Hiljuti teatati püüdmissüsteemi käivitamisest, võrgupakettide salvestamine ja indekseerimine Arkime 3.1, mis pakub tööriistu liiklusvoogude visuaalseks hindamiseks ja otsige võrgutegevusega seotud teavet.
Projekt töötati välja algselt AOL, eesmärgiga luua avatud ja juurutatav asendus kaubanduslike võrgupakettide töötlemise platvormide jaoks nende serverites, mis suudavad skaleerida liiklust kümnete gigabittide sekundis.
Arkime kohta
Neile, kes ei tunne Arkime'i, lubage mul seda teile öelda varem tuntud kui Moloch mis oli tööriistakomplekt liikluse kogumiseks ja indekseerimiseks standardses PCAP -vormingus samuti pakub see tööriistu indekseeritud andmetele kiireks juurdepääsuks. PCAP -vormingu kasutamine lihtsustab oluliselt integreerimist olemasolevate liiklusanalüsaatoritega, nagu Wireshark. Salvestatud andmete hulka piirab ainult saadaoleva kettamassiivi suurus. Seansi metaandmed on indekseeritud klastris, mis põhineb Elasticsearchi mootoril.
Kogunenud teabe analüüsimiseks pakutakse välja veebiliides, mis võimaldab proove sirvida, otsida ja eksportida. Veebiliides pakub mitmeid kuvamisrežiime: alates üldstatistikast, ühenduse kaartidest ja visuaalsetest graafikutest, mis sisaldavad andmeid võrgutegevuse muutuste kohta, kuni tööriistadeni üksikute seansside uurimiseks, tegevuse analüüsimiseks kasutatavate protokollide kontekstis ja PCAP -prügikastide andmete analüüsimiseks.
Pakutakse ka API-d, mis võimaldab kolmandate osapoolte rakendustel edastada jäädvustatud pakettandmeid PCAP-vormingus ja sõelutud seansse JSON-vormingus.
arkime Sellel on kolm põhikomponenti:
- Liikluse jäädvustamise süsteem on mitme lõimega C -rakendus liikluse jälgimiseks, PCAP -prügilate kettale kirjutamiseks, salvestatud pakettide analüüsimiseks ning seansi metaandmete (Stateful Packet Inspection) (SPI) ja protokollide saatmiseks Elasticsearchi klastrile. Võimalik on PCAP -failide krüptitud salvestamine.
- Veebiliides, mis põhineb platvormil Node.js, mis töötab igal liikluse kogumise serveril ja tegeleb taotlustega, mis on seotud indekseeritud andmetele juurdepääsu ja PCAP -failide edastamisega API kaudu.
- Elasticsearchil põhinev metaandmete pood.
Arkime peamised uudised 3.1
Selles uues välja antud versioonis on üks olulisemaid silmapaistvaid muudatusi projekti nime muutmine, kuna nagu eespool, kommenteerisin projekti Varem oli see tuntud kui Moloch ja arendajad kommenteerivad, et projekt on kasvanud ja oluline muutus ja nad arvasid, et on õige aeg muuta nimi Arkime'iks.
Teine silmapaistev muudatus on täiesti uus kasutajaliides WISE seadistamiseks, WISE allikate ja WISE statistika loomine ja uuendamine. See on võimas uus tööriist, mis aitab kasutajatel WISE -ga alustada või oma WISE -teenust täiustada, kulutamata aega konfiguratsioonile või lähtefailidele.
Lisaks sellele rõhutab, et lisati IETF QUIC, GENEVE, VXLAN-GPE protokollide tugiLisaks lisati tugi Q-in-Q (Double VLAN) tüübile, mis võimaldab VLAN-siltide kapseldamist teise taseme siltidesse, et laiendada VLAN-ide arvu 16 miljonini.
Muudest silmapaistvatest muudatustest:
- Lisatud "ujuva" väljatüübi tugi.
- Amazon Elastic Compute Cloudi kirjutaja on viidud kasutama IMDSv2 (instantsi metaandmete teenus) protokolli.
- Koodide ümbertegemine UDP tunnelite lisamiseks.
- Lisatud elastsearchAPIKey ja elastsearchBasicAuth tugi.
Lõpuks, kui soovite selle uue versiooni kohta rohkem teada saada, saate üksikasju vaadata Järgmisel lingil.
Hankige Arkime
Need, kes on huvitatud selle utiliidi hankimisest, peaksid teadma, et liikluse kogumise komponendi kood on kirjutatud C -vormingus ja liides on rakendatud Node.js / JavaScriptis. Lähtekoodi levitatakse Apache 2.0 litsentsi alusel. Toetatakse Linuxi ja FreeBSD -ga töötamist.
Valmis paketid on Arch, CentOS ja Ubuntu valmis ning neid saab hankida allolevalt lingilt.