Baru-baru ini pelancaran sistem tangkapan diumumkan, penyimpanan dan pengindeksan paket rangkaian Arkime 3.1, yang menyediakan alat untuk menilai aliran lalu lintas secara visual dan mencari maklumat yang berkaitan dengan aktiviti rangkaian.
Projek ini dibangunkan pada asalnya oleh AOL dengan tujuan untuk membuat penggantian terbuka dan boleh digunakan untuk platform pemprosesan paket rangkaian komersial pada pelayannya yang dapat menimbang untuk menangani lalu lintas pada kelajuan puluhan gigabit sesaat.
Mengenai Arkime
Bagi mereka yang tidak biasa dengan Arkime, izinkan saya memberitahu anda perkara itu dahulunya dikenali sebagai Moloch yang merupakan alat untuk menangkap dan mengindeks lalu lintas dalam format PCAP standard dan juga menyediakan alat untuk akses cepat ke data yang diindeks. Menggunakan format PCAP sangat memudahkan penyatuan dengan penganalisis lalu lintas yang ada seperti Wireshark. Jumlah data yang disimpan hanya dibatasi oleh ukuran array cakera yang ada. Metadata sesi diindeks dalam kelompok berdasarkan mesin Elasticsearch.
Untuk menganalisis maklumat yang terkumpul, antara muka web dicadangkan yang membolehkan melayari, mencari dan mengeksport sampel. Antara muka web menyediakan pelbagai mod paparan: dari statistik umum, peta sambungan dan grafik visual dengan data mengenai perubahan aktiviti rangkaian hingga alat untuk mempelajari sesi individu, menganalisis aktiviti dalam konteks protokol yang digunakan dan menganalisis data dari lambakan PCAP.
API juga disediakan untuk membolehkan aplikasi pihak ketiga menyampaikan data paket yang ditangkap dalam format PCAP dan sesi yang dihuraikan dalam format JSON.
arkime Ia mempunyai tiga komponen asas:
- Traffic Capture System adalah aplikasi C multithreaded untuk memantau lalu lintas, menulis dump PCAP ke disk, menganalisis paket yang ditangkap, dan mengirim metadata sesi (Stateful Packet Inspection) (SPI) dan protokol ke kluster Elasticsearch. Penyimpanan fail PCAP yang disulitkan adalah mungkin.
- Antara muka web berdasarkan platform Node.js yang berjalan pada setiap pelayan penangkapan lalu lintas dan menangani permintaan yang berkaitan dengan mengakses data yang diindeks dan memindahkan fail PCAP melalui API.
- Kedai metadata berasaskan elasticsearch.
Novel utama Arkime 3.1
Dalam versi yang baru dikeluarkan ini, salah satu perubahan terpenting yang menonjol adalah pertukaran nama projek, kerana seperti di atas saya memberi komen mengenai projek tersebut Ia sebelumnya dikenali sebagai Moloch dan para pemaju memberi komen bahawa projek ini telah mengalami pertumbuhan dan perubahan yang ketara dan mereka berpendapat bahawa ini adalah masa yang tepat untuk menukar nama menjadi Arkime.
Satu lagi perubahan yang menonjol adalah antara muka pengguna yang sama sekali baru untuk konfigurasi WISE, membuat dan mengemas kini sumber WISE dan statistik WISE. Ini adalah alat baru yang kuat untuk membantu pengguna memulakan WISE atau meningkatkan perkhidmatan WISE mereka tanpa perlu menghabiskan masa untuk konfigurasi atau sumber fail.
Selain itu, juga sorotan bahawa sokongan untuk protokol IETF QUIC, GENEVE, VXLAN-GPE telah ditambahkanSebagai tambahan, sokongan ditambahkan untuk jenis Q-in-Q (Double VLAN), yang memungkinkan merangkumi tag VLAN dalam tag tahap kedua untuk memperluas jumlah VLAN menjadi 16 juta.
Perubahan lain yang menonjol:
- Menambah sokongan untuk jenis medan "terapung".
- Penulis Amazon Elastic Compute Cloud telah dipindahkan untuk menggunakan protokol IMDSv2 (Instance Metadata Service).
- Refactoring kod untuk menambah terowong UDP.
- Menambah sokongan untuk elasticsearchAPIKey dan elasticsearchBasicAuth.
Akhirnya, jika anda berminat untuk mengetahui lebih lanjut mengenai versi baru ini, anda boleh melihat butirannya Dalam pautan berikut.
Dapatkan Arkime
Bagi mereka yang berminat untuk mendapatkan utiliti ini, mereka harus mengetahui bahawa kod komponen penangkapan lalu lintas ditulis dalam C dan antara muka dilaksanakan dalam Node.js / JavaScript. Kod sumber diedarkan di bawah lesen Apache 2.0. Kerja Linux dan FreeBSD disokong.
Pakej siap Arch, CentOS dan Ubuntu sudah siap dan boleh didapati dari pautan di bawah.