A nova versión de Arkime 3.1 (anteriormente coñecida como Moloch) xa foi lanzada

Recientemente anunciouse o lanzamento do sistema de captura, almacenamento e indexación de paquetes de rede Arkime 3.1, que ofrece ferramentas para avaliar visualmente os fluxos de tráfico e buscar información relacionada coa actividade da rede.

O proxecto desenvolveuse orixinalmente por AOL co obxectivo de crear unha substitución aberta e despregable para plataformas comerciais de procesamento de paquetes de rede nos seus servidores que poden escalar para manexar o tráfico a velocidades de decenas de gigabits por segundo.

Acerca de Arkime

Para aqueles que non estean familiarizados con Arkime, déixeme dicirche iso antes coñecido como Moloch que era un kit de ferramentas para capturar e indexar o tráfico en formato PCAP estándar e tamén proporciona ferramentas para o acceso rápido a datos indexados. Usar o formato PCAP simplifica moito a integración con analizadores de tráfico existentes como Wireshark. A cantidade de datos almacenados está limitada só polo tamaño da matriz de disco dispoñible. Os metadatos da sesión están indexados nun clúster baseado no motor Elasticsearch.

Para analizar a información acumulada, proponse unha interface web que permite navegar, buscar e exportar mostras. A interface web ofrece varios modos de visualización: desde estatísticas xerais, mapas de conexión e gráficos visuais con datos sobre os cambios na actividade da rede ata ferramentas para estudar sesións individuais, analizando a actividade no contexto dos protocolos empregados e analizando os datos dos volcados PCAP.

Tamén se ofrece unha API para permitir que aplicacións de terceiros pasen datos de paquetes capturados en formato PCAP e sesións analizadas en formato JSON.

Arkime Ten tres compoñentes básicos:

  1. Traffic Capture System é unha aplicación C multithread para supervisar o tráfico, escribir envorcados PCAP no disco, analizar paquetes capturados e enviar metadatos de sesión (Stateful Packet Inspection) (SPI) e protocolos ao clúster Elasticsearch. É posible o almacenamento cifrado de ficheiros PCAP.
  2. Unha interface web baseada na plataforma Node.js que se executa en cada servidor de captura de tráfico e trata as solicitudes relacionadas co acceso a datos indexados e a transferencia de ficheiros PCAP a través da API.
  3. Tenda de metadatos baseada en Elasticsearch.

Principais novidades de Arkime 3.1

Nesta nova versión lanzada un dos cambios máis importantes que destaca é o cambio do nome do proxecto, xa que como arriba comentei o proxecto Anteriormente coñecíase como Moloch e os desenvolvedores comentaron que o proxecto experimentou un crecemento e un cambio significativo e pensaron que era un bo momento para cambiar o nome a Arkime. 

Outro dos cambios que destaca é a nova interface de usuario para a configuración WISE, creación e actualización de fontes WISE e estatísticas WISE. Esta é unha poderosa nova ferramenta para axudar aos usuarios a comezar con WISE ou mellorar o seu servizo WISE sen gastar tempo en configuración ou ficheiros fonte.

Ademais, tamén destaca que se engadiu soporte para protocolos IETF QUIC, GENEVE, VXLAN-GPEAdemais, engadiuse soporte para o tipo Q-in-Q (Double VLAN), que permite encapsular etiquetas VLAN en etiquetas de segundo nivel para expandir o número de VLAN a 16 millóns.

Dos outros cambios que destacan:

  • Engadiuse soporte para o tipo de campo "flotante".
  • O escritor Amazon Elastic Compute Cloud cambiouse para usar o protocolo IMDSv2 (Instance Metadata Service).
  • Refactorización de código para engadir túneles UDP.
  • Engadiuse soporte para elasticsearchAPIKey e elasticsearchBasicAuth.

Finalmente, se estás interesado en saber máis sobre esta nova versión, podes consultar os detalles Na seguinte ligazón.

Obtén Arkime

Para aqueles que estean interesados ​​en poder obter esta utilidade, deben saber que o código do compoñente de captura de tráfico está escrito en C e a interface está implementada en Node.js / JavaScript. O código fonte distribúese baixo a licenza Apache 2.0. Admítese o traballo en Linux e FreeBSD.

Os paquetes listos están listos para Arch, CentOS e Ubuntu e pódense obter dende a seguinte ligazón.


O contido do artigo adhírese aos nosos principios de ética editorial. Para informar dun erro faga clic en aquí.

Sexa o primeiro en opinar sobre

Deixa o teu comentario

Enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados con *

*

*

  1. Responsable dos datos: Miguel Ángel Gatón
  2. Finalidade dos datos: controlar SPAM, xestión de comentarios.
  3. Lexitimación: o seu consentimento
  4. Comunicación dos datos: os datos non serán comunicados a terceiros salvo obrigación legal.
  5. Almacenamento de datos: base de datos aloxada por Occentus Networks (UE)
  6. Dereitos: en calquera momento pode limitar, recuperar e eliminar a súa información.