最近 宣布啟動捕獲系統, 網絡數據包存儲和索引 Arkime 3.1,提供可視化評估交通流量的工具 並蒐索與網絡活動相關的信息。
該項目已開發 最初由 AOL 設計,目標是創建一個開放且可部署的替代品 用於其服務器上的商業網絡數據包處理平台,這些平台可以擴展以處理每秒數十吉比特的流量。
關於阿基米
對於那些不熟悉 Arkime 的人,讓我告訴你 以前稱為 Moloch 這是一個以標準 PCAP 格式捕獲和索引流量的工具包 它還提供了快速訪問索引數據的工具。 使用 PCAP 格式極大地簡化了與現有流量分析器(例如 Wireshark)的集成。 存儲的數據量僅受可用磁盤陣列大小的限制。 會話元數據在基於 Elasticsearch 引擎的集群中建立索引。
為了分析累積的信息,提出了一個允許瀏覽、搜索和導出樣本的網絡界面。 Web 界面提供了多種顯示模式:從一般統計數據、連接地圖和帶有網絡活動變化數據的可視化圖表到用於研究單個會話的工具、在所用協議的上下文中分析活動以及分析來自 PCAP 轉儲的數據。
還提供了一個 API 以允許第三方應用程序以 PCAP 格式傳遞捕獲的數據包數據和以 JSON 格式解析會話。
阿基姆 它具有三個基本組成部分:
- 流量捕獲系統是一個多線程 C 應用程序,用於監控流量、將 PCAP 轉儲寫入磁盤、分析捕獲的數據包以及將會話元數據(狀態數據包檢查)(SPI)和協議發送到 Elasticsearch 集群。 PCAP 文件的加密存儲是可能的。
- 基於 Node.js 平台的 Web 界面運行在每個流量捕獲服務器上,並處理與訪問索引數據和通過 API 傳輸 PCAP 文件相關的請求。
- 基於 Elasticsearch 的元數據存儲。
Arkime 3.1 的主要新奇之處
在這個新發布的版本中,最重要的變化之一是 更改項目名稱, 因為如上所述我對該項目發表了評論 它以前被稱為 Moloch,開發人員評論說該項目經歷了增長 和重大變化 他們認為現在是將名稱更改為 Arkime 的好時機。
另一個突出的變化是 用於 WISE 配置的全新用戶界面, 創建和更新 WISE 源和 WISE 統計數據。 這是一個強大的新工具,可幫助用戶開始使用 WISE 或改進他們的 WISE 服務,而無需在配置或源文件上花費時間。
而且,也 突出顯示添加了對 IETF QUIC、GENEVE、VXLAN-GPE 協議的支持此外,還增加了對Q-in-Q(Double VLAN)類型的支持,允許將VLAN標籤封裝在二級標籤中,從而將VLAN的數量擴展到16萬個。
在其他突出的變化中:
- 添加了對“浮動”字段類型的支持。
- Amazon Elastic Compute Cloud 編寫器已移至使用 IMDSv2(實例元數據服務)協議。
- 代碼重構以添加 UDP 隧道。
- 添加了對 elasticsearchAPIKey 和 elasticsearchBasicAuth 的支持。
最後,如果您有興趣了解更多關於這個新版本的信息,可以諮詢詳情 在下面的鏈接中。
獲取阿基姆
有興趣獲得這個實用程序的朋友應該知道,流量捕獲組件的代碼是用C編寫的,接口是用Node.js/JavaScript實現的。 源代碼在 Apache 2.0 許可下分發。 支持在 Linux 和 FreeBSD 上工作。
準備好的軟件包是 Arch、CentOS 和 Ubuntu 準備好的,可以獲取 從下面的鏈接。