Η νέα έκδοση του Arkime 3.1 (παλαιότερα γνωστή ως Moloch) έχει ήδη κυκλοφορήσει

Darkcrizt

4 λεπτά

Πρόσφατα ανακοινώθηκε η έναρξη λειτουργίας του συστήματος σύλληψης, αποθήκευση και ευρετηρίαση πακέτων δικτύου Arkime 3.1, το οποίο παρέχει εργαλεία για την οπτική αξιολόγηση των ροών κυκλοφορίας και αναζητήστε πληροφορίες που σχετίζονται με τη δραστηριότητα του δικτύου.

Το έργο αναπτύχθηκε αρχικά από την AOL με στόχο τη δημιουργία ενός ανοικτού και εφαρμόσιμου αντικαταστάτη για εμπορικές πλατφόρμες επεξεργασίας πακέτων δικτύων στους διακομιστές τους που μπορούν να κλιμακωθούν για να χειριστούν την κυκλοφορία με ταχύτητες δεκάδων gigabits ανά δευτερόλεπτο.

Σχετικά με τον Arkime

Για όσους δεν είναι εξοικειωμένοι με το Arkime, επιτρέψτε μου να σας το πω αυτό παλαιότερα γνωστό ως Moloch που ήταν μια εργαλειοθήκη για την καταγραφή και την ευρετηρίαση επισκεψιμότητας σε τυπική μορφή PCAP και παρέχει επίσης εργαλεία για γρήγορη πρόσβαση σε ευρετηριασμένα δεδομένα. Η χρήση της μορφής PCAP απλοποιεί σημαντικά την ενσωμάτωση με υπάρχοντες αναλυτές κίνησης, όπως το Wireshark. Ο όγκος των δεδομένων που αποθηκεύονται περιορίζεται μόνο από το μέγεθος της διαθέσιμης συστοιχίας δίσκου. Τα μεταδεδομένα συνεδρίας ευρετηριάζονται σε ένα σύμπλεγμα που βασίζεται στη μηχανή Elasticsearch.

Για την ανάλυση των συσσωρευμένων πληροφοριών, προτείνεται μια διεπαφή ιστού που επιτρέπει την περιήγηση, την αναζήτηση και την εξαγωγή δειγμάτων. Η διεπαφή ιστού παρέχει διάφορες λειτουργίες εμφάνισης: από γενικά στατιστικά στοιχεία, χάρτες σύνδεσης και οπτικά γραφήματα με δεδομένα σχετικά με τις αλλαγές στη δραστηριότητα του δικτύου έως εργαλεία για τη μελέτη μεμονωμένων συνεδριών, την ανάλυση δραστηριότητας στο πλαίσιο των χρησιμοποιούμενων πρωτοκόλλων και την ανάλυση δεδομένων από τις χωματερές PCAP.

Παρέχεται επίσης ένα API που επιτρέπει σε εφαρμογές τρίτων να περνούν δεδομένα που έχουν καταγραφεί σε πακέτα σε μορφή PCAP και αναλύονται σε συνεδρίες σε μορφή JSON.

Αρκίμε Έχει τρία βασικά συστατικά:

  1. Το Traffic Capture System είναι μια πολυσήμαντη εφαρμογή C για την παρακολούθηση της κυκλοφορίας, την εγγραφή χωρητικότητας PCAP στο δίσκο, την ανάλυση καταγεγραμμένων πακέτων και την αποστολή μεταδεδομένων συνεδρίας (Stateful Packet Inspection) (SPI) και πρωτοκόλλων στο σύμπλεγμα Elasticsearch. Είναι δυνατή η κρυπτογραφημένη αποθήκευση αρχείων PCAP.
  2. Μια διεπαφή ιστού βασισμένη στην πλατφόρμα Node.js που εκτελείται σε κάθε διακομιστή καταγραφής επισκεψιμότητας και χειρίζεται αιτήματα που σχετίζονται με την πρόσβαση σε ευρετηριασμένα δεδομένα και τη μεταφορά αρχείων PCAP μέσω του API.
  3. Κατάστημα μεταδεδομένων με βάση το Elasticsearch.

