner, analyse af aktivitet i forbindelse med de anvendte protokoller og analyse af data fra PCAP -dumper.
Der findes også en API, der gør det muligt for tredjepartsapplikationer at videregive pakkedata i PCAP-format og analyserede sessioner i JSON-format.
arkime Det har tre grundlæggende komponenter:
- Traffic Capture System er en multithreaded C -applikation til overvågning af trafik, skrivning af PCAP -dump til disk, analyse af fangede pakker og afsendelse af metadata (Stateful Packet Inspection) (SPI) og protokoller til Elasticsearch -klyngen. Krypteret lagring af PCAP -filer er mulig.
- En webgrænseflade baseret på Node.js -platformen, der kører på hver trafikfangstserver og håndterer anmodninger vedrørende adgang til indekserede data og overførsel af PCAP -filer via API.
- Elasticsearch-baseret metadata-butik.
De vigtigste nyheder i Arkime 3.1
I denne nye udgivne version er en af de vigtigste ændringer, der skiller sig ud, ud ændringen af projektets navn, siden som ovenfor kommenterede jeg projektet Det var tidligere kendt som Moloch, og udviklerne kommenterer, at projektet har oplevet vækst og en væsentlig ændring og de syntes, det var et godt tidspunkt at ændre navnet til Arkime.
En anden af de ændringer, der skiller sig ud er den helt nye brugergrænseflade til WISE -konfiguration, oprettelse og opdatering af WISE -kilder og WISE -statistik. Dette er et kraftfuldt nyt værktøj til at hjælpe brugerne med at komme i gang med WISE eller forbedre deres WISE -service uden at bruge tid på konfiguration eller kildefiler.
Desuden også det skiller sig ud, at understøttelse af IETF QUIC, GENEVE, VXLAN-GPE protokoller blev tilføjetDerudover blev der tilføjet support til Q-in-Q (Double VLAN) typen, som gør det muligt at indkapsle VLAN-tags i tags på andet niveau for at udvide antallet af VLAN'er til 16 millioner.
Af de andre ændringer, der skiller sig ud:
- Tilføjet understøttelse af den "flydende" felttype.
- Amazon Elastic Compute Cloud -forfatteren er flyttet til at bruge IMDSv2 (Instance Metadata Service) -protokollen.
- Kodefaktorering for at tilføje UDP -tunneler.
- Tilføjet support til elasticsearchAPIKey og elasticsearchBasicAuth.
Endelig, hvis du er interesseret i at vide mere om denne nye version, kan du se detaljerne I det følgende link.
Få Arkime
For dem, der er interesserede i at kunne få dette værktøj, bør de vide, at koden for trafikfangstkomponenten er skrevet i C, og grænsefladen er implementeret i Node.js / JavaScript. Kildekoden distribueres under Apache 2.0 -licensen. Arbejde med Linux og FreeBSD understøttes.
Klarpakker er Arch, CentOS og Ubuntu klar og kan fås fra nedenstående link.