De nieuwe versie van Arkime 3.1 (voorheen bekend als Moloch) is al uitgebracht

onlangs de lancering van het vangsysteem werd aangekondigd, netwerkpakketopslag en indexering Arkime 3.1, dat tools biedt om verkeersstromen visueel te beoordelen en zoek naar informatie met betrekking tot netwerkactiviteit.

Het project is ontwikkeld oorspronkelijk door AOL met als doel een open en inzetbare vervanging te creëren voor commerciële netwerkpakketverwerkingsplatforms op hun servers die kunnen worden geschaald om verkeer te verwerken met snelheden van tientallen gigabits per seconde.

Over Arkime

Voor degenen die niet bekend zijn met Arkime, laat me je dat vertellen voorheen bekend als Moloch wat een toolkit was om verkeer vast te leggen en te indexeren in standaard PCAP-formaat en het biedt ook tools voor snelle toegang tot geïndexeerde gegevens. Het gebruik van het PCAP-formaat vereenvoudigt de integratie met bestaande verkeersanalysatoren zoals Wireshark aanzienlijk. De hoeveelheid opgeslagen gegevens wordt alleen beperkt door de grootte van de beschikbare schijfarray. De sessie-metadata wordt geïndexeerd in een cluster op basis van de Elasticsearch-engine.

Om de verzamelde informatie te analyseren, wordt een webinterface voorgesteld die het bladeren, zoeken en exporteren van monsters mogelijk maakt. De webinterface biedt verschillende weergavemodi: van algemene statistieken, verbindingskaarten en visuele grafieken met gegevens over veranderingen in netwerkactiviteit tot hulpmiddelen voor het bestuderen van individuele sessies, het analyseren van activiteit in de context van de gebruikte protocollen en het analyseren van gegevens van PCAP-dumps.

Er is ook een API beschikbaar waarmee toepassingen van derden vastgelegde pakketgegevens in PCAP-indeling en geparseerde sessies in JSON-indeling kunnen doorgeven.

Arkime Het heeft drie basiscomponenten:

  1. Traffic Capture System is een multi-threaded C-toepassing voor het bewaken van verkeer, het schrijven van PCAP-dumps naar schijf, het analyseren van vastgelegde pakketten en het verzenden van sessiemetadata (stateful pakketinspectie) (SPI) en protocollen naar het Elasticsearch-cluster. Versleutelde opslag van PCAP-bestanden is mogelijk.
  2. Een webinterface op basis van het Node.js-platform dat op elke server voor het vastleggen van verkeer draait en verzoeken afhandelt met betrekking tot toegang tot geïndexeerde gegevens en het overbrengen van PCAP-bestanden via de API.
  3. Op Elasticsearch gebaseerde metagegevensopslag.

Belangrijkste nieuwigheden van Arkime 3.1

In deze nieuwe uitgebrachte versie is een van de belangrijkste veranderingen die opvalt: de verandering van de projectnaam, aangezien ik, zoals hierboven, commentaar gaf op het project Het was voorheen bekend als Moloch en de ontwikkelaars merken op dat het project een groei heeft doorgemaakt en een belangrijke verandering en ze vonden het een goed moment om de naam te veranderen in Arkime. 

Een andere van de veranderingen die opvalt, is: de volledig nieuwe gebruikersinterface voor WISE-configuratie, het creëren en bijwerken van WISE-bronnen en WISE-statistieken. Dit is een krachtige nieuwe tool om gebruikers te helpen aan de slag te gaan met WISE of om hun WISE-service te verbeteren zonder tijd te besteden aan configuratie of bronbestanden.

Bovendien ook benadrukt dat ondersteuning voor IETF QUIC, GENEVE, VXLAN-GPE-protocollen is toegevoegdDaarnaast is ondersteuning toegevoegd voor het type Q-in-Q (Double VLAN), waarmee VLAN-tags in tags op het tweede niveau kunnen worden ingekapseld om het aantal VLAN's uit te breiden tot 16 miljoen.

Van de andere veranderingen die opvallen:

  • Ondersteuning toegevoegd voor het "zwevende" veldtype.
  • De Amazon Elastic Compute Cloud-schrijver is verplaatst om het IMDSv2-protocol (Instance Metadata Service) te gebruiken.
  • Code refactoring om UDP-tunnels toe te voegen.
  • Ondersteuning toegevoegd voor elasticsearchAPIKey en elasticsearchBasicAuth.

Tot slot, als u meer wilt weten over deze nieuwe versie, kunt u de details raadplegen In de volgende link.

Arkime kopen

Voor degenen die geïnteresseerd zijn in het verkrijgen van dit hulpprogramma, moeten ze weten dat de code van de component voor het vastleggen van verkeer is geschreven in C en de interface is geïmplementeerd in Node.js / JavaScript. De broncode wordt gedistribueerd onder de Apache 2.0-licentie. Werken op Linux en FreeBSD wordt ondersteund.

Ready-pakketten zijn klaar voor Arch, CentOS en Ubuntu en kunnen worden verkregen via de onderstaande link.


De inhoud van het artikel voldoet aan onze principes van redactionele ethiek. Klik op om een ​​fout te melden hier.

Wees de eerste om te reageren

Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.