Kamakailan lamang ang paglulunsad ng sistema ng pagkuha ay inihayag, imbakan at pag-index ng packet ng network Arkime 3.1, na nagbibigay ng mga tool upang biswal na masuri ang mga daloy ng trapiko at maghanap para sa impormasyong nauugnay sa aktibidad ng network.
Ang proyekto ay binuo orihinal ng AOL na may layuning lumikha ng isang bukas at maipapalit na kapalit para sa mga platform ng pagpoproseso ng packet ng komersyal na network sa kanilang mga server na maaaring masukat upang mahawakan ang trapiko sa bilis ng sampu-sampung gigabit bawat segundo.
Tungkol kay Arkime
Para sa mga hindi pamilyar kay Arkime, hayaan mong sabihin ko sa iyo iyan dating kilala bilang Moloch na isang toolkit upang makuha at ma-index ang trapiko sa karaniwang format ng PCAP at nagbibigay din ito ng mga tool para sa mabilis na pag-access sa na-index na data. Ang paggamit ng format na PCAP ay lubos na pinapasimple ang pagsasama sa mga mayroon nang mga traffic analista tulad ng Wireshark. Ang halaga ng data na nakaimbak ay limitado lamang sa laki ng magagamit na disk array. Ang metadata ng session ay na-index sa isang kumpol batay sa makina ng Elasticsearch.
Upang pag-aralan ang naipon na impormasyon, iminungkahi ang isang web interface na nagpapahintulot sa pag-browse, paghahanap at pag-export ng mga sample. Nagbibigay ang web interface ng maraming mga mode ng pagpapakita: mula sa pangkalahatang mga istatistika, mga mapa ng koneksyon at mga graphic graph na may data sa mga pagbabago sa aktibidad ng network hanggang sa mga tool para sa pag-aaral ng mga indibidwal na sesyon, pag-aaral ng aktibidad sa konteksto ng mga protokol na ginamit at pag-aaral ng data mula sa mga dump ng PCAP.
Nagbibigay din ng isang API upang payagan ang mga application ng third-party na ipasa ang nakuhang data ng packet sa format na PCAP at na-parse na session sa format na JSON.
arkime Mayroon itong tatlong pangunahing mga sangkap:
- Ang Traffic Capture System ay isang multithreaded na aplikasyon ng C para sa pagsubaybay sa trapiko, pagsulat ng paglalagay ng PCAP sa disk, pag-aralan ang mga nakuhang packet, at pagpapadala ng metadata ng session (Stateful Packet Inspection) (SPI) at mga protokol sa Elasticsearch cluster. Ang naka-encrypt na imbakan ng mga file ng PCAP ay posible.
- Isang web interface batay sa platform ng Node.js na tumatakbo sa bawat server ng capture ng trapiko at humahawak ng mga kahilingan na nauugnay sa pag-access sa na-index na data at paglilipat ng mga file ng PCAP sa pamamagitan ng API.
- Tindahan ng metadata na nakabatay sa Elasticsearch.
Pangunahing mga novelty ng Arkime 3.1
Sa bagong inilabas na bersyon na ito sa isa sa pinakamahalagang pagbabago na namumukod-tangi ang pagbabago ng pangalan ng proyekto, dahil sa itaas ay nagkomento ako sa proyekto Dati itong kilala bilang Moloch at nagkomento ang mga developer na ang proyekto ay nakaranas ng paglago at isang makabuluhang pagbabago at naisip nila na ito ay isang magandang panahon upang baguhin ang pangalan sa Arkime.
Ang isa pang pagbabago na namumukod-tangi ay ang ganap na bagong interface ng gumagamit para sa pagsasaayos ng WISE, paglikha at pag-update ng mga mapagkukunan ng WISE at istatistika ng WISE. Ito ay isang malakas na bagong tool upang matulungan ang mga gumagamit na magsimula sa WISE o pagbutihin ang kanilang serbisyo na WISE nang hindi gumugugol ng oras sa pagsasaayos o mga mapagkukunang file.
Bukod dito, din lumalabas na ang suporta para sa mga IETF QUIC, GENEVE, VXLAN-GPE na mga protokol ay naidagdagBilang karagdagan, idinagdag ang suporta para sa uri ng Q-in-Q (Double VLAN), na nagbibigay-daan sa iyo upang ma-encapsulate ang mga tag ng VLAN sa mga pangalawang antas na tag upang mapalawak ang bilang ng mga VLAN sa 16 milyon.
Sa iba pang mga pagbabago na namumukod-tangi:
- Nagdagdag ng suporta para sa "lumulutang" uri ng patlang.
- Ang manunulat ng Amazon Elastic Compute Cloud ay lumipat upang magamit ang IMDSv2 (Instance Metadata Service) na protocol.
- Ang code refactoring upang magdagdag ng mga UDP tunnel.
- Nagdagdag ng suporta para sa elasticsearchAPIKey at elasticsearchBasicAuth.
Panghuli, kung interesado kang malaman ang higit pa tungkol sa bagong bersyon, maaari kang kumunsulta sa mga detalye Sa sumusunod na link.
Kumuha ng Arkime
Para sa mga interesadong makuha ang utility na ito, dapat nilang malaman na ang code ng bahagi ng pagkuha ng trapiko ay nakasulat sa C at ipinatupad ang interface sa Node.js / JavaScript. Ang source code ay ipinamamahagi sa ilalim ng lisensya ng Apache 2.0. Ang pagtatrabaho sa Linux at FreeBSD ay suportado.
Handa na ang mga pakete ay handa na ang Arch, CentOS at Ubuntu at maaaring makuha mula sa link sa ibaba.