Arkime 3.1-ren bertsio berria (lehen Moloch izenarekin ezagutzen zena) kaleratu da

Duela gutxi harrapaketa sistema abian jarri zela iragarri zen, sareko paketeen biltegiratzea eta indexazioa Arkime 3.1, trafiko fluxuak bisualki ebaluatzeko tresnak eskaintzen dituena eta sareko jarduerarekin lotutako informazioa bilatu.

Proiektua garatu zen jatorriz AOLek ordezkapen ireki eta hedagarri bat sortzeko helburuarekin sareko pakete komertzialak prozesatzeko plataformetarako beren zerbitzarietan, trafikoa segundoko hamarka gigabiteko abiaduran kudeatzeko eskala dezakete.

Arkimeri buruz

Arkime ezagutzen ez dutenentzat, esan dezadan lehen Moloch izenarekin ezagutzen zena PCAP formatu estandarrean trafikoa harrapatu eta indexatzeko tresna-multzoa zen eta indexatutako datuetara azkar sartzeko tresnak ere eskaintzen ditu. PCAP formatua erabiltzeak asko errazten du Wireshark bezalako lehendik dauden trafiko aztertzaileekin integratzea. Biltegiratutako datu kopurua eskuragarri dagoen disko arrayaren tamainak soilik mugatzen du. Saioaren metadatuak Elasticsearch motorrean oinarritutako kluster batean indexatuta daude.

Metatutako informazioa aztertzeko, laginak arakatzea, bilatzea eta esportatzea ahalbidetzen duen web interfazea proposatzen da. Web interfazeak hainbat bistaratze modu eskaintzen ditu: estatistika orokorretatik, konexio mapetatik eta ikusizko grafikoetatik sareko jardueran izandako aldaketen datuekin saio indibidualak aztertzeko tresnetaraino, erabilitako protokoloen testuinguruan jarduera aztertuz eta PCAP zabortegietako datuak aztertuz.

APIa ere eskaintzen da hirugarrenen aplikazioek harrapatutako pakete datuak PCAP formatuan eta analizatutako saioak JSON formatuan pasatzeko.

Arkime Oinarrizko hiru osagai ditu:

  1. Traffic Capture System hari anitzeko C aplikazioa da, trafikoa kontrolatzeko, PCAP isurketak diskoan idazteko, harrapatutako paketeak aztertzeko eta saioko metadatuak (Stateful Packet Inspection) (SPI) eta protokoloak Elasticsearch klusterrera bidaltzeko. PCAP fitxategien biltegiratze enkriptatua posible da.
  2. Trafikoa harrapatzeko zerbitzari bakoitzean exekutatzen den eta indexatutako datuetara sartzearekin eta PCAP fitxategiak APIaren bidez transferitzearekin lotutako eskaerak kudeatzen dituen Node.js plataforman oinarritutako web interfazea.
  3. Elasticsearch oinarritutako metadatuen denda.

Arkime-ren berritasun nagusiak 3.1

Argitaratutako bertsio berri honetan nabarmentzen den aldaketa garrantzitsuenetako bat da proiektuaren izenaren aldaketa, goian bezala proiektua komentatu nuenez Aurretik Moloch izenarekin ezagutzen zen eta garatzaileek proiektuak hazkundea izan duela iruzkindu dute eta aldaketa nabarmena eta izena Arkime izatera pasatzeko une egokia zela pentsatu zuten. 

Nabarmentzen den beste aldaketa bat da WISE konfiguraziorako erabiltzaile interfaze guztiz berria, WISE iturriak eta WISE estatistikak sortu eta eguneratzea. Tresna berri indartsua da erabiltzaileei WISE erabiltzen hasteko edo WISE zerbitzua hobetzeko konfigurazioko edo iturburu fitxategietan denbora eman gabe.

Bestalde, gainera Nabarmendu du IETF QUIC, GENEVE, VXLAN-GPE protokoloetarako laguntza gehitu zelaGainera, Q-in-Q (VLAN bikoitza) motarako laguntza gehitu zen, bigarren mailako etiketetan VLAN etiketak kapsulatzea ahalbidetzen baitu VLAN kopurua 16 milioira zabaltzeko.

Nabarmentzen diren beste aldaketen artean:

  • "Mugikor" eremu motarako laguntza gehitu da.
  • Amazon Elastic Compute Cloud idazlea IMDSv2 (Instance Metadata Service) protokoloa erabiltzera eraman da.
  • Kodearen berregokitzea UDP tunelak gehitzeko.
  • Gehitu da laguntza elasticsearchAPIKey eta elasticsearchBasicAuth zerbitzuetarako.

Azkenik, bertsio berri honi buruz gehiago jakiteko interesa baduzu, xehetasunak kontsultatu ditzakezu Hurrengo estekan.

Lortu Arkime

Erabilgarritasun hau eskuratu ahal izateko interesa dutenentzat, jakin beharko dute trafikoa harrapatzeko osagaiaren kodea C-n idatzita dagoela eta interfazea Node.js / JavaScript-en ezarrita dagoela. Iturburu kodea Apache 2.0 lizentziapean banatzen da. Linux eta FreeBSD-rekin lan egitea onartzen da.

Prest dauden paketeak Arch, CentOS eta Ubuntu prest daude eta lor daitezke beheko estekatik.


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.