Baru-baru ini peluncuran sistem penangkapan diumumkan, penyimpanan dan pengindeksan paket jaringan Arkime 3.1, yang menyediakan alat untuk menilai arus lalu lintas secara visual dan mencari informasi terkait aktivitas jaringan.
Proyek ini dikembangkan awalnya oleh AOL dengan tujuan membuat pengganti yang terbuka dan dapat digunakan untuk platform pemrosesan paket jaringan komersial di server mereka yang dapat diskalakan untuk menangani lalu lintas dengan kecepatan puluhan gigabit per detik.
Tentang Arkime
Bagi mereka yang tidak terbiasa dengan Arkime, izinkan saya memberi tahu Anda itu sebelumnya dikenal sebagai Moloch yang merupakan toolkit untuk menangkap dan mengindeks lalu lintas dalam format PCAP standar dan juga menyediakan alat untuk akses cepat ke data yang diindeks. Menggunakan format PCAP sangat menyederhanakan integrasi dengan penganalisis lalu lintas yang ada seperti Wireshark. Jumlah data yang disimpan hanya dibatasi oleh ukuran array disk yang tersedia. Metadata sesi diindeks dalam sebuah cluster berdasarkan mesin Elasticsearch.
Untuk menganalisis akumulasi informasi, diusulkan antarmuka web yang memungkinkan penelusuran, pencarian, dan pengeksporan sampel. Antarmuka web menyediakan beberapa mode tampilan: dari statistik umum, peta koneksi, dan grafik visual dengan data tentang perubahan aktivitas jaringan hingga alat untuk mempelajari sesi individu, menganalisis aktivitas dalam konteks protokol yang digunakan, dan menganalisis data dari dump PCAP.
API juga disediakan untuk memungkinkan aplikasi pihak ketiga meneruskan data paket yang diambil dalam format PCAP dan sesi yang diuraikan dalam format JSON.
arkime Ini memiliki tiga komponen dasar:
- Traffic Capture System adalah aplikasi C multithreaded untuk memantau lalu lintas, menulis dump PCAP ke disk, menganalisis paket yang diambil, dan mengirim metadata sesi (Stateful Packet Inspection) (SPI) dan protokol ke cluster Elasticsearch. Penyimpanan terenkripsi file PCAP dimungkinkan.
- Antarmuka web berdasarkan platform Node.js yang berjalan di setiap server penangkapan lalu lintas dan menangani permintaan yang terkait dengan mengakses data yang diindeks dan mentransfer file PCAP melalui API.
- Penyimpanan metadata berbasis elasticsearch.
Hal baru utama dari Arkime 3.1
Dalam versi baru yang dirilis ini, salah satu perubahan terpenting yang menonjol adalah perubahan nama proyek, karena seperti di atas saya mengomentari proyek Sebelumnya dikenal sebagai Moloch dan pengembang berkomentar bahwa proyek tersebut telah mengalami pertumbuhan dan perubahan yang signifikan dan mereka pikir ini saat yang tepat untuk mengubah nama menjadi Arkime.
Perubahan lain yang menonjol adalah antarmuka pengguna yang benar-benar baru untuk konfigurasi WISE, membuat dan memperbarui sumber WISE dan statistik WISE. Ini adalah alat baru yang kuat untuk membantu pengguna memulai dengan WISE atau meningkatkan layanan WISE mereka tanpa menghabiskan waktu untuk konfigurasi atau file sumber.
Apalagi juga menyoroti bahwa dukungan untuk protokol IETF QUIC, GENEVE, VXLAN-GPE telah ditambahkanSelain itu, dukungan ditambahkan untuk tipe Q-in-Q (Double VLAN), yang memungkinkan enkapsulasi tag VLAN dalam tag tingkat kedua untuk memperluas jumlah VLAN hingga 16 juta.
Dari perubahan lain yang menonjol:
- Menambahkan dukungan untuk jenis bidang "mengambang".
- Penulis Amazon Elastic Compute Cloud telah dipindahkan untuk menggunakan protokol IMDSv2 (Layanan Metadata Instans).
- Pemfaktoran ulang kode untuk menambahkan terowongan UDP.
- Menambahkan dukungan untuk elasticsearchAPIKey dan elasticsearchBasicAuth.
Akhirnya, jika Anda tertarik untuk mengetahui lebih banyak tentang versi baru ini, Anda dapat berkonsultasi dengan detailnya Di tautan berikut.
Dapatkan Arkime
Bagi mereka yang tertarik untuk mendapatkan utilitas ini, mereka harus tahu bahwa kode komponen penangkapan lalu lintas ditulis dalam C dan antarmuka diimplementasikan dalam Node.js / JavaScript. Kode sumber didistribusikan di bawah lisensi Apache 2.0. Bekerja di Linux dan FreeBSD didukung.
Paket siap adalah Arch, CentOS dan Ubuntu siap dan dapat diperoleh dari tautan di bawah.