Faz pouco o lançamento do sistema de captura foi anunciado, armazenamento e indexação de pacotes de rede Arkime 3.1, que fornece ferramentas para avaliar visualmente os fluxos de tráfego e pesquisar informações relacionadas à atividade da rede.
O projeto foi desenvolvido originalmente pela AOL com o objetivo de criar um substituto aberto e implantável para plataformas de processamento de pacotes de rede comercial em seus servidores que podem ser escalonadas para lidar com o tráfego a velocidades de dezenas de gigabits por segundo.
Sobre Arkime
Para aqueles que não estão familiarizados com Arkime, deixe-me dizer que anteriormente conhecido como Moloch que era um kit de ferramentas para capturar e indexar o tráfego no formato PCAP padrão e também fornece ferramentas para acesso rápido aos dados indexados. Usar o formato PCAP simplifica muito a integração com os analisadores de tráfego existentes, como o Wireshark. A quantidade de dados armazenados é limitada apenas pelo tamanho da matriz de disco disponível. Os metadados da sessão são indexados em um cluster com base no mecanismo Elasticsearch.
Para analisar as informações acumuladas, é proposta uma interface web que permite navegar, pesquisar e exportar amostras. A interface web oferece vários modos de exibição: desde estatísticas gerais, mapas de conexão e gráficos visuais com dados sobre mudanças na atividade da rede até ferramentas para estudar sessões individuais, analisar a atividade no contexto dos protocolos usados e analisar dados de dumps PCAP.
Uma API também é fornecida para permitir que aplicativos de terceiros passem dados de pacotes capturados em formato PCAP e sessões analisadas em formato JSON.
arquime Possui três componentes básicos:
- O Traffic Capture System é um aplicativo C multithread para monitorar o tráfego, gravar dumps PCAP em disco, analisar pacotes capturados e enviar metadados de sessão (Stateful Packet Inspection) (SPI) e protocolos para o cluster Elasticsearch. O armazenamento criptografado de arquivos PCAP é possível.
- Uma interface da web baseada na plataforma Node.js que é executada em cada servidor de captura de tráfego e lida com solicitações relacionadas ao acesso aos dados indexados e à transferência de arquivos PCAP por meio da API.
- Armazenamento de metadados baseado em Elasticsearch.
Principais novidades do Arkime 3.1
Nesta nova versão lançada, uma das mudanças mais importantes que se destaca é a mudança do nome do projeto, já que como acima eu comentei no projeto Era anteriormente conhecido como Moloch e os desenvolvedores comentam que o projeto experimentou um crescimento e uma mudança significativa e eles acharam que era uma boa hora para mudar o nome para Arkime.
Outra mudança que se destaca é a interface de usuário completamente nova para configuração WISE, criar e atualizar fontes e estatísticas WISE. Esta é uma nova ferramenta poderosa para ajudar os usuários a começar a usar o WISE ou melhorar seu serviço WISE sem perder tempo com a configuração ou com os arquivos de origem.
Além disso, também observa-se que o suporte foi adicionado para os protocolos IETF QUIC, GENEVE, VXLAN-GPEAlém disso, foi adicionado suporte para o tipo Q-in-Q (VLAN dupla), que permite encapsular tags de VLAN em tags de segundo nível para expandir o número de VLANs para 16 milhões.
Das outras mudanças que se destacam:
- Adicionado suporte para o tipo de campo "flutuante".
- O escritor do Amazon Elastic Compute Cloud passou a usar o protocolo IMDSv2 (Instance Metadata Service).
- Refatoração de código para adicionar túneis UDP.
- Adicionado suporte para elasticsearchAPIKey e elasticsearchBasicAuth.
Por fim, se você tiver interesse em saber mais sobre esta nova versão, pode consultar os detalhes no link a seguir.
Obtenha Arkime
Para aqueles que estão interessados em obter este utilitário, eles devem saber que o código do componente de captura de tráfego é escrito em C e a interface é implementada em Node.js / JavaScript. O código-fonte é distribuído sob a licença Apache 2.0. Trabalho em Linux e FreeBSD é suportado.
Os pacotes prontos estão prontos para Arch, CentOS e Ubuntu e podem ser obtidos no link abaixo.