Nesen tika paziņots par uztveršanas sistēmas palaišanu, tīkla pakešu uzglabāšana un indeksēšana Arkime 3.1, kas nodrošina rīkus, lai vizuāli novērtētu satiksmes plūsmas un meklēt informāciju, kas saistīta ar tīkla darbību.
Projekts tika izstrādāts sākotnēji AOL ar mērķi izveidot atvērtu un izvietojamu aizstājēju komerciālām tīkla pakešu apstrādes platformām savos serveros, kas var mērogot, lai apstrādātu trafiku ar ātrumu desmitiem gigabitu sekundē.
Par Arkime
Tiem, kas nepazīst Arkime, ļaujiet man jums to pateikt agrāk pazīstams kā Moločs kas bija rīku komplekts, lai uztvertu un indeksētu datplūsmu standarta PCAP formātā un tas arī nodrošina rīkus ātrai piekļuvei indeksētajiem datiem. PCAP formāta izmantošana ievērojami vienkāršo integrāciju ar esošajiem trafika analizatoriem, piemēram, Wireshark. Saglabāto datu apjomu ierobežo tikai pieejamā diska masīva lielums. Sesijas metadati tiek indeksēti klasterī, pamatojoties uz Elasticsearch dzinēju.
Lai analizētu uzkrāto informāciju, tiek piedāvāta tīmekļa saskarne, kas ļauj pārlūkot, meklēt un eksportēt paraugus. Tīmekļa saskarne nodrošina dažādus attēlošanas režīmus: no vispārējās statistikas, savienojumu kartēm un vizuālajiem grafikiem ar datiem par tīkla darbības izmaiņām līdz rīkiem atsevišķu sesiju izpētei, darbību analīzei izmantoto protokolu kontekstā un PCAP izgāztuvju datu analīzei.
Tiek nodrošināta arī API, kas ļauj trešo pušu lietojumprogrammām nodot uztvertos pakešdatus PCAP formātā un parsētās sesijas JSON formātā.
arkime Tam ir trīs pamata sastāvdaļas:
- Satiksmes uztveršanas sistēma ir daudzšķiedru C lietojumprogramma satiksmes uzraudzībai, PCAP izgāztuvju ierakstīšanai diskā, uzņemto pakešu analīzei un sesijas metadatu (Stateful Packet Inspection) (SPI) un protokolu nosūtīšanai uz Elasticsearch kopu. Ir iespējama šifrēta PCAP failu glabāšana.
- Tīmekļa saskarne, kuras pamatā ir Node.js platforma, kas darbojas katrā datplūsmas uztveršanas serverī un apstrādā pieprasījumus, kas saistīti ar piekļuvi indeksētiem datiem un PCAP failu pārsūtīšanu, izmantojot API.
- Elasticsearch balstīts metadatu veikals.
Galvenie Arkime jauninājumi 3.1
Šajā jaunajā versijā viena no vissvarīgākajām izmaiņām, kas izceļas, ir projekta nosaukuma maiņa, jo, kā minēts iepriekš, es komentēju projektu Iepriekš tas bija pazīstams kā Moloch, un izstrādātāji komentē, ka projekts ir piedzīvojis izaugsmi un būtiskas izmaiņas un viņi domāja, ka ir īstais laiks mainīt nosaukumu uz Arkime.
Vēl viena no izmaiņām, kas izceļas, ir pilnīgi jauna lietotāja saskarne WISE konfigurācijai, veidojot un atjauninot WISE avotus un WISE statistiku. Šis ir spēcīgs jauns rīks, kas palīdz lietotājiem sākt darbu ar WISE vai uzlabot savu WISE pakalpojumu, netērējot laiku konfigurācijas vai avota failiem.
No otras puses, arī uzsver, ka tika pievienots IETF QUIC, GENEVE, VXLAN-GPE protokolu atbalstsTurklāt tika pievienots atbalsts Q-in-Q (Double VLAN) tipam, kas ļauj iekapsulēt VLAN tagus otrā līmeņa tagos, lai paplašinātu VLAN skaitu līdz 16 miljoniem.
Starp pārējām izmaiņām, kas izceļas:
- Pievienots atbalsts "peldošajam" lauka tipam.
- Amazon Elastic Compute Cloud rakstītājs ir pārvietots, lai izmantotu IMDSv2 (instances metadatu pakalpojums) protokolu.
- Koda pārveidošana, lai pievienotu UDP tuneļus.
- Pievienots elastīgās meklēšanas APIKey un elastīgās meklēšanas pamatprogrammas atbalsts.
Visbeidzot, ja vēlaties uzzināt vairāk par šo jauno versiju, varat iepazīties ar informāciju Šajā saitē.
Iegūstiet Arkime
Tiem, kas ir ieinteresēti iegūt šo utilītu, viņiem jāzina, ka datplūsmas uztveršanas komponenta kods ir rakstīts C un saskarne ir ieviesta Node.js / JavaScript. Avota kods tiek izplatīts saskaņā ar Apache 2.0 licenci. Tiek atbalstīts darbs ar Linux un FreeBSD.
Gatavi iepakojumi ir gatavi Arch, CentOS un Ubuntu, un tos var iegūt no saites zemāk.