Die neue Version von Arkime 3.1 (früher bekannt als Moloch) wurde veröffentlicht

Darkcrizt

4 Minuten

Vor kurzem die Einführung des Erfassungssystems wurde angekündigt, Speicherung und Indizierung von Netzwerkpaketen Arkime 3.1, das Tools zur visuellen Bewertung von Verkehrsströmen bietet und suchen Sie nach Informationen zu Netzwerkaktivitäten.

Das Projekt wurde entwickelt ursprünglich von AOL mit dem Ziel, einen offenen und einsetzbaren Ersatz zu schaffen für kommerzielle Netzwerk-Paketverarbeitungsplattformen auf ihren Servern, die skaliert werden können, um Datenverkehr mit Geschwindigkeiten von mehreren zehn Gigabit pro Sekunde zu verarbeiten.

Über Arkime

Für diejenigen, die mit Arkime nicht vertraut sind, möchte ich Ihnen das sagen früher bekannt als Moloch Dies war ein Toolkit zum Erfassen und Indexieren von Datenverkehr im Standard-PCAP-Format Außerdem bietet es Tools für den schnellen Zugriff auf indizierte Daten. Die Verwendung des PCAP-Formats vereinfacht die Integration mit bestehenden Verkehrsanalysatoren wie Wireshark erheblich. Die Menge der gespeicherten Daten wird nur durch die Größe des verfügbaren Disk-Arrays begrenzt. Die Sitzungsmetadaten werden in einem Cluster basierend auf der Elasticsearch Engine indiziert.

Um die gesammelten Informationen zu analysieren, wird eine Webschnittstelle vorgeschlagen, die das Durchsuchen, Suchen und Exportieren von Proben ermöglicht. Die Weboberfläche bietet mehrere Anzeigemodi: von allgemeinen Statistiken, Verbindungskarten und visuellen Grafiken mit Daten zu Änderungen der Netzwerkaktivität bis hin zu Tools zum Untersuchen einzelner Sitzungen, zur Analyse der Aktivität im Kontext der verwendeten Protokolle und zur Analyse von Daten aus PCAP-Dumps.

Außerdem wird eine API bereitgestellt, die es Drittanbieteranwendungen ermöglicht, erfasste Paketdaten im PCAP-Format und geparste Sitzungen im JSON-Format zu übergeben.

Arkime Es hat drei grundlegende Komponenten:

  1. Traffic Capture System ist eine Multithread-C-Anwendung zum Überwachen des Datenverkehrs, Schreiben von PCAP-Dumps auf Festplatte, Analysieren erfasster Pakete und Senden von Sitzungsmetadaten (Stateful Packet Inspection) (SPI) und Protokollen an den Elasticsearch-Cluster. Eine verschlüsselte Speicherung von PCAP-Dateien ist möglich.
  2. Eine auf der Node.js-Plattform basierende Webschnittstelle, die auf jedem Verkehrserfassungsserver ausgeführt wird und Anfragen im Zusammenhang mit dem Zugriff auf indizierte Daten und der Übertragung von PCAP-Dateien über die API verarbeitet.
  3. Elasticsearch-basierter Metadatenspeicher.

Hauptneuheiten von Arkime 3.1

In dieser neu veröffentlichten Version ist eine der wichtigsten Änderungen, die auffällt, die Änderung des Projektnamens, da ich wie oben das Projekt kommentiert habe Es war früher als Moloch bekannt und die Entwickler kommentieren, dass das Projekt gewachsen ist und eine bedeutende Änderung und sie dachten, es sei ein guter Zeitpunkt, den Namen in Arkime zu ändern. 

Eine weitere hervorstechende Änderung ist die komplett neue Benutzeroberfläche für die WISE-Konfiguration, Erstellen und Aktualisieren von WISE-Quellen und WISE-Statistiken. Dies ist ein leistungsstarkes neues Tool, das Benutzern den Einstieg in WISE oder die Verbesserung ihres WISE-Dienstes erleichtert, ohne Zeit mit Konfigurations- oder Quelldateien verbringen zu müssen.

Andererseits auch hebt hervor, dass Unterstützung für die Protokolle IETF QUIC, GENEVE, VXLAN-GPE hinzugefügt wurdeDarüber hinaus wurde der Q-in-Q-Typ (Double VLAN) unterstützt, der es ermöglicht, VLAN-Tags in Tags der zweiten Ebene zu verkapseln, um die Anzahl der VLANs auf 16 Millionen zu erhöhen.

Von den anderen Änderungen, die auffallen:

  • Unterstützung für den Feldtyp "Floating" hinzugefügt.
  • Der Amazon Elastic Compute Cloud Writer wurde verschoben, um das IMDSv2-Protokoll (Instance Metadata Service) zu verwenden.
  • Code-Refactoring zum Hinzufügen von UDP-Tunneln.
  • Unterstützung für elasticsearchAPIKey und elasticsearchBasicAuth hinzugefügt.

Wenn Sie mehr über diese neue Version erfahren möchten, können Sie die Details einsehen im folgenden Link.

Hol dir Arkime

Für diejenigen, die daran interessiert sind, dieses Dienstprogramm zu erhalten, sollten sie wissen, dass der Code der Traffic-Capture-Komponente in C geschrieben ist und die Schnittstelle in Node.js / JavaScript implementiert ist. Der Quellcode wird unter der Apache 2.0-Lizenz vertrieben. Die Arbeit unter Linux und FreeBSD wird unterstützt.

Fertige Pakete sind Arch, CentOS und Ubuntu bereit und können bezogen werden über den Link unten.


Hinterlasse einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert mit *

*

*

  1. Verantwortlich für die Daten: Miguel Ángel Gatón
  2. Zweck der Daten: Kontrolle von SPAM, Kommentarverwaltung.
  3. Legitimation: Ihre Zustimmung
  4. Übermittlung der Daten: Die Daten werden nur durch gesetzliche Verpflichtung an Dritte weitergegeben.
  5. Datenspeicherung: Von Occentus Networks (EU) gehostete Datenbank
  6. Rechte: Sie können Ihre Informationen jederzeit einschränken, wiederherstellen und löschen.