די נייע ווערסיע פון ​​Arkime 3.1 (פריער באַוווסט ווי Moloch) איז שוין פריי

לעצטנס די קאַטער פון די כאַפּן סיסטעם איז מודיע, נעץ פּאַקאַט סטאָרידזש און ינדעקסינג Arkime 3.1, וואָס גיט מכשירים צו וויזשוואַלי אַססעסס פאַרקער פלאָוז און זוכן פֿאַר אינפֿאָרמאַציע שייַכות צו נעץ טעטיקייט.

די פּרויעקט איז דעוועלאָפּעד ערידזשנאַלי דורך AOL מיט דער ציל צו שאַפֿן אַן אָפֿן און דיפּלויאַבאַל פאַרבייַט פֿאַר געשעפט נעץ פּאַקאַט פּראַסעסינג פּלאַטפאָרמס אויף זייער סערווערס וואָס קענען וואָג פאַרהאַלטן פאַרקער מיט ספּידז פון טענס פון גיגאבייט פּער סעקונדע.

וועגן אַרקימע

פֿאַר די וואָס זענען נישט באַקאַנט מיט אַרקימע, לאָזן מיר זאָגן איר דאָס אַמאָל באַוווסט ווי Moloch וואָס איז געווען אַ טאָאָלקיט צו כאַפּן און אינדעקס פאַרקער אין נאָרמאַל PCAP פֿאָרמאַט און עס אויך גיט מכשירים פֿאַר שנעל אַקסעס צו ינדעקסט דאַטן. די PCAP פֿאָרמאַט סימפּליז ינטאַגריישאַן מיט יגזיסטינג פאַרקער אַנאַליזערס אַזאַ ווי Wireshark. די סטאָרידזש פון דאַטן איז לימיטעד בלויז דורך די גרייס פון דעם פאַראַנען דיסק מענגע. די מעטאַדאַטאַ פון די סעסיע איז ינדעקסט אין אַ קנויל באזירט אויף די Elasticsearch מאָטאָר.

צו אַנאַלייז די אַקיומיאַלייטיד אינפֿאָרמאַציע, אַ וועב צובינד איז פארגעלייגט אַז אַלאַוז בראַוזינג, שאַרף און עקספּאָרטינג סאַמפּאַלז. דער וועב צובינד גיט עטלעכע אַרויסווייַזן מאָדעס: פֿון גענעראַל סטאַטיסטיק, פֿאַרבינדונג מאַפּס און וויזשאַוואַל גראַפס מיט דאַטן וועגן ענדערונגען אין נעץ אַקטיוויטעט צו מכשירים פֿאַר לערנען יחיד סעשאַנז, אַנאַלייזינג טעטיקייט אין דעם קאָנטעקסט פון די געוויינט פּראָטאָקאָלס און אַנאַלייזינג דאַטן פֿון PCAP דאַמפּס.

אַ אַפּי איז אויך צוגעשטעלט צו לאָזן דריט טיילווייַז אַפּלאַקיישאַנז פאָרן קאַפּטשערד פּאַקאַט דאַטן אין PCAP פֿאָרמאַט און פּאַרסעד סעשאַנז אין JSON פֿאָרמאַט.

אַרקימע עס האט דרייַ יקערדיק קאַמפּאָונאַנץ:

  1. Traffic Capture System איז אַ מולטיטהרעאַדעד C אַפּלאַקיישאַן פֿאַר מאָניטאָרינג פאַרקער, שרייבן PCAP דאַמפּס צו דיסק, אַנאַלייזינג קאַפּטשערד פּאַקיץ און שיקט סעסיע מעטאַדאַטאַ (Stateful Packet Inspection) (SPI) און פּראָטאָקאָלס צו די Elasticsearch קנויל. ענקריפּטיד סטאָרידזש פון פּקאַפּ טעקעס איז מעגלעך.
  2. א וועב צובינד באזירט אויף די Node.js פּלאַטפאָרמע וואָס לויפט אויף יעדער פאַרקער כאַפּן סערווער און כאַנדאַלז ריקוועס שייַכות צו אַקסעס ינדעקסט דאַטן און טראַנספערינג PCAP טעקעס דורך די אַפּי.
  3. Elasticsearch- באזירט מעטאַדאַטאַ קראָם.

