geçenlerde yakalama sisteminin lansmanı duyuruldu, ağ paketi depolama ve indeksleme Trafik akışlarını görsel olarak değerlendirmek için araçlar sağlayan Arkime 3.1 ve ağ etkinliğiyle ilgili bilgileri arayın.
Proje geliştirildi açık ve konuşlandırılabilir bir yedek oluşturmak amacıyla orijinal olarak AOL tarafından Saniyede onlarca gigabit hızında trafiği işlemek için ölçeklenebilen sunucularındaki ticari ağ paket işleme platformları için.
Arkime Hakkında
Arkime'ye aşina olmayanlar için şunu söyleyeyim. eskiden Moloch olarak bilinen standart PCAP formatında trafiği yakalamak ve indekslemek için bir araç takımıydı. ve ayrıca dizine alınmış verilere hızlı erişim için araçlar sağlar. PCAP formatının kullanılması, Wireshark gibi mevcut trafik analizörleriyle entegrasyonu büyük ölçüde kolaylaştırır. Depolanan veri miktarı yalnızca kullanılabilir disk dizisinin boyutuyla sınırlıdır. Oturum meta verileri, Elasticsearch motorunu temel alan bir kümede dizine eklenir.
Toplanan bilgileri analiz etmek için, numunelerin taranmasına, aranmasına ve dışa aktarılmasına izin veren bir web arayüzü önerilmiştir. Web arayüzü çeşitli görüntüleme modları sağlar: ağ etkinliğindeki değişikliklerle ilgili verileri içeren genel istatistikler, bağlantı haritaları ve görsel grafiklerden, bireysel oturumları incelemek için araçlara, kullanılan protokoller bağlamında etkinliği analiz etmeye ve PCAP dökümlerinden verileri analiz etmeye kadar.
Üçüncü taraf uygulamaların yakalanan paket verilerini PCAP biçiminde ve ayrıştırılmış oturumları JSON biçiminde geçirmesine izin vermek için bir API de sağlanır.
arkime Üç temel bileşeni vardır:
- Trafik Yakalama Sistemi, trafiği izlemek, diske PCAP dökümleri yazmak, yakalanan paketleri analiz etmek ve Elasticsearch kümesine oturum meta verileri (durumlu paket denetimi) (SPI) ve protokoller göndermek için çok iş parçacıklı bir C uygulamasıdır. PCAP dosyalarının şifreli depolanması mümkündür.
- Her trafik yakalama sunucusunda çalışan ve dizine alınmış verilere erişim ve API aracılığıyla PCAP dosyalarının aktarılmasıyla ilgili istekleri işleyen Node.js platformuna dayalı bir web arabirimi.
- Elasticsearch tabanlı meta veri deposu.
Arkime 3.1'in başlıca yenilikleri
Bu yeni çıkan sürümde öne çıkan en önemli değişikliklerden biri, proje adının değiştirilmesi, çünkü yukarıdaki gibi proje hakkında yorum yaptım Daha önce Moloch olarak biliniyordu ve geliştiriciler, projenin büyüme yaşadığını söylüyor ve önemli bir değişiklik adını Arkime olarak değiştirmek için iyi bir zaman olduğunu düşündüler.
Öne çıkan değişikliklerden bir diğeri ise WISE konfigürasyonu için tamamen yeni kullanıcı arayüzü, WISE kaynakları ve WISE istatistikleri oluşturma ve güncelleme. Bu, kullanıcıların WISE'yi kullanmaya başlamalarına veya yapılandırma veya kaynak dosyaları üzerinde zaman harcamadan WISE hizmetlerini iyileştirmelerine yardımcı olan yeni ve güçlü bir araçtır.
Öte yandan, IETF QUIC, GENEVE, VXLAN-GPE protokolleri desteği eklendiEk olarak, VLAN etiketlerinin ikinci seviye etiketlerde kapsüllenmesine izin veren Q-in-Q (Çift VLAN) türü için destek eklendi ve VLAN sayısını 16 milyona çıkardı.
Öne çıkan diğer değişikliklerden:
- "Kayan" alan türü için destek eklendi.
- Amazon Elastic Compute Cloud yazıcısı, IMDSv2 (Örnek Meta Veri Hizmeti) protokolünü kullanacak şekilde taşındı.
- UDP tünelleri eklemek için kodu yeniden düzenleme.
- ElasticsearchAPIKey ve elasticsearchBasicAuth için destek eklendi.
Son olarak, bu yeni sürüm hakkında daha fazla bilgi edinmek istiyorsanız ayrıntılara göz atabilirsiniz. Aşağıdaki bağlantıda.
Arkime'yi Alın
Bu yardımcı programı edinmek isteyenler, trafik yakalama bileşeninin kodunun C ile yazıldığını ve arayüzün Node.js / JavaScript'te uygulandığını bilmelidir. Kaynak kodu Apache 2.0 lisansı altında dağıtılmaktadır. Linux ve FreeBSD üzerinde çalışma desteklenir.
Hazır paketler Arch, CentOS ve Ubuntu'ya hazırdır ve edinilebilir aşağıdaki bağlantıdan.