最近 宣布启动捕获系统, 网络数据包存储和索引 Arkime 3.1,提供可视化评估交通流量的工具 并搜索与网络活动相关的信息。
该项目已开发 最初由 AOL 开发,目标是创建一个开放且可部署的替代品 用于其服务器上的商业网络数据包处理平台,这些平台可以扩展以处理每秒数十吉比特的流量。
关于阿基米
对于那些不熟悉 Arkime 的人,让我告诉你 以前称为 Moloch 这是一个以标准 PCAP 格式捕获和索引流量的工具包 它还提供了快速访问索引数据的工具。 使用 PCAP 格式极大地简化了与现有流量分析器(例如 Wireshark)的集成。 存储的数据量仅受可用磁盘阵列大小的限制。 会话元数据在基于 Elasticsearch 引擎的集群中建立索引。
为了分析累积的信息,提出了一个允许浏览、搜索和导出样本的网络界面。 Web 界面提供了多种显示模式:从一般统计数据、连接图和带有网络活动变化数据的可视化图表,到用于研究单个会话、在所用协议上下文中分析活动以及分析来自 PCAP 转储的数据的工具。
还提供了一个 API 以允许第三方应用程序以 PCAP 格式传递捕获的数据包数据和以 JSON 格式解析会话。
阿基姆 它具有三个基本组成部分:
- 流量捕获系统是一个多线程 C 应用程序,用于监控流量、将 PCAP 转储写入磁盘、分析捕获的数据包以及将会话元数据(状态数据包检查)(SPI)和协议发送到 Elasticsearch 集群。 PCAP 文件的加密存储是可能的。
- 基于 Node.js 平台的 Web 界面运行在每个流量捕获服务器上,并处理与访问索引数据和通过 API 传输 PCAP 文件相关的请求。
- 基于 Elasticsearch 的元数据存储。
Arkime 3.1 的主要新奇之处
在这个新发布的版本中,最重要的变化之一是 更改项目名称, 因为如上所述我对该项目发表了评论 它以前被称为 Moloch,开发人员评论说该项目经历了增长 和重大变化 他们认为现在是将名称更改为 Arkime 的好时机。
另一个突出的变化是 用于 WISE 配置的全新用户界面, 创建和更新 WISE 源和 WISE 统计数据。 这是一款功能强大的新工具,可帮助用户开始使用 WISE 或改进其 WISE 服务,而无需在配置或源文件上花费时间。
而且,也 突出的是添加了对 IETF QUIC、GENEVE、VXLAN-GPE 协议的支持此外,还增加了对Q-in-Q(Double VLAN)类型的支持,可以将VLAN Tag封装在二级Tag中,将VLAN数量扩展到16万。
在其他突出的变化中:
- 添加了对“浮动”字段类型的支持。
- Amazon Elastic Compute Cloud 编写器已转为使用 IMDSv2(实例元数据服务)协议。
- 代码重构以添加 UDP 隧道。
- 添加了对 elasticsearchAPIKey 和 elasticsearchBasicAuth 的支持。
最后,如果您有兴趣了解更多关于这个新版本的信息,可以咨询详情 在下面的链接中。
获取阿基姆
有兴趣获得这个实用程序的朋友应该知道,流量捕获组件的代码是用C编写的,接口是用Node.js/JavaScript实现的。 源代码在 Apache 2.0 许可下分发。 支持在 Linux 和 FreeBSD 上工作。
准备好的软件包是 Arch、CentOS 和 Ubuntu 准备好的,可以获取 从下面的链接。