הויפּט נאַוואַלטיז פון Arkime 3.1

אין דעם נייַע ווערסיע, איינער פון די מערסט וויכטיק ענדערונגען איז די ענדערונג פון די פּרויעקט נאָמען, זינט ווי אויבן איך קאַמענטאַד אויף די פּרויעקט עס איז געווען פריער באַוווסט ווי Moloch און די דעוועלאָפּערס באַמערקן אַז די פּרויעקט האט יקספּיריאַנסט וווּקס און אַ באַטייַטיק ענדערונג און זיי געדאַנק עס איז אַ גוטע צייט צו טוישן דעם נאָמען צו Arkime. 

אן אנדער פון די ענדערונגען וואָס שטייט אויס איז די גאָר נייַע באַניצער צובינד פֿאַר WISE קאַנפיגיעריישאַן, קריייטינג און אַפּדייטינג WISE קוואלן און WISE סטאַטיסטיק. דאָס איז אַ שטאַרק נייַ געצייַג צו העלפֿן יוזערז צו אָנהייבן WISE אָדער פֿאַרבעסערן זייער WISE סערוויס אָן ספּענדינג צייט אויף קאַנפיגיעריישאַן אָדער מקור טעקעס.

דערצו, אויך עס שטייט אויס אַז שטיצן פֿאַר די IETF QUIC, GENEVE, VXLAN-GPE פּראָטאָקאָלס איז צוגעלייגטאין אַדישאַן, שטיצן איז געווען צוגעלייגט פֿאַר די Q-in-Q (Double VLAN) טיפּ, וואָס אַלאַוז ענקאַפּסאַלייטינג VLAN טאַגס אין טאַגס אויף די רגע מדרגה צו יקספּאַנד די נומער פון VLAN צו 16 מיליאָן.

פון די אנדערע ענדערונגען וואָס שטיין אויס:

  • צוגעגעבן שטיצן פֿאַר די "פלאָוטינג" פעלד טיפּ.
  • דער אַמאַזאָן עלאַסטיק קאַמפּיוט קלאָוד שרייבער איז אריבערגעפארן צו נוצן די IMDSv2 (Instance Metadata Service) פּראָטאָקאָל.
  • קאָד ריפאַקטאָרינג צו לייגן ודפּ טאַנאַלז.
  • שטיצן פֿאַר elasticsearchAPIKey און elasticsearchBasicAuth צוגעגעבן שטיצן.

צום סוף, אויב איר זענט אינטערעסירט צו וויסן מער וועגן די נייַע ווערסיע, איר קענט באַראַטנ זיך די דעטאַילס אין די ווייַטערדיק לינק.

באַקומען אַרקימע

פֿאַר יענע וואָס ווילן צו באַקומען דעם נוצן, זיי זאָל וויסן אַז די קאָד פון די פאַרקער כאַפּן קאָמפּאָנענט איז געשריבן אין C און די צובינד איז ימפּלאַמענאַד אין Node.js / JavaScript. דער מקור קאָד איז פונאנדערגעטיילט אונטער די אַפּאַטשי 2.0 דערלויבעניש. אַרבעט אויף לינוקס און FreeBSD איז געשטיצט.

גרייט פּאַקידזשיז זענען אַרטש, סענטאָס און ובונטו גרייט און קענען זיין באקומען פֿון די לינק ונטער.


דער אינהאַלט פון דעם אַרטיקל אַדכיר צו אונדזער פּרינציפּן פון לייט עטיקס. צו מעלדונג אַ טעות גיט דאָ.

זייט דער ערשטער צו באַמערקן

לאָזן דיין באַמערקונג

אייער בליצפּאָסט אַדרעס וועט נישט זייַן ארויס.

*

*

  1. פאַראַנטוואָרטלעך פֿאַר די דאַטן: Miguel Ángel Gatón
  2. ציל פון די דאַטן: קאָנטראָל ספּאַם, קאָמענטאַר פאַרוואַלטונג.
  3. לעגיטימאַטיאָן: דיין צושטימען
  4. קאָמוניקאַציע פון ​​די דאַטן: די דאַטן וועט נישט זיין קאַמיונאַקייטיד צו דריט פּאַרטיעס אַחוץ דורך לעגאַל פליכט.
  5. דאַטן סטאָרידזש: דאַטאַבייס כאָוסטיד דורך Occentus Networks (EU)
  6. רעכט: צו קיין צייט איר קענט באַגרענעצן, צוריקקריגן און ויסמעקן דיין אינפֿאָרמאַציע.