Gần đây sự ra mắt của hệ thống bắt đã được công bố, lưu trữ và lập chỉ mục gói mạng Arkime 3.1, cung cấp các công cụ để đánh giá trực quan các luồng lưu lượng truy cập và tìm kiếm thông tin liên quan đến hoạt động mạng.
Dự án được phát triển ban đầu bởi AOL với mục tiêu tạo ra một sự thay thế mở và có thể triển khai cho các nền tảng xử lý gói mạng thương mại trên máy chủ của họ có thể mở rộng quy mô để xử lý lưu lượng ở tốc độ hàng chục gigabit / giây.
Về Arkime
Đối với những người không quen thuộc với Arkime, hãy để tôi nói với bạn điều đó trước đây gọi là Moloch đó là một bộ công cụ để nắm bắt và lập chỉ mục lưu lượng truy cập ở định dạng PCAP tiêu chuẩn và nó cũng cung cấp các công cụ để truy cập nhanh vào dữ liệu đã được lập chỉ mục. Sử dụng định dạng PCAP giúp đơn giản hóa đáng kể việc tích hợp với các bộ phân tích lưu lượng hiện có như Wireshark. Số lượng dữ liệu được lưu trữ chỉ bị giới hạn bởi kích thước của mảng đĩa có sẵn. Siêu dữ liệu phiên được lập chỉ mục trong một cụm dựa trên công cụ Elasticsearch.
Để phân tích thông tin tích lũy, một giao diện web được đề xuất cho phép duyệt, tìm kiếm và xuất mẫu. Giao diện web cung cấp các chế độ hiển thị khác nhau: từ số liệu thống kê chung, bản đồ kết nối và đồ thị trực quan với dữ liệu về những thay đổi trong hoạt động mạng đến các công cụ để nghiên cứu các phiên riêng lẻ, phân tích hoạt động trong bối cảnh của các giao thức được sử dụng và phân tích dữ liệu từ PCAP kết xuất.
Một API cũng được cung cấp để cho phép các ứng dụng của bên thứ ba chuyển dữ liệu gói đã thu được ở định dạng PCAP và các phiên được phân tích cú pháp ở định dạng JSON.
arkime Nó có ba thành phần cơ bản:
- Traffic Capture System là một ứng dụng C đa luồng để giám sát lưu lượng, ghi PCAP kết xuất vào đĩa, phân tích các gói đã bắt và gửi siêu dữ liệu phiên (Kiểm tra gói trạng thái) (SPI) và các giao thức đến cụm Elasticsearch. Có thể lưu trữ mã hóa các tệp PCAP.
- Một giao diện web dựa trên nền tảng Node.js chạy trên mỗi máy chủ thu thập lưu lượng và xử lý các yêu cầu liên quan đến việc truy cập dữ liệu được lập chỉ mục và chuyển tệp PCAP thông qua API.
- Kho siêu dữ liệu dựa trên Elasticsearch.
Những điểm mới chính của Arkime 3.1
Trong phiên bản mới phát hành này, một trong những thay đổi quan trọng nhất nổi bật là sự thay đổi của tên dự án, vì như trên tôi đã nhận xét về dự án Trước đây nó được gọi là Moloch và các nhà phát triển nhận xét rằng dự án đã có sự phát triển và một sự thay đổi đáng kể và họ nghĩ rằng đây là thời điểm thích hợp để đổi tên thành Arkime.
Một trong những thay đổi nổi bật là giao diện người dùng hoàn toàn mới cho cấu hình WISE, tạo và cập nhật các nguồn WISE và thống kê WISE. Đây là một công cụ mới mạnh mẽ để giúp người dùng bắt đầu với WISE hoặc cải thiện dịch vụ WISE của họ mà không cần tốn thời gian vào cấu hình hoặc tệp nguồn.
Hơn nữa, cũng nổi bật là hỗ trợ cho các giao thức IETF QUIC, GENEVE, VXLAN-GPE đã được thêm vàoNgoài ra, hỗ trợ đã được bổ sung cho loại Q-in-Q (Double VLAN), cho phép bạn đóng gói các thẻ VLAN trong các thẻ cấp hai để mở rộng số lượng VLAN lên 16 triệu.
Trong số những thay đổi khác nổi bật:
- Đã thêm hỗ trợ cho loại trường "nổi".
- Người viết Amazon Elastic Compute Cloud đã được chuyển sang sử dụng giao thức IMDSv2 (Dịch vụ siêu dữ liệu phiên bản).
- Tái cấu trúc mã để thêm đường hầm UDP.
- Đã thêm hỗ trợ choasticsearchAPIKey vàasticsearchBasicAuth.
Cuối cùng các bạn quan tâm muốn biết thêm về phiên bản mới này có thể tham khảo chi tiết Trong liên kết sau đây.
Nhận Arkime
Đối với những người quan tâm đến việc có thể có được tiện ích này, họ nên biết rằng mã của thành phần thu thập lưu lượng được viết bằng C và giao diện được thực hiện bằng Node.js / JavaScript. Mã nguồn được phân phối theo giấy phép Apache 2.0. Làm việc trên Linux và FreeBSD được hỗ trợ.
Các gói sẵn sàng là Arch, CentOS và Ubuntu đã sẵn sàng và có thể nhận được từ liên kết bên dưới.