Nedávno bolo oznámené spustenie systému zachytávania, ukladanie a indexovanie sieťových paketov Arkime 3.1, ktorý poskytuje nástroje na vizuálne hodnotenie tokov dopravy a vyhľadávať informácie súvisiace so sieťovou aktivitou.
Projekt bol vyvinutý pôvodne spoločnosťou AOL s cieľom vytvoriť otvorenú a nasaditeľnú náhradu pre platformy na spracovanie komerčných sieťových paketov na ich serveroch, ktoré je možné škálovať tak, aby zvládali prenos rýchlosťou desiatok gigabitov za sekundu.
O spoločnosti Arkime
Pre tých, ktorí nepoznajú Arkime, vám to poviem predtým známy ako Moloch čo bola sada nástrojov na zachytávanie a indexovanie prevádzky v štandardnom formáte PCAP a tiež poskytuje nástroje pre rýchly prístup k indexovaným údajom. Použitie formátu PCAP výrazne zjednodušuje integráciu s existujúcimi analyzátormi premávky, ako je napríklad Wireshark. Množstvo uložených údajov je obmedzené iba veľkosťou dostupného diskového poľa. Metadáta relácie sú indexované v klastri na základe mechanizmu Elasticsearch.
Na analýzu nahromadených informácií je navrhnuté webové rozhranie, ktoré umožňuje prehliadanie, vyhľadávanie a export vzoriek. Webové rozhranie poskytuje rôzne režimy zobrazenia: od všeobecných štatistík, pripojovacích máp a vizuálnych grafov s údajmi o zmenách v sieťovej aktivite až po nástroje na štúdium jednotlivých relácií, analýzu aktivity v kontexte použitých protokolov a analýzu údajov zo skládok PCAP.
K dispozícii je aj API, ktoré umožňuje aplikáciám tretích strán prenášať zachytené paketové dáta vo formáte PCAP a analyzované relácie vo formáte JSON.
arkime Má tri základné komponenty:
- Traffic Capture System je viacvláknová aplikácia C na monitorovanie prevádzky, zapisovanie výpisov PCAP na disk, analýzu zachytených paketov a odosielanie metadát relácie (Stateful Packet Inspection) (SPI) a protokolov do klastra Elasticsearch. Je možné šifrované ukladanie súborov PCAP.
- Webové rozhranie založené na platforme Node.js, ktoré beží na každom serveri na zachytávanie návštevnosti a spracováva požiadavky súvisiace s prístupom k indexovaným údajom a prenosom súborov PCAP prostredníctvom rozhrania API.
- Obchod s metadátami založený na elastickom vyhľadávaní.
Hlavné novinky Arkime 3.1
V tejto novej vydanej verzii vyniká jedna z najdôležitejších zmien zmena názvu projektu, pretože ako som uviedol vyššie, vyjadril som sa k projektu Predtým bol známy ako Moloch a vývojári poznamenávajú, že projekt zaznamenal rast a výrazná zmena a mysleli si, že je vhodné zmeniť meno na Arkime.
Ďalšou zo zmien, ktorá vyniká, je úplne nové používateľské rozhranie pre konfiguráciu WISE, vytváranie a aktualizácia zdrojov WISE a WISE štatistík. Toto je nový účinný nástroj, ktorý pomôže používateľom začať s WISE alebo zlepšiť ich službu WISE bez toho, aby museli tráviť čas konfiguráciou alebo zdrojovými súbormi.
Navyše tiež zdôrazňuje, že bola pridaná podpora pre protokoly IETF QUIC, GENEVE, VXLAN-GPEOkrem toho bola pridaná podpora pre typ Q-in-Q (Double VLAN), ktorý umožňuje zapuzdrenie značiek VLAN do značiek druhej úrovne rozšíriť počet VLAN na 16 miliónov.
Z ďalších zmien, ktoré vynikajú:
- Pridaná podpora pre typ „plávajúceho“ poľa.
- Spisovateľ cloudu Amazon Elastic Compute Cloud prešiel na používanie protokolu IMDSv2 (Instance Metadata Service).
- Refaktorovanie kódu na pridanie tunelov UDP.
- Pridaná podpora pre elasticsearchAPIKey a elasticsearchBasicAuth.
Nakoniec, ak máte záujem dozvedieť sa viac o tejto novej verzii, môžete si prezrieť podrobnosti Na nasledujúcom odkaze.
Získajte Arkime
Tí, ktorí majú záujem získať tento nástroj, mali by vedieť, že kód komponentu zachytávania návštevnosti je napísaný v jazyku C a rozhranie je implementované v jazyku Node.js / JavaScript. Zdrojový kód je distribuovaný pod licenciou Apache 2.0. Podporovaná je práca na Linuxe a FreeBSD.
Hotové balíčky sú pripravené pre Arch, CentOS a Ubuntu a je ich možné získať z odkazu nižšie.