Κύριες καινοτομίες του Arkime 3.1

Σε αυτή τη νέα έκδοση, μία από τις σημαντικότερες αλλαγές που ξεχωρίζει είναι την αλλαγή του ονόματος του έργου, αφού όπως παραπάνω σχολίασα το έργο Προηγουμένως ήταν γνωστό ως Moloch και οι προγραμματιστές σχολιάζουν ότι το έργο γνώρισε ανάπτυξη και μια σημαντική αλλαγή και σκέφτηκαν ότι ήταν μια καλή στιγμή να αλλάξουν το όνομα σε Arkime. 

Μια άλλη από τις αλλαγές που ξεχωρίζει είναι το εντελώς νέο περιβάλλον χρήστη για διαμόρφωση WISE, δημιουργία και ενημέρωση πηγών WISE και στατιστικών WISE. Αυτό είναι ένα ισχυρό νέο εργαλείο για να βοηθήσει τους χρήστες να ξεκινήσουν με το WISE ή να βελτιώσουν την υπηρεσία WISE χωρίς να ξοδεύουν χρόνο σε ρυθμίσεις ή αρχεία προέλευσης.

Επιπλέον, επίσης επισημαίνει ότι προστέθηκε υποστήριξη για πρωτόκολλα IETF QUIC, GENEVE, VXLAN-GPEΕπιπλέον, προστέθηκε υποστήριξη για τον τύπο Q-in-Q (Double VLAN), ο οποίος επιτρέπει την ενσωμάτωση ετικετών VLAN σε ετικέτες δεύτερου επιπέδου για την επέκταση του αριθμού των VLAN σε 16 εκατομμύρια.

Από τις άλλες αλλαγές που ξεχωρίζουν:

  • Προστέθηκε υποστήριξη για τον τύπο πεδίου "πλωτό".
  • Ο συγγραφέας Amazon Elastic Compute Cloud μετακινήθηκε για να χρησιμοποιήσει το πρωτόκολλο IMDSv2 (Υπηρεσία μεταδεδομένων περιστατικών).
  • Αναδιαμόρφωση κώδικα για προσθήκη σηράγγων UDP.
  • Προστέθηκε υποστήριξη για elasticsearchAPIKey και elasticsearchBasicAuth.

Τέλος, εάν ενδιαφέρεστε να μάθετε περισσότερα για αυτήν τη νέα έκδοση, μπορείτε να συμβουλευτείτε τις λεπτομέρειες Στον ακόλουθο σύνδεσμο.

Πάρτε το Arkime

Για όσους ενδιαφέρονται να αποκτήσουν αυτό το βοηθητικό πρόγραμμα, θα πρέπει να γνωρίζουν ότι ο κώδικας του στοιχείου καταγραφής επισκεψιμότητας είναι γραμμένος σε C και η διεπαφή υλοποιείται στο Node.js / JavaScript. Ο πηγαίος κώδικας διανέμεται υπό την άδεια Apache 2.0. Υποστηρίζεται η εργασία σε Linux και FreeBSD.

Τα έτοιμα πακέτα είναι έτοιμα για Arch, CentOS και Ubuntu και μπορούν να ληφθούν από τον παρακάτω σύνδεσμο.


Αφήστε το σχόλιό σας

Η διεύθυνση email σας δεν θα δημοσιευθεί. Τα υποχρεωτικά πεδία σημειώνονται με *

*

*

  1. Υπεύθυνος για τα δεδομένα: Miguel Ángel Gatón
  2. Σκοπός των δεδομένων: Έλεγχος SPAM, διαχείριση σχολίων.
  3. Νομιμοποίηση: Η συγκατάθεσή σας
  4. Κοινοποίηση των δεδομένων: Τα δεδομένα δεν θα κοινοποιούνται σε τρίτους, εκτός από νομική υποχρέωση.
  5. Αποθήκευση δεδομένων: Βάση δεδομένων που φιλοξενείται από τα δίκτυα Occentus (ΕΕ)
  6. Δικαιώματα: Ανά πάσα στιγμή μπορείτε να περιορίσετε, να ανακτήσετε και να διαγράψετε τις πληροφορίες σας.