recent Lansarea sistemului de captare a fost anunțată, stocarea și indexarea pachetelor de rețea Arkime 3.1, care oferă instrumente pentru evaluarea vizuală a fluxurilor de trafic și căutați informații legate de activitatea în rețea.
Proiectul a fost dezvoltat inițial de AOL cu scopul de a crea un înlocuitor deschis și implementabil pentru platformele comerciale de procesare a pachetelor de rețea de pe serverele lor, care se pot scala pentru a gestiona traficul la viteze de zeci de gigabiți pe secundă.
Despre Arkime
Pentru cei care nu știu despre Arkime, să vă spun asta a fost cunoscut anterior ca Moloch care a fost un set de instrumente pentru a capta și indexa traficul în format standard PCAP și oferă, de asemenea, instrumente pentru acces rapid la datele indexate. Utilizarea formatului PCAP simplifică foarte mult integrarea cu analizoarele de trafic existente, cum ar fi Wireshark. Cantitatea de date stocate este limitată doar de dimensiunea matricei de discuri disponibile. Metadatele sesiunii sunt indexate într-un cluster bazat pe motorul de căutare Elastic.
Pentru analiza informatiilor acumulate se propune o interfata web care permite navigarea, cautarea si exportul mostrelor. Interfața web oferă mai multe moduri de vizualizare: de la statistici generale, hărți de conexiune și grafice vizuale cu date privind modificările activității rețelei până la instrumente pentru studierea sesiunilor individuale, analiza activității în contextul protocoalelor utilizate și analiza datelor din depozitele PCAP.
De asemenea, este furnizat un API pentru a permite aplicațiilor terțe să transmită pachete de date capturate în format PCAP și sesiuni analizate în format JSON.
arkime Are trei componente de bază:
- Traffic Capture System este o aplicație C cu mai multe fire pentru a monitoriza traficul, a scrie dump-uri PCAP pe disc, a analiza pachetele capturate și a trimite metadate de sesiune (inspecție de pachete cu stare) (SPI) și protocoale către clusterul Elasticsearch. Este posibilă stocarea criptată a fișierelor PCAP.
- O interfață web bazată pe platforma Node.js care rulează pe fiecare server de captare a traficului și gestionează solicitările legate de accesarea datelor indexate și transferul fișierelor PCAP prin API.
- Magazin de metadate bazat pe Elasticsearch.
Principalele caracteristici noi ale Arkime 3.1
În această nouă versiune lansată, una dintre cele mai importante schimbări care iese în evidență este schimbarea numelui proiectului, întrucât, după cum am menționat mai sus despre proiect Anterior a fost cunoscut sub numele de Moloch, iar dezvoltatorii spun că proiectul a cunoscut o creștere și o schimbare semnificativă și au crezut că este un moment bun să schimbe numele în Arkime.
O altă dintre schimbările care se remarcă este interfața de utilizator complet nouă pentru configurarea WISE, crearea și actualizarea surselor WISE și a statisticilor WISE. Acesta este un nou instrument puternic pentru a ajuta utilizatorii să înceapă cu WISE sau să-și îmbunătățească serviciul WISE fără a fi nevoiți să-și petreacă timp pe fișierele de configurare sau sursă.
Mai mult, de asemenea Se subliniază faptul că a fost adăugat suport pentru protocoalele IETF QUIC, GENEVE, VXLAN-GPE, pe lângă adăugarea suportului pentru tipul Q-in-Q (VLAN dublu), care permite etichetelor VLAN să fie încapsulate în etichete de nivel al doilea pentru a extinde numărul de VLAN-uri la 16 milioane.
Dintre celelalte schimbări care se remarcă:
- S-a adăugat suport pentru tipul de câmp „plutitor”.
- Scriitorul Amazon Elastic Compute Cloud a trecut pentru a utiliza protocolul Instance Metadata Service (IMDSv2).
- Refactorizarea codului pentru a adăuga tuneluri UDP.
- S-a adăugat suport pentru elasticsearchAPIKey și elasticsearchBasicAuth.
În cele din urmă, dacă sunteți interesat să aflați mai multe despre această nouă versiune, puteți consulta detaliile În următorul link.
Ia Arkime
Pentru cei care sunt interesați să poată obține acest utilitar, trebuie să știți că codul componentei de captare a traficului este scris în C și interfața este implementată în Node.js/JavaScript. Codul sursă este distribuit sub licența Apache 2.0. Lucrul pe Linux și FreeBSD este acceptat.
Pachetele gata sunt pregătite pentru Arch, CentOS și Ubuntu și pot fi obținute din linkul de mai jos.