לאחרונה הוכרזה השקת מערכת הלכידה, אחסון מנות רשת ואינדקס Arkime 3.1, המספקת כלים להערכה חזותית של תזרימי התנועה ולחפש מידע הקשור לפעילות הרשת.
הפרויקט פותח במקור על ידי AOL במטרה ליצור תחליף פתוח ופריס לפלטפורמות עיבוד מנות רשת מסחריות בשרתים שלהן שיכולות להתמודד עם התנועה במהירות של עשרות ג'יגה -ביט בשנייה.
לגבי ארקימה
למי שלא מכיר את ארקימה, הרשה לי לספר לך זאת נקרא בעבר מולוך שהיה כלי כלים ללכידת ואינדקס תעבורה בפורמט PCAP סטנדרטי והוא גם מספק כלים לגישה מהירה לנתונים באינדקס. השימוש בפורמט PCAP מפשט מאוד את האינטגרציה עם מנתחי תנועה קיימים כגון Wireshark. כמות הנתונים המאוחסנים מוגבלת רק בגודל מערך הדיסק הזמין. מטא הנתונים של ההפעלה מאונדקסים באשכול המבוסס על מנוע Elasticsearch.
לניתוח המידע המצטבר מוצע ממשק אינטרנט המאפשר גלישה, חיפוש ויצוא דוגמאות. ממשק האינטרנט מספק מספר מצבי תצוגה: החל מסטטיסטיקה כללית, מפות חיבורים וגרפים ויזואליים עם נתונים על שינויים בפעילות הרשת וכלים לחקר הפעלות בודדות, ניתוח פעילות בהקשר של הפרוטוקולים שבהם נעשה שימוש וניתוח נתונים ממזבלות PCAP.
מסופק גם API המאפשר לאפליקציות של צד שלישי להעביר נתוני מנות שנתפסו בפורמט PCAP והפעלות מנותחות בפורמט JSON.
ארקימה יש לו שלושה מרכיבים בסיסיים:
- Traffic Capture System היא אפליקציית C מרובת שרשורים לניטור תעבורה, כתיבת משאבי PCAP לדיסק, ניתוח מנות שנתפסו ושליחת מטא נתונים של הפעלה (בדיקת מנות נתון) (SPI) ופרוטוקולים לאשכול Elasticsearch. אפשרות אחסון מוצפנת של קבצי PCAP.
- ממשק אינטרנט המבוסס על פלטפורמת Node.js הפועל על כל שרת לכידת תנועה ומטפל בבקשות הקשורות לגישה לנתונים לאינדקס ולהעברת קבצי PCAP באמצעות ה- API.
- חנות מטא נתונים מבוססת Elasticsearch.
החידושים העיקריים של Arkime 3.1
בגרסה החדשה שפורסמה אחד השינויים החשובים הבולטים הוא שינוי שם הפרויקט, מכיוון שכמו למעלה הערתי על הפרויקט זה היה ידוע בעבר בשם מולוך והמפתחים מעידים כי הפרויקט חווה צמיחה ושינוי משמעותי והם חשבו שזה זמן טוב לשנות את השם ל- Arkime.
עוד אחד מהשינויים הבולטים הוא ממשק המשתמש החדש לחלוטין לתצורת WISE, יצירה ועדכון של מקורות WISE וסטטיסטיקות WISE. זהו כלי חדש ורב עוצמה המסייע למשתמשים להתחיל עם WISE או לשפר את שירות WISE מבלי לבזבז זמן על תצורה או קבצי מקור.
יתר על כן, גם מדגיש כי נוספה תמיכה בפרוטוקולים של IETF QUIC, GENEVE, VXLAN-GPEבנוסף, נוספה תמיכה מסוג Q-in-Q (Double VLAN), המאפשר להקיף תגי VLAN בתגיות ברמה השנייה להרחיב את מספר ה- VLAN ל -16 מיליון.
משאר השינויים הבולטים:
- נוספה תמיכה בסוג השדה "צף".
- כותב הענן Elastic Compute Cloud הועבר להשתמש בפרוטוקול IMDSv2 (Service Metadata Instance).
- שיפוץ קוד להוספת מנהרות UDP.
- נוספה תמיכה בחיפוש elasticsAPIKey ו- elasticsearchBasicAuth.
לבסוף, אם אתה מעוניין לדעת יותר על גרסה חדשה זו, תוכל להתייעץ עם הפרטים בקישור הבא.
קבל את ארקימה
למי שמעוניין להשיג כלי שירות זה, עליו לדעת שהקוד של רכיב לכידת התעבורה כתוב ב- C והממשק מיושם ב- Node.js / JavaScript. קוד המקור מופץ תחת רישיון Apache 2.0. נתמכת עבודה על לינוקס ו- FreeBSD.
חבילות מוכנות מוכנות ל- Arch, CentOS ואובונטו וניתן להשיג אותן מהקישור למטה.