kohët e fundit u njoftua fillimi i sistemit të kapjes, ruajtja dhe indeksimi i paketave të rrjetit Arkime 3.1, e cila siguron mjete për të vlerësuar vizualisht flukset e trafikut dhe kërkoni informacione që lidhen me aktivitetin e rrjetit.
Projekti u zhvillua fillimisht nga AOL me qëllim krijimin e një zëvendësimi të hapur dhe të zbatueshëm për platformat komerciale të përpunimit të paketave në serverët e tyre që mund të shkallëzohen për të trajtuar trafikun me shpejtësi dhjetëra gigabit në sekondë.
Rreth Arkimes
Për ata që nuk e njohin Arkimin, më lejoni t'ju them këtë i njohur më parë si Moloch i cili ishte një grup mjetesh për të kapur dhe indeksuar trafikun në formatin standard PCAP dhe gjithashtu siguron mjete për qasje të shpejtë në të dhënat e indeksuara. Përdorimi i formatit PCAP thjeshton shumë integrimin me analizuesit ekzistues të trafikut siç është Wireshark. Sasia e të dhënave të ruajtura është e kufizuar vetëm nga madhësia e grupit të diskut në dispozicion. Metadatat e sesionit indeksohen në një grup të bazuar në motorin Elasticsearch.
Për të analizuar informacionin e grumbulluar, propozohet një ndërfaqe në internet që lejon shfletimin, kërkimin dhe eksportimin e mostrave. Ndërfaqja në internet siguron mënyra të ndryshme të shfaqjes: nga statistikat e përgjithshme, hartat e lidhjes dhe grafikët vizualë me të dhëna për ndryshimet në aktivitetin e rrjetit deri te mjetet për studimin e seancave individuale, analizimin e aktivitetit në kontekstin e protokolleve të përdorura dhe analizimin e të dhënave nga deponitë e PCAP.
Një API gjithashtu sigurohet për të lejuar që aplikacionet e palëve të treta të kalojnë të dhënat e kapura të paketave në formatin PCAP dhe seancat e analizuara në formatin JSON.
arkime Ai ka tre përbërës bazë:
- Sistemi i kapjes së trafikut është një aplikacion C i shumëfishtë për monitorimin e trafikut, shkrimin e deponive të PCAP në disk, analizimin e paketave të kapura dhe dërgimin e meta të dhënave të sesionit (Inspektimi i Paketave Shtetërore) (SPI) dhe protokolleve në grupin Elasticsearch. Ruajtja e koduar e skedarëve PCAP është e mundur.
- Një ndërfaqe në internet e bazuar në platformën Node.js që funksionon në secilin server të kapjes së trafikut dhe trajton kërkesat që lidhen me qasjen në të dhënat e indeksuara dhe transferimin e skedarëve PCAP përmes API.
- Dyqan metadata me bazë elastike kërkimi.
Risitë kryesore të Arkime 3.1
Në këtë version të ri të lëshuar, një nga ndryshimet më të rëndësishme që bie në sy është ndryshimi i emrit të projektit, meqë si më lart komentova projektin Më parë ishte i njohur si Moloch dhe zhvilluesit komentojnë se projekti ka përjetuar rritje dhe një ndryshim të rëndësishëm dhe ata menduan se ishte një kohë e mirë për të ndryshuar emrin në Arkime.
Një tjetër ndryshim që bie në sy është ndërfaqja plotësisht e re e përdoruesit për konfigurimin WISE, krijimin dhe përditësimin e burimeve WISE dhe statistikave WISE. Ky është një mjet i ri i fuqishëm për të ndihmuar përdoruesit të fillojnë me WISE ose të përmirësojnë shërbimin e tyre WISE pa shpenzuar kohë në konfigurimin ose skedarët burim.
Për më tepër, gjithashtu nxjerr në pah mbështetjen për protokollet IETF QUIC, GENEVE, VXLAN-GPEPër më tepër, mbështetja u shtua për llojin Q-in-Q (Double VLAN), i cili ju lejon të përfshini etiketat VLAN në etiketat e nivelit të dytë për të zgjeruar numrin e VLAN-ve në 16 milion.
Nga ndryshimet e tjera që bien në sy:
- Shtoi mbështetje për llojin e fushës "lundruese".
- Shkrimtari Amazon Elastic Compute Cloud është zhvendosur për të përdorur protokollin IMDSv2 (Shërbimi i Metadata -s së Instancës).
- Rifaktorizimi i kodit për të shtuar tunele UDP.
- Shtohet mbështetje për elasticsearchAPIKey dhe elasticsearchBasicAuth.
Së fundi, nëse jeni të interesuar të dini më shumë për këtë version të ri, mund të konsultoheni me detajet Në lidhjen vijuese.
Merr Arkimin
Për ata që janë të interesuar të jenë në gjendje të marrin këtë shërbim, ata duhet të dinë që kodi i komponentit të kapjes së trafikut është shkruar në C dhe ndërfaqja është zbatuar në Node.js / JavaScript. Kodi burimor shpërndahet nën licencën Apache 2.0. Puna në Linux dhe FreeBSD mbështetet.
Pakot e gatshme janë Arch, CentOS dhe Ubuntu gati dhe mund të merren nga lidhja më poshtë.