nedavno najavljeno je pokretanje sustava hvatanja, pohrana mrežnih paketa i indeksiranje Arkime 3.1, koji pruža alate za vizualnu procjenu prometnih tokova i tražiti informacije povezane s mrežnim aktivnostima.
Projekt je razvijen izvorno AOL s ciljem stvaranja otvorene zamjenske zamjene za komercijalne mrežne platforme za obradu paketa na svojim poslužiteljima koje se mogu skalirati za upravljanje prometom brzinama od nekoliko desetaka gigabita u sekundi.
O Arkimeu
Za one koji nisu upoznati s Arkimeom, reći ću vam to ranije poznat kao Molok koji je bio alat za hvatanje i indeksiranje prometa u standardnom PCAP formatu također pruža alate za brzi pristup indeksiranim podacima. Korištenje PCAP formata uvelike pojednostavljuje integraciju sa postojećim analizatorima prometa, poput Wiresharka. Količina pohranjenih podataka ograničena je samo veličinom raspoloživog diskovnog niza. Metapodaci sesije indeksirani su u klasteru na temelju Elasticsearch stroja.
Za analizu prikupljenih informacija predloženo je web sučelje koje omogućuje pregledavanje, pretraživanje i izvoz uzoraka. Web sučelje nudi nekoliko načina prikaza: od opće statistike, karata povezivanja i vizualnih grafikona s podacima o promjenama mrežne aktivnosti do alata za proučavanje pojedinačnih sesija, analiziranje aktivnosti u kontekstu korištenih protokola i analizu podataka s PCAP deponija.
Dostupan je i API koji omogućuje aplikacijama trećih strana da proslijede zarobljene paketne podatke u PCAP formatu i raščlanjene sesije u JSON formatu.
arkime Ima tri osnovne komponente:
- Traffic Capture System je višenavojna C aplikacija za praćenje prometa, pisanje PCAP dump podataka na disk, analizu zarobljenih paketa i slanje metapodataka sesije (Stateful Packet Inspection) (SPI) i protokola u klaster Elasticsearch. Moguće je šifrirano skladištenje PCAP datoteka.
- Web sučelje temeljeno na platformi Node.js koje radi na svakom poslužitelju za hvatanje prometa i obrađuje zahtjeve vezane za pristup indeksiranim podacima i prijenos PCAP datoteka putem API -ja.
- Pohrana metapodataka temeljena na elastičnom pretraživanju.
Glavni noviteti Arkimea 3.1
U ovoj novoj izdanoj verziji jedna je od najvažnijih promjena koja se ističe promjenu naziva projekta, budući da sam, kao što je gore navedeno, komentirao projekt Ranije je bio poznat kao Moloch, a programeri komentiraju da je projekt doživio rast i značajnu promjenu i mislili su da je dobro vrijeme da promijene ime u Arkime.
Još jedna od promjena koja se ističe je potpuno novo korisničko sučelje za WISE konfiguraciju, stvaranje i ažuriranje WISE izvora i WISE statistike. Ovo je moćan novi alat koji pomaže korisnicima da započnu s WISE -om ili poboljšaju svoju WISE uslugu bez trošenja vremena na konfiguraciju ili izvorne datoteke.
Štoviše, također ističe se da je dodana podrška za protokole IETF QUIC, GENEVE, VXLAN-GPEOsim toga, dodana je podrška za tip Q-in-Q (dvostruki VLAN), koji vam omogućuje da inkapsulirate VLAN oznake u oznake druge razine kako biste povećali broj VLAN-ova na 16 milijuna.
Od ostalih istaknutih promjena:
- Dodana podrška za vrstu "plutajućeg" polja.
- Pisac Amazon Elastic Compute Cloud pisac prešao je na korištenje protokola IMDSv2 (Instance Metadata Service).
- Refactoring koda za dodavanje UDP tunela.
- Dodana podrška za elasticsearchAPIKey i elasticsearchBasicAuth.
Konačno, ako vas zanima više o ovoj novoj verziji, možete se posavjetovati s pojedinostima U sljedećem linku.
Nabavite Arkime
Za one koji su zainteresirani za dobivanje ovog uslužnog programa, trebali bi znati da je kod komponente za prikupljanje prometa napisan na C, a sučelje implementirano u Node.js / JavaScript. Izvorni kod distribuira se pod licencom Apache 2.0. Podržan je rad na Linuxu i FreeBSD -u.
Spremni paketi su spremni za Arch, CentOS i Ubuntu i mogu se nabaviti s donje poveznice.