โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > มีระบบจัดทำดัชนีการรับส่งข้อมูลเครือข่าย Arkime 3.1 พร้อมใช้งาน

มีระบบจัดทำดัชนีการรับส่งข้อมูลเครือข่าย Arkime 3.1 พร้อมใช้งาน

มีการเตรียมการเปิดตัวระบบสำหรับการจับ จัดเก็บ และจัดทำดัชนีแพ็กเก็ตเครือข่าย Arkime 3.1 โดยมีเครื่องมือสำหรับการประเมินกระแสการรับส่งข้อมูลด้วยสายตาและค้นหาข้อมูลที่เกี่ยวข้องกับกิจกรรมเครือข่าย เดิมโครงการนี้ได้รับการพัฒนาโดย AOL โดยมีเป้าหมายเพื่อสร้างการทดแทนแบบเปิดและปรับใช้ได้สำหรับแพลตฟอร์มการประมวลผลแพ็กเก็ตเครือข่ายเชิงพาณิชย์ ซึ่งสามารถปรับขนาดเพื่อประมวลผลการรับส่งข้อมูลด้วยความเร็วสิบกิกะบิตต่อวินาที โค้ดส่วนประกอบการจับการรับส่งข้อมูลเขียนด้วยภาษา C และมีการใช้อินเทอร์เฟซใน Node.js/JavaScript ซอร์สโค้ดถูกแจกจ่ายภายใต้ลิขสิทธิ์ Apache 2.0 รองรับการทำงานบน Linux และ FreeBSD แพ็คเกจสำเร็จรูปเตรียมไว้สำหรับ Arch, CentOS และ Ubuntu

Arkime มีเครื่องมือสำหรับบันทึกและจัดทำดัชนีการรับส่งข้อมูลในรูปแบบ Native PCAP และยังมีเครื่องมือสำหรับการเข้าถึงข้อมูลที่จัดทำดัชนีอย่างรวดเร็ว การใช้รูปแบบ PCAP ช่วยลดความยุ่งยากในการผสานรวมกับเครื่องวิเคราะห์การรับส่งข้อมูลที่มีอยู่ เช่น Wireshark ปริมาณข้อมูลที่จัดเก็บจะถูกจำกัดด้วยขนาดของอาร์เรย์ดิสก์ที่มีอยู่เท่านั้น ข้อมูลเมตาของเซสชันได้รับการจัดทำดัชนีในคลัสเตอร์ตามกลไก Elasticsearch

เพื่อวิเคราะห์ข้อมูลที่สะสม มีการเสนออินเทอร์เฟซเว็บที่ให้คุณนำทาง ค้นหา และส่งออกตัวอย่าง เว็บอินเทอร์เฟซมีโหมดการรับชมที่หลากหลาย ตั้งแต่สถิติทั่วไป แผนที่การเชื่อมต่อ และกราฟภาพพร้อมข้อมูลเกี่ยวกับการเปลี่ยนแปลงกิจกรรมเครือข่าย ไปจนถึงเครื่องมือสำหรับศึกษาแต่ละเซสชัน การวิเคราะห์กิจกรรมในบริบทของโปรโตคอลที่ใช้ และการแยกวิเคราะห์ข้อมูลจากการถ่ายโอนข้อมูล PCAP นอกจากนี้ยังมีการจัดเตรียม API ที่ช่วยให้คุณสามารถส่งข้อมูลเกี่ยวกับแพ็กเก็ตที่บันทึกไว้ในรูปแบบ PCAP และเซสชันที่แยกส่วนในรูปแบบ JSON ไปยังแอปพลิเคชันบุคคลที่สาม

มีระบบจัดทำดัชนีการรับส่งข้อมูลเครือข่าย Arkime 3.1 พร้อมใช้งาน

Arkime ประกอบด้วยองค์ประกอบพื้นฐานสามประการ:

  • ระบบบันทึกการรับส่งข้อมูลเป็นแอปพลิเคชัน C แบบมัลติเธรดสำหรับตรวจสอบการรับส่งข้อมูล เขียนดัมพ์ในรูปแบบ PCAP ลงดิสก์ แยกวิเคราะห์แพ็กเก็ตที่ดักจับ และส่งข้อมูลเมตาเกี่ยวกับเซสชัน (SPI, การตรวจสอบแพ็กเก็ตเก็บสถานะ) และโปรโตคอลไปยังคลัสเตอร์ Elasticsearch สามารถจัดเก็บไฟล์ PCAP ในรูปแบบที่เข้ารหัสได้
  • เว็บอินเทอร์เฟซที่ใช้แพลตฟอร์ม Node.js ซึ่งทำงานบนเซิร์ฟเวอร์บันทึกการรับส่งข้อมูลแต่ละเซิร์ฟเวอร์ และประมวลผลคำขอที่เกี่ยวข้องกับการเข้าถึงข้อมูลที่จัดทำดัชนีและการถ่ายโอนไฟล์ PCAP ผ่าน API
  • ที่จัดเก็บข้อมูลเมตาตาม Elasticsearch

มีระบบจัดทำดัชนีการรับส่งข้อมูลเครือข่าย Arkime 3.1 พร้อมใช้งาน

ในรุ่นใหม่:

  • เพิ่มการรองรับโปรโตคอล IETF QUIC, GENEVE, VXLAN-GPE
  • เพิ่มการรองรับประเภท Q-in-Q (Double VLAN) ซึ่งช่วยให้คุณสามารถสรุปแท็ก VLAN ในแท็กระดับที่สองเพื่อขยายจำนวน VLAN เป็น 16 ล้าน
  • เพิ่มการรองรับประเภทฟิลด์ "ลอย"
  • โมดูลการบันทึกใน Amazon Elastic Compute Cloud ได้รับการแปลงไปใช้โปรโตคอล IMDSv2 (Instance Metadata Service)
  • รหัสได้รับการปรับโครงสร้างใหม่เพื่อเพิ่มอุโมงค์ UDP
  • เพิ่มการสนับสนุนสำหรับ elasticsearchAPIKey และ elasticsearchBasicAuth

ที่มา: opennet.ru

เพิ่มความคิดเห็น