A nova versão do Arkime 3.1 (anteriormente conhecido como Moloch) já foi lançada

Darkcrizt

Minutos 4

Faz pouco o lançamento do sistema de captura foi anunciado, armazenamento e indexação de pacotes de rede Arkime 3.1, que fornece ferramentas para avaliar visualmente os fluxos de tráfego e pesquisar informações relacionadas à atividade da rede.

O projeto foi desenvolvido originalmente pela AOL com o objetivo de criar um substituto aberto e implantável para plataformas de processamento de pacotes de rede comercial em seus servidores que podem ser escalonadas para lidar com o tráfego a velocidades de dezenas de gigabits por segundo.

Sobre Arkime

Para aqueles que não estão familiarizados com Arkime, deixe-me dizer que anteriormente conhecido como Moloch que era um kit de ferramentas para capturar e indexar o tráfego no formato PCAP padrão e também fornece ferramentas para acesso rápido aos dados indexados. Usar o formato PCAP simplifica muito a integração com os analisadores de tráfego existentes, como o Wireshark. A quantidade de dados armazenados é limitada apenas pelo tamanho da matriz de disco disponível. Os metadados da sessão são indexados em um cluster com base no mecanismo Elasticsearch.

Para analisar as informações acumuladas, é proposta uma interface web que permite navegar, pesquisar e exportar amostras. A interface web oferece vários modos de exibição: desde estatísticas gerais, mapas de conexão e gráficos visuais com dados sobre mudanças na atividade da rede até ferramentas para estudar sessões individuais, analisar a atividade no contexto dos protocolos usados ​​e analisar dados de dumps PCAP.

Uma API também é fornecida para permitir que aplicativos de terceiros passem dados de pacotes capturados em formato PCAP e sessões analisadas em formato JSON.

arquime Possui três componentes básicos:

  1. O Traffic Capture System é um aplicativo C multithread para monitorar o tráfego, gravar dumps PCAP em disco, analisar pacotes capturados e enviar metadados de sessão (Stateful Packet Inspection) (SPI) e protocolos para o cluster Elasticsearch. O armazenamento criptografado de arquivos PCAP é possível.
  2. Uma interface da web baseada na plataforma Node.js que é executada em cada servidor de captura de tráfego e lida com solicitações relacionadas ao acesso aos dados indexados e à transferência de arquivos PCAP por meio da API.
  3. Armazenamento de metadados baseado em Elasticsearch.

Principais novidades do Arkime 3.1

Nesta nova versão lançada, uma das mudanças mais importantes que se destaca é a mudança do nome do projeto, já que como acima eu comentei no projeto Era anteriormente conhecido como Moloch e os desenvolvedores comentam que o projeto experimentou um crescimento e uma mudança significativa e eles acharam que era uma boa hora para mudar o nome para Arkime. 

Outra mudança que se destaca é a interface de usuário completamente nova para configuração WISE, criar e atualizar fontes e estatísticas WISE. Esta é uma nova ferramenta poderosa para ajudar os usuários a começar a usar o WISE ou melhorar seu serviço WISE sem perder tempo com a configuração ou com os arquivos de origem.

Além disso, também observa-se que o suporte foi adicionado para os protocolos IETF QUIC, GENEVE, VXLAN-GPEAlém disso, foi adicionado suporte para o tipo Q-in-Q (VLAN dupla), que permite encapsular tags de VLAN em tags de segundo nível para expandir o número de VLANs para 16 milhões.

Das outras mudanças que se destacam:

  • Adicionado suporte para o tipo de campo "flutuante".
  • O escritor do Amazon Elastic Compute Cloud passou a usar o protocolo IMDSv2 (Instance Metadata Service).
  • Refatoração de código para adicionar túneis UDP.
  • Adicionado suporte para elasticsearchAPIKey e elasticsearchBasicAuth.

Por fim, se você tiver interesse em saber mais sobre esta nova versão, pode consultar os detalhes no link a seguir.

Obtenha Arkime

Para aqueles que estão interessados ​​em obter este utilitário, eles devem saber que o código do componente de captura de tráfego é escrito em C e a interface é implementada em Node.js / JavaScript. O código-fonte é distribuído sob a licença Apache 2.0. Trabalho em Linux e FreeBSD é suportado.

Os pacotes prontos estão prontos para Arch, CentOS e Ubuntu e podem ser obtidos no link abaixo.


Deixe um comentário

Seu endereço de email não será publicado. Campos obrigatórios são marcados com *

*

*

  1. Responsável pelos dados: Miguel Ángel Gatón
  2. Finalidade dos dados: Controle de SPAM, gerenciamento de comentários.
  3. Legitimação: Seu consentimento
  4. Comunicação de dados: Os dados não serão comunicados a terceiros, exceto por obrigação legal.
  5. Armazenamento de dados: banco de dados hospedado pela Occentus Networks (UE)
  6. Direitos: A qualquer momento você pode limitar, recuperar e excluir suas informações.