nyligen lanseringen av fångstsystemet tillkännagavs, nätverkspaketlagring och indexering Arkime 3.1, som ger verktyg för att visuellt bedöma trafikflöden och söka efter information relaterad till nätverksaktivitet.
Projektet utvecklades ursprungligen av AOL med målet att skapa en öppen och utbytbar ersättare för kommersiella nätverkspaketbearbetningsplattformar på sina servrar som kan skala för att hantera trafik med hastigheter på tiotals gigabyte per sekund.
Om Arkime
För dem som inte känner till Arkime, låt mig berätta det för dig tidigare känd som Moloch som var en verktygslåda för att fånga och indexera trafik i standard PCAP -format och det ger också verktyg för snabb åtkomst till indexerad data. Att använda PCAP -formatet förenklar integrationen med befintliga trafikanalysatorer som Wireshark. Mängden data som lagras begränsas endast av storleken på den tillgängliga diskmatrisen. Sessionens metadata indexeras i ett kluster baserat på Elasticsearch -motorn.
För att analysera den ackumulerade informationen föreslås ett webbgränssnitt som gör det möjligt att bläddra, söka och exportera prover. Webbgränssnittet erbjuder flera visningslägen: från allmän statistik, anslutningskartor och visuella grafer med data om förändringar i nätverksaktivitet till verktyg för att studera enskilda sessioner, analysera aktivitet i samband med de protokoll som används och analysera data från PCAP -dumpar.
Ett API finns också för att tillåta tredjepartsprogram att skicka paketerade data i PCAP-format och analyserade sessioner i JSON-format.
arkime Den har tre grundläggande komponenter:
- Traffic Capture System är en flertrådad C-applikation för övervakning av trafik, skrivning av PCAP-dumpar till disk, analys av inspelade paket och sändning av metadata (stateful packet inspektion) (SPI) och protokoll till Elasticsearch-klustret. Krypterad lagring av PCAP -filer är möjlig.
- Ett webbgränssnitt baserat på Node.js -plattformen som körs på varje trafikinsamlingsserver och hanterar förfrågningar relaterade till åtkomst till indexerad data och överföring av PCAP -filer via API: et.
- Elasticsearch-baserad metadatabutik.
De viktigaste nyheterna i Arkime 3.1
I den här nya versionen är en av de viktigaste förändringarna som sticker ut ändringen av projektnamnet, eftersom jag som ovan kommenterade projektet Det var tidigare känt som Moloch och utvecklarna kommenterar att projektet har upplevt tillväxt och en betydande förändring och de tyckte att det var en bra tid att byta namn till Arkime.
En annan av de förändringar som sticker ut är det helt nya användargränssnittet för WISE -konfiguration, skapa och uppdatera WISE -källor och WISE -statistik. Detta är ett kraftfullt nytt verktyg för att hjälpa användare att komma igång med WISE eller förbättra sin WISE -tjänst utan att lägga tid på konfiguration eller källfiler.
Å andra sidan också understryker att stöd för IETF QUIC, GENEVE, VXLAN-GPE-protokoll har lagts tillDessutom lades till stöd för Q-in-Q (Double VLAN) -typ, vilket gör det möjligt att inkapsla VLAN-taggar i taggar på andra nivå för att utöka antalet VLAN till 16 miljoner.
Av de andra förändringarna som sticker ut:
- Lade till stöd för den "flytande" fälttypen.
- Amazon Elastic Compute Cloud -författaren har flyttats att använda IMDSv2 (Instance Metadata Service) -protokollet.
- Kodreparation för att lägga till UDP -tunnlar.
- Tillagt stöd för elasticsearchAPIKey och elasticsearchBasicAuth.
Slutligen, om du är intresserad av att veta mer om den här nya versionen kan du läsa detaljerna I följande länk.
Skaffa Arkime
För dem som är intresserade av att kunna få det här verktyget, bör de veta att koden för trafikavskiljningskomponenten är skriven i C och gränssnittet är implementerat i Node.js / JavaScript. Källkoden distribueras under Apache 2.0 -licensen. Arbete med Linux och FreeBSD stöds.
Klara paket är Arch, CentOS och Ubuntu klara och kan erhållas från länken nedan.