nemrég bejelentették a rögzítési rendszer elindítását, hálózati csomagok tárolása és indexelése Arkime 3.1, amely eszközöket biztosít a forgalom vizuális felméréséhez és keresse a hálózati tevékenységgel kapcsolatos információkat.
A projektet kidolgozták eredetileg az AOL, azzal a céllal, hogy nyílt és telepíthető csomagot hozzon létre a kereskedelmi hálózati csomagfeldolgozó platformokhoz a szervereiken, amelyek méretezni tudják a forgalmat tízmillió gigabites sebességgel.
Az Arkime -ról
Azok számára, akik nem ismerik az Arkime -t, hadd mondjam el ezt korábban Moloch néven ismert amely eszköztár volt a forgalom standard PCAP formátumban történő rögzítésére és indexelésére és eszközöket is biztosít az indexelt adatok gyors eléréséhez. A PCAP formátum használata nagyban leegyszerűsíti az integrációt a meglévő forgalomelemzőkkel, például a Wiresharkkal. A tárolt adatok mennyiségét csak a rendelkezésre álló lemez tömb mérete korlátozza. A munkamenet metaadatai az Elasticsearch motoron alapuló fürtben vannak indexelve.
A felhalmozott információk elemzéséhez olyan webes felületet javasolnak, amely lehetővé teszi a minták böngészését, keresését és exportálását. A webes felület több megjelenítési módot kínál: az általános statisztikáktól, a kapcsolati térképektől és a vizuális grafikonoktól a hálózati tevékenység változásainak adatain át az egyes munkamenetek tanulmányozására szolgáló eszközökig, a tevékenységek elemzéséig a használt protokollok összefüggésében és a PCAP -lerakatokból származó adatok elemzésével.
Egy API is rendelkezésre áll, amely lehetővé teszi harmadik féltől származó alkalmazások számára, hogy PCAP formátumban továbbítsák a rögzített csomag adatokat, és az elemzett munkameneteket JSON formátumban.
arkime Három alapvető összetevőből áll:
- A Traffic Capture System egy többszálú C alkalmazás a forgalom megfigyelésére, a PCAP-fájlok lemezre írására, a rögzített csomagok elemzésére, valamint a munkamenet-metaadatok (állapotcsomag-ellenőrzés) (SPI) és protokollok elküldésére az Elasticsearch fürthöz. A PCAP fájlok titkosított tárolása lehetséges.
- A Node.js platformon alapuló webes felület, amely minden forgalomfelvételi kiszolgálón fut, és kezeli az indexelt adatok eléréséhez és a PCAP -fájlok API -n keresztüli átviteléhez kapcsolódó kéréseket.
- Elasticsearch-alapú metaadat-tároló.
Az Arkime fő újdonságai 3.1
Ebben az új kiadott verzióban az egyik legfontosabb változás kiemelkedik a projekt nevének megváltoztatása, mivel a fentiek szerint hozzászóltam a projekthez Korábban Moloch néven ismerték, és a fejlesztők megjegyzik, hogy a projekt növekedést tapasztalt és jelentős változás és úgy gondolták, hogy itt az ideje, hogy a nevet Arkime -ra változtassák.
A másik kiemelkedő változás az teljesen új felhasználói felület a WISE konfigurációhoz, WISE források és WISE statisztikák létrehozása és frissítése. Ez egy hatékony új eszköz, amely segít a felhasználóknak a WISE használatának megkezdésében vagy a WISE szolgáltatás fejlesztésében anélkül, hogy időt kellene fordítani a konfigurációra vagy a forrásfájlokra.
Sőt, szintén kiemeli, hogy az IETF QUIC, GENEVE, VXLAN-GPE protokollok támogatását hozzáadtákEzenkívül támogatást kapott a Q-in-Q (Double VLAN) típus, amely lehetővé teszi a VLAN-címkék második szintű címkékbe történő beágyazását, hogy a VLAN-ok száma 16 millióra bővüljön.
A többi kiemelkedő változás közül:
- Hozzáadott támogatás a "lebegő" mezőtípushoz.
- Az Amazon Elastic Compute Cloud írót áthelyezték az IMDSv2 (Instance Metadata Service) protokoll használatára.
- Kódfaktorozás UDP -alagutak hozzáadásához.
- Hozzáadott támogatás a elastsearchAPIKey és a elastsearchBasicAuth számára.
Végül, ha többet szeretne tudni erről az új verzióról, olvassa el a részleteket A következő linken.
Szerezd meg az Arkime -t
Azok számára, akik érdeklődnek ennek a segédprogramnak a megszerzése iránt, tudnia kell, hogy a forgalomfogó összetevő kódja C -ben van írva, és a felület Node.js / JavaScript -ben van megvalósítva. A forráskódot az Apache 2.0 licenc alatt terjesztik. A Linux és a FreeBSD használata támogatott.
A kész csomagok Arch, CentOS és Ubuntu használatra készek, és beszerezhetők az alábbi linkről.