äskettäin sieppausjärjestelmän käynnistämisestä ilmoitettiin, verkkopakettien tallennus ja indeksointi Arkime 3.1, joka tarjoaa työkaluja liikennevirtojen visuaaliseen arviointiin ja etsi verkkotoimintaan liittyviä tietoja.
Hanke kehitettiin alun perin AOL: n tavoitteena luoda avoin ja käyttöön otettava korvaava kaupallisille verkkopakettien käsittelyalustoille palvelimillaan, jotka voivat skaalautua käsittelemään liikennettä kymmeniä gigatavuja sekunnissa.
Tietoja Arkimesta
Niille, jotka eivät tunne Arkimea, kerron teille sen tunnettiin aiemmin nimellä Moloch joka oli työkalupakki liikenteen sieppaamiseen ja indeksointiin standardissa PCAP -muodossa ja se tarjoaa myös työkaluja indeksoitujen tietojen nopeaan käyttöön. PCAP -muodon käyttö yksinkertaistaa huomattavasti integrointia olemassa oleviin liikenneanalysaattoreihin, kuten Wiresharkiin. Tallennettujen tietojen määrää rajoittaa vain käytettävissä olevan levylevyn koko. Istunnon metatiedot indeksoidaan Elasticsearch -moottoriin perustuvassa klusterissa.
Kerättyjen tietojen analysoimiseksi ehdotetaan verkkokäyttöliittymää, joka mahdollistaa näytteiden selaamisen, etsimisen ja viennin. Verkkokäyttöliittymässä on useita näyttötiloja: yleisistä tilastotiedoista, yhteyskartoista ja visuaalisista kaavioista, joissa on tietoja verkkotoiminnan muutoksista, työkaluihin yksittäisten istuntojen tutkimiseen, toiminnan analysointiin käytettyjen protokollien yhteydessä ja PCAP -kaatopaikkojen tietojen analysointiin.
Käytettävissä on myös sovellusliittymä, jonka avulla kolmannen osapuolen sovellukset voivat välittää kaapattua pakettidataa PCAP-muodossa ja jäsennettyjä istuntoja JSON-muodossa.
arkime Siinä on kolme peruskomponenttia:
- Traffic Capture System on monisäikeinen C -sovellus liikenteen seurantaan, PCAP -kaatosten kirjoittamiseen levylle, kaapattujen pakettien analysointiin ja istunnon metatietojen (Stateful Packet Inspection) (SPI) ja protokollien lähettämiseen Elasticsearch -klusteriin. PCAP -tiedostojen salattu tallennus on mahdollista.
- Node.js -alustaan perustuva verkkokäyttöliittymä, joka toimii kullakin liikenteen sieppauspalvelimella ja joka käsittelee indeksoidun datan käyttämiseen ja PCAP -tiedostojen siirtoon API: n kautta liittyvät pyynnöt.
- Elasticsearch-pohjainen metatietovarasto.
Arkimen tärkeimmät uutuudet 3.1
Tässä uudessa versiossa yksi merkittävimmistä muutoksista erottuu hankkeen nimen muutos, koska kuten edellä kommentoin projektia Se tunnettiin aiemmin nimellä Moloch ja kehittäjät kommentoivat, että projekti on kasvanut ja merkittävä muutos ja heidän mielestään oli hyvä aika vaihtaa nimi Arkimeksi.
Toinen muutos, joka erottuu, on täysin uusi käyttöliittymä WISE -kokoonpanoa varten, luoda ja päivittää WISE -lähteitä ja WISE -tilastoja. Tämä on tehokas uusi työkalu, joka auttaa käyttäjiä aloittamaan WISEn käytön tai parantamaan WISE -palveluaan käyttämättä aikaa kokoonpanoon tai lähdetiedostoihin.
Lisäksi myös se erottuu siitä, että IETF QUIC-, GENEVE-, VXLAN-GPE-protokollien tuki lisättiinLisäksi lisättiin tuki Q-in-Q (Double VLAN) -tyypille, joka mahdollistaa VLAN-tunnisteiden kapseloinnin toisen tason tunnisteisiin ja laajentaa VLAN-verkkojen määrän 16 miljoonaan.
Muista erottuvista muutoksista:
- Lisätty tuki "kelluvalle" kentätyypille.
- Amazon Elastic Compute Cloud -kirjoittaja on siirtynyt käyttämään IMDSv2 (Instance Metadata Service) -protokollaa.
- Koodin uudistaminen UDP -tunneleiden lisäämiseksi.
- Lisätty tuki elastiselle haulle APIKey ja elastinen hakuBasicAuth.
Lopuksi, jos haluat tietää enemmän tästä uudesta versiosta, voit tutustua yksityiskohtiin Seuraavassa linkissä.
Hanki Arkime
Niiden, jotka ovat kiinnostuneita saamaan tämän apuohjelman, heidän tulee tietää, että liikenteen sieppauskomponentin koodi on kirjoitettu C -kirjaimella ja käyttöliittymä on toteutettu Node.js / JavaScript -muodossa. Lähdekoodi jaetaan Apache 2.0 -lisenssillä. Työtä Linuxilla ja FreeBSD: llä tuetaan.
Valmiit paketit ovat Arch-, CentOS- ja Ubuntu -valmiita, ja ne voidaan hankkia alla olevasta linkistä.