เมื่อเร็ว ๆ นี้ ประกาศเปิดตัวระบบจับภาพ การจัดเก็บและจัดทำดัชนีแพ็กเก็ตเครือข่าย Arkime 3.1 ซึ่งมีเครื่องมือในการประเมินกระแสการรับส่งข้อมูลด้วยสายตา และค้นหาข้อมูลที่เกี่ยวข้องกับกิจกรรมเครือข่าย
โครงการนี้ได้รับการพัฒนา เดิมทีโดย AOL โดยมีเป้าหมายในการสร้างการแทนที่แบบเปิดและปรับใช้ได้ สำหรับแพลตฟอร์มการประมวลผลแพ็กเก็ตเครือข่ายเชิงพาณิชย์บนเซิร์ฟเวอร์ที่สามารถปรับขนาดเพื่อรองรับการรับส่งข้อมูลด้วยความเร็วหลายสิบกิกะบิตต่อวินาที
เกี่ยวกับ Arkim
สำหรับคนที่ไม่คุ้นเคยกับ Arkime บอกเลยว่า เดิมชื่อ Moloch ซึ่งเป็นชุดเครื่องมือในการดักจับและจัดทำดัชนีการรับส่งข้อมูลในรูปแบบ PCAP มาตรฐาน และยังมีเครื่องมือสำหรับการเข้าถึงข้อมูลที่จัดทำดัชนีอย่างรวดเร็ว การใช้รูปแบบ PCAP ช่วยลดความยุ่งยากในการผสานรวมกับเครื่องมือวิเคราะห์ปริมาณการใช้งานที่มีอยู่ เช่น Wireshark ปริมาณข้อมูลที่จัดเก็บจะถูกจำกัดโดยขนาดของอาร์เรย์ดิสก์ที่มีอยู่เท่านั้น ข้อมูลเมตาของเซสชันได้รับการจัดทำดัชนีในคลัสเตอร์โดยยึดตามกลไกของ Elasticsearch
เพื่อวิเคราะห์ข้อมูลที่สะสม มีการเสนอเว็บอินเตอร์เฟสที่อนุญาตให้เรียกดู ค้นหา และส่งออกตัวอย่างได้ อินเทอร์เฟซบนเว็บมีโหมดการแสดงผลหลายโหมด ตั้งแต่สถิติทั่วไป แผนที่การเชื่อมต่อ และกราฟภาพพร้อมข้อมูลเกี่ยวกับการเปลี่ยนแปลงในกิจกรรมเครือข่าย ไปจนถึงเครื่องมือสำหรับการศึกษาแต่ละเซสชัน การวิเคราะห์กิจกรรมในบริบทของโปรโตคอลที่ใช้ และการวิเคราะห์ข้อมูลจากการถ่ายโอนข้อมูล PCAP
นอกจากนี้ยังมี API เพื่ออนุญาตให้แอปพลิเคชันบุคคลที่สามส่งข้อมูลแพ็กเก็ตที่บันทึกไว้ในรูปแบบ PCAP และเซสชันที่แยกวิเคราะห์ในรูปแบบ JSON
อาร์คิเม มีองค์ประกอบพื้นฐานสามประการ:
- Traffic Capture System เป็นแอปพลิเคชัน C แบบมัลติเธรดสำหรับตรวจสอบการรับส่งข้อมูล เขียน PCAP ดัมพ์ไปยังดิสก์ วิเคราะห์แพ็กเก็ตที่ดักจับ และส่งข้อมูลเมตาของเซสชัน (Stateful Packet Inspection) (SPI) และโปรโตคอลไปยังคลัสเตอร์ Elasticsearch สามารถจัดเก็บไฟล์ PCAP ที่เข้ารหัสได้
- เว็บอินเตอร์เฟสที่ใช้แพลตฟอร์ม Node.js ที่ทำงานบนเซิร์ฟเวอร์ดักจับการรับส่งข้อมูลแต่ละเซิร์ฟเวอร์ และจัดการคำขอที่เกี่ยวข้องกับการเข้าถึงข้อมูลที่จัดทำดัชนีและการถ่ายโอนไฟล์ PCAP ผ่าน API
- ที่เก็บข้อมูลเมตาตาม Elasticsearch
ความแปลกใหม่หลักของ Arkime 3.1
ในเวอร์ชันออกใหม่นี้ หนึ่งในการเปลี่ยนแปลงที่สำคัญที่สุดที่โดดเด่นคือ การเปลี่ยนชื่อโครงการ เนื่องจากข้างต้นฉันแสดงความคิดเห็นเกี่ยวกับโครงการ ก่อนหน้านี้รู้จักกันในชื่อ Moloch และนักพัฒนาให้ความเห็นว่าโครงการมีการเติบโต และการเปลี่ยนแปลงครั้งสำคัญ และพวกเขาคิดว่ามันเป็นเวลาที่ดีที่จะเปลี่ยนชื่อเป็น Arkime
การเปลี่ยนแปลงที่โดดเด่นอีกอย่างคือ ส่วนต่อประสานผู้ใช้ใหม่อย่างสมบูรณ์สำหรับการกำหนดค่า WISE การสร้างและอัปเดตแหล่ง WISE และสถิติ WISE นี่เป็นเครื่องมือใหม่ที่มีประสิทธิภาพเพื่อช่วยให้ผู้ใช้เริ่มต้นใช้งาน WISE หรือปรับปรุงบริการ WISE โดยไม่ต้องเสียเวลากับการกำหนดค่าหรือไฟล์ต้นทาง
นอกจากนี้ยัง เพิ่มไฮไลท์ที่รองรับโปรโตคอล IETF QUIC, GENEVE, VXLAN-GPE แล้วนอกจากนี้ยังมีการเพิ่มการรองรับสำหรับประเภท Q-in-Q (Double VLAN) ซึ่งช่วยให้สามารถห่อหุ้มแท็ก VLAN ในแท็กระดับที่สองเพื่อเพิ่มจำนวน VLAN เป็น 16 ล้านได้
การเปลี่ยนแปลงอื่น ๆ ที่โดดเด่น:
- เพิ่มการสนับสนุนสำหรับประเภทฟิลด์ "ลอย"
- ตัวเขียน Amazon Elastic Compute Cloud ถูกย้ายไปใช้โปรโตคอล IMDSv2 (Instance Metadata Service)
- การปรับโครงสร้างโค้ดเพื่อเพิ่มช่องสัญญาณ UDP
- เพิ่มการรองรับ elasticsearchAPIKey และ elasticsearchBasicAuth
สุดท้ายนี้ หากคุณสนใจทราบข้อมูลเพิ่มเติมเกี่ยวกับเวอร์ชันใหม่นี้ เข้าไปดูรายละเอียดได้ที่ ในลิงค์ต่อไปนี้.
รับ Arkime
สำหรับผู้ที่สนใจที่จะได้รับยูทิลิตีนี้ พวกเขาควรรู้ว่าโค้ดขององค์ประกอบการดักจับการรับส่งข้อมูลเขียนด้วยภาษา C และมีการใช้งานอินเทอร์เฟซใน Node.js / JavaScript ซอร์สโค้ดเผยแพร่ภายใต้ลิขสิทธิ์ Apache 2.0 รองรับการทำงานบน Linux และ FreeBSD
แพ็คเกจที่พร้อมใช้งานคือ Arch, CentOS และ Ubuntu พร้อมและสามารถรับได้ จากลิงค์ด้านล่าง