最近 キャプチャシステムの発売が発表されました、 ネットワークパケットの保存とインデックス作成 Arkime 3.1は、交通流を視覚的に評価するためのツールを提供します ネットワークアクティビティに関連する情報を検索します。
プロジェクトが開発されました もともとはオープンで展開可能な代替品を作成することを目的としたAOLによるものです 数十ギガビット/秒の速度でトラフィックを処理するように拡張できるサーバー上の商用ネットワークパケット処理プラットフォーム用。
アルキメについて
Arkimeに不慣れな方のために、 以前はモロクとして知られていました これは、標準のPCAP形式でトラフィックをキャプチャしてインデックスを作成するためのツールキットでした また、インデックス付きデータにすばやくアクセスするためのツールも提供します。 PCAP形式を使用すると、Wiresharkなどの既存のトラフィックアナライザとの統合が大幅に簡素化されます。 保存されるデータの量は、使用可能なディスクアレイのサイズによってのみ制限されます。 セッションメタデータは、Elasticsearchエンジンに基づいてクラスター内でインデックス付けされます。
蓄積された情報を分析するために、サンプルの閲覧、検索、エクスポートを可能にするWebインターフェイスが提案されています。 Webインターフェイスは、ネットワークアクティビティの変化に関するデータを含む一般的な統計、接続マップ、ビジュアルグラフから、個々のセッションの調査、使用されるプロトコルのコンテキストでのアクティビティの分析、PCAPダンプからのデータの分析まで、さまざまな表示モードを提供します。
サードパーティアプリケーションがキャプチャされたパケットデータをPCAP形式で渡し、解析されたセッションをJSON形式で渡すことができるようにするAPIも提供されています。
アルキメ これにはXNUMXつの基本的なコンポーネントがあります。
- Traffic Capture Systemは、トラフィックを監視し、PCAPダンプをディスクに書き込み、キャプチャされたパケットを分析し、セッションメタデータ(ステートフルパケットインスペクション)(SPI)とプロトコルをElasticsearchクラスターに送信するためのマルチスレッドCアプリケーションです。 PCAPファイルの暗号化された保存が可能です。
- 各トラフィックキャプチャサーバーで実行され、インデックス付きデータへのアクセスとAPIを介したPCAPファイルの転送に関連するリクエストを処理するNode.jsプラットフォームに基づくウェブインターフェース。
- Elasticsearchベースのメタデータストア。
Arkime3.1の主なノベルティ
この新しくリリースされたバージョンで際立っている最も重要な変更のXNUMXつは プロジェクト名の変更、 上記のように私はプロジェクトについてコメントしたので 以前はMolochとして知られており、開発者はプロジェクトが成長を遂げたとコメントしています そして重要な変化 そして、名前をアルキメに変えるのに良い時期だと彼らは考えました。
目立つもうXNUMXつの変更点は WISE構成用のまったく新しいユーザーインターフェイス、 WISEソースとWISE統計の作成と更新。 これは、ユーザーが構成やソースファイルに時間を費やすことなく、WISEの使用を開始したり、WISEサービスを改善したりするのに役立つ強力な新しいツールです。
また、また IETF QUIC、GENEVE、VXLAN-GPEプロトコルのサポートが追加されたことに注意してくださいさらに、Q-in-Q(Double VLAN)タイプのサポートが追加されました。これにより、VLANタグを第16レベルのタグにカプセル化して、VLANの数をXNUMX万に拡張できます。
目立つ他の変更のうち:
- 「フローティング」フィールドタイプのサポートが追加されました。
- Amazon Elastic Compute Cloudライターは、IMDSv2(インスタンスメタデータサービス)プロトコルを使用するように移動しました。
- UDPトンネルを追加するためのコードリファクタリング。
- elasticsearchAPIKeyおよびelasticsearchBasicAuthのサポートが追加されました。
最後に、この新しいバージョンについて詳しく知りたい場合は、詳細を参照してください。 次のリンクで。
Arkimeを入手
このユーティリティを入手することに興味がある人は、トラフィックキャプチャコンポーネントのコードがCで記述されており、インターフェイスがNode.js / JavaScriptで実装されていることを知っておく必要があります。 ソースコードはApache2.0ライセンスの下で配布されています。 LinuxおよびFreeBSDでの作業がサポートされています。
レディパッケージはArch、CentOS、Ubuntuに対応しており、入手できます。 下のリンクから。