ProHoster > Blog > nouvèl sou entènèt > Sistèm Indexing trafik rezo Arkime 3.1 disponib

Sistèm Indexing trafik rezo Arkime 3.1 disponib

Yo te prepare yon lage sistèm pou kaptire, estoke ak endèks pake rezo Arkime 3.1, ki bay zouti pou evalye vizyèlman sikilasyon sikilasyon yo epi chèche enfòmasyon ki gen rapò ak aktivite rezo a. Pwojè a te okòmansman devlope pa AOL ak objektif pou kreye yon ranplasman ouvè ak deplwaye pou platfòm pwosesis rezo komèsyal yo, ki kapab echèl pou trete trafik nan vitès dizèn gigabit pou chak segonn. Kòd eleman kaptire trafik la ekri nan C, epi koòdone a aplike nan Node.js/JavaScript. Kòd sous la distribye anba lisans Apache 2.0. Sipòte travay sou Linux ak FreeBSD. Pakè ki pare yo prepare pou Arch, CentOS ak Ubuntu.

Arkime gen ladan zouti pou kaptire ak endèks trafik nan fòma natif natal PCAP, epi tou li bay zouti pou aksè rapid nan done endis. Itilizasyon fòma PCAP la anpil senplifye entegrasyon ak analizè trafik ki egziste deja tankou Wireshark. Volim nan done ki estoke limite sèlman pa gwosè a nan etalaj la ki gen kapasite ki disponib. Metadata sesyon yo endis nan yon gwoup ki baze sou motè Elasticsearch la.

Pou analize enfòmasyon yo akimile, yo ofri yon koòdone entènèt ki pèmèt ou navige, rechèch ak ekspòtasyon echantiyon. Koòdone entènèt la bay plizyè mòd gade - soti nan estatistik jeneral, kat koneksyon ak graf vizyèl ak done sou chanjman nan aktivite rezo a zouti pou etidye sesyon endividyèl yo, analize aktivite nan kontèks pwotokòl yo itilize ak analiz done ki soti nan pil fatra PCAP. Yo bay yon API tou ki pèmèt ou voye done sou pake ki te kaptire yo nan fòma PCAP ak sesyon demonte nan fòma JSON nan aplikasyon twazyèm pati.

Sistèm Indexing trafik rezo Arkime 3.1 disponib

Arkime konsiste de twa eleman debaz:

  • Sistèm kaptire trafik la se yon aplikasyon C milti-fil pou kontwole trafik, ekri pil fatra nan fòma PCAP sou disk, analize pake kaptire yo epi voye metadata sou sesyon yo (SPI, enspeksyon pake Stateful) ak pwotokòl nan gwoup Elasticsearch la. Li posib pou estoke fichye PCAP yo nan fòm chiffres.
  • Yon koòdone entènèt ki baze sou platfòm Node.js, ki kouri sou chak sèvè kaptire trafik ak trete demann ki gen rapò ak aksè nan done endis ak transfere dosye PCAP atravè API a.
  • Depo metadone ki baze sou Elasticsearch.

Sistèm Indexing trafik rezo Arkime 3.1 disponib

Nan nouvo lage a:

  • Te ajoute sipò pou pwotokòl IETF QUIC, GENEVE, VXLAN-GPE.
  • Te ajoute sipò pou kalite Q-in-Q (Double VLAN), ki pèmèt ou ankapsile tags VLAN nan etikèt dezyèm nivo pou elaji kantite VLAN a 16 milyon dola.
  • Te ajoute sipò pou kalite jaden "flote".
  • Modil anrejistreman nan Amazon Elastic Compute Cloud te konvèti pou itilize pwotokòl IMDSv2 (Instance Metadata Service).
  • Kòd la te refactorize pou ajoute tinèl UDP.
  • Te ajoute sipò pou elasticsearchAPIKey ak elasticsearchBasicAuth.

Sous: opennet.ru

Add nouvo kòmantè