Nooca cusub ee Arkime 3.1 (oo hore loo yiqiin Moloch) ayaa la sii daayay

Dhawaan bilawga nidaamka qabashada ayaa lagu dhawaaqay, kaydinta baakadaha shabakadda iyo tusmaynta Arkime 3.1, kaas oo bixiya qalab lagu qiimeeyo socodka socodka oo raadi macluumaadka la xiriira hawlaha shabakadda.

Mashruucii waa la horumariyey asal ahaan AOL iyadoo ujeedadu tahay in la abuuro bedel furan oo hawlgeli kara loogu talagalay aaladaha ka shaqaynta baakadaha shabakadda ganacsiga ee ku jira server -kooda oo cabbir u yeelan kara in lagu maareeyo taraafikada xawaare tobaneeyo gigabits ilbidhiqsi kasta ah.

Ku saabsan Arkime

Kuwa aan aqoon u lahayn Arkime, aan taas kuu sheego oo hore loo yiqiin Moloch kaas oo ahaa qalabkii lagu qabsan lahaa laguna tilmaami lahaa taraafikada qaabkii caadiga ahaa ee PCAP waxayna sidoo kale bixisaa qalab si dhaqso ah loogu helo xogta tilmaaman. Adeegsiga qaabka PCAP wuxuu si weyn u fududeeyaa is -dhexgalka falanqeeyayaasha taraafikada ee hadda jira sida Wireshark. Xaddiga xogta la keydiyay waxay ku kooban tahay oo kaliya xaddiga kala -soocidda diskka ee la heli karo. Xogta metadata kalfadhiga waxaa lagu muujiyey kutlad ku salaysan mashiinka Elasticsearch.

Si loo falanqeeyo macluumaadka la uruuriyay, shabakad webka ayaa la soo jeediyay taas oo u oggolaanaysa baarista, raadinta iyo dhoofinta shaybaarka. Is -dhexgalka shabakadu wuxuu bixiyaa dhowr qaab oo muuqaal ah: laga bilaabo tirakoobyada guud, khariidadaha isku -xirka iyo garaafyada muuqaalka leh oo ku saabsan isbeddellada ku yimaadda waxqabadka shabakadda illaa aaladaha lagu barto kalfadhiyada shaqsiyeed, lagu falanqeeyo waxqabadka macnaha guud ee hab -maamuusyada la adeegsaday iyo falanqaynta xogta laga soo qaaday daadadka PCAP.

API ayaa sidoo kale la bixiyaa si loogu oggolaado codsiyada dhinac saddexaad inay u gudbiyaan xogta baakadda la qabtay ee qaabka PCAP iyo kalfadhiyada la kala saaray ee qaabka JSON.

arkime Waxay leedahay saddex qaybood oo aasaasi ah:

  1. Nidaamka Qabashada Taraafikada waa codsi dhinacyo badan leh oo C ah oo lagula soconayo taraafikada, qorista PCAP qashin-qubka, falanqaynta baakadaha la qabtay, iyo u dirista metadata kulanka (kormeerka baakadda gobolka) (SPI) iyo borotokoollada kooxda Elasticsearch. Kaydinta sirta ah ee faylasha PCAP waa suurtogal.
  2. Isku -xidhka shabakadda ee ku saleysan mashiinka Node.js ee ku shaqeeya server kasta oo qabta taraafikada oo wax ka qabta codsiyada la xiriira helitaanka xogta la tilmaamay iyo wareejinta faylasha PCAP iyada oo loo marayo API.
  3. Dukaanka metadata ku saleysan Elasticsearch.

Waxyaabaha cusub ee Arkime 3.1

Noocan cusub ee la sii daayay mid ka mid ah isbedelada ugu muhiimsan ee taagan ayaa ah beddelka magaca mashruuca, mar haddii sida kor ku xusan aan ka faallooday mashruuca Waxaa hore loogu yiqiin Moloch oo horumariyayaashu waxay faallo ka bixiyaan in mashruucu soo maray koboc iyo isbeddel la taaban karo waxayna u maleeyeen inay ahayd waqti ku habboon in magaca loo beddelo Arkime. 

Mid kale oo ka mid ah isbeddellada taagan ayaa ah istimaalka gabi ahaanba cusub ee qaabeynta WISE, abuurista iyo cusboonaysiinta ilaha WISE iyo tirakoobka WISE. Kani waa aalad cusub oo awood leh oo ka caawisa adeegsadayaasha inay ku bilaabaan WISE ama hagaajiyaan adeeggooda WISE iyagoo aan waqti ku bixin qaabeynta ama faylasha isha.

Waxaa intaa dheer, sidoo kale waxay u muuqataa in taageerada IETF QUIC, GENEVE, VXLAN-GPE lagu darayIntaa waxaa sii dheer, taageero ayaa lagu daray nooca Q-in-Q (Double VLAN), kaas oo u oggolaanaya in lagu soo koobo summadaha VLAN sumadaha heerka labaad si loo ballaariyo tirada VLAN-yada illaa 16 milyan.

Isbedelada kale ee muuqda:

  • Taageero lagu daray nooca beerta "sabaynaysa"
  • Qoraaga Cloud Elastic Compute Cloud wuxuu u dhaqaaqay inuu adeegsado borotokoolka IMDSv2 (Adeegga Metadata Metadata).
  • Dib -u -habeynta koodhka si loogu daro tunnelyada UDP.
  • Taageero lagu daray elasticsearchAPIKey iyo elasticsearchBasicAuth.

Ugu dambayn, haddii aad danaynayso inaad wax badan ka ogaato nuqulkan cusub, waxaad kala tashan kartaa faahfaahinta Xiriirka soo socda.

Hel Arkime

Kuwa danaynaya inay awoodaan inay helaan adeeggan, waa inay ogaadaan in koodhka qaybta qabashada taraafikada uu ku qoran yahay C oo is -dhexgalka laga hirgaliyay Node.js / JavaScript. Koodhka isha waxaa lagu qaybiyaa shatiga Apache 2.0. Ka shaqeynta Linux iyo FreeBSD waa la taageeray.

Xirmooyinka diyaarka ah waa Arch, CentOS iyo Ubuntu waa diyaar waana la heli karaa ka soo xiriir khadkan hoose.


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.