الصفحة الرئيسية>المتعلقة بالبرمجة>كود مصدر C#
تنزيل

arkime

Arkime هو تحليل الشبكة على نطاق واسع ومفتوح المصدر ونظام التقاط الحزم.

يعزز Arkime البنية التحتية الأمان الحالية لتخزين وفهرسة حركة الشبكة بتنسيق PCAP القياسي ، وتوفير وصول سريع ومفهرس. يتم توفير واجهة ويب بديهية وبسيطة لتصفح PCAP والبحث والتصدير. يعرض Arkime واجهات برمجة التطبيقات التي تسمح بتنزيل بيانات PCAP وبيانات الجلسة المنسقة JSON واستهلاكها مباشرة. يخزن Arkime وتصدير جميع الحزم بتنسيق PCAP القياسي ، مما يتيح لك أيضًا استخدام أدوات تناول PCAP المفضلة لديك ، مثل Wireshark ، أثناء سير عمل التحليل.

تم تصميم Arkime ليتم نشره عبر العديد من الأنظمة ويمكنه التوسع للتعامل مع عشرات gigabits/ثانية من حركة المرور. يعتمد احتباس PCAP على مساحة قرص المستشعر المتاحة. يعتمد الاحتفاظ بالبيانات الوصفية على مقياس مجموعة Elasticsearch. يمكن زيادة كلاهما في أي وقت ويكون تحت سيطرتك الكاملة.

تعرف على المزيد على arkime.com

جدول المحتويات

  • خلفية
  • تثبيت
  • إعدادات
  • الاستخدام
  • حماية
  • API
  • يساهم
  • رخصة

خلفية

تم إنشاء Arkime ، المسمى سابقًا Moloch ، لاستبدال أنظمة الحزم الكاملة التجارية في AOL في عام 2012. من خلال التحكم الكامل في الأجهزة والتكاليف ، وجدنا أنه يمكننا نشر التقاط الحزم الكامل في جميع شبكاتنا بنفس تكلفة شبكة واحدة فقط باستخدام أداة تجارية ، مع احتباس أكبر.

يتكون نظام Arkime من 3 مكونات رئيسية:

  • Capture - تطبيق C المترابط الذي يراقب حركة الشبكة ، ويكتب ملفات تنسيق PCAP إلى القرص المحلي ، وتوصيف الحزم التي تم التقاطها ، ويرسل بيانات التعريف (SPI) إلى OpenSearch/Elasticsearch.
  • Viewer - تطبيق Node.js يعمل على تشغيل آلة الفرد. يعالج واجهة الويب ونقل الحزم إلى المتصفح.
  • OpenSearch/Elasticsearch - تقنية قاعدة بيانات البحث التي تعمل على تشغيل Arkime.

نقدم أيضًا العديد من التطبيقات الاختيارية:

  • Cont3xt - تطبيق يوفر نهجًا منظمًا لجمع الذكاء السياقي لدعم التحقيقات الفنية.
  • Esproxy - وكيل يوفر أمانًا إضافيًا بين الالتقاط و OpenSearch/Elasticsearch.
  • البرلمان - تطبيق يراقب وهو الباب الأمامي لمجموعات Arkime متعددة.
  • WiseService - تطبيق يدمج ذكاء التهديد في بيانات تعريف الجلسة.

يقدم Arkime واجهة ويب سهلة الاستخدام لاستكشاف بيانات الشبكة. توفر صفحة الجلسات نظرة عامة شاملة ، تدرج جلسات فردية يمكن توسيعها لعرض تفاصيل البيانات الوصفية وتفاصيل الحزم.

تقدم صفحة عرض SPI تفصيلًا مفصلاً للبيانات ، وعرض جميع القيم الفريدة لكل حقل معترف به بواسطة Arkime

تثبيت

يجب على معظم المستخدمين استخدام الثنائيات المسبقة المتاحة على صفحة التنزيلات الخاصة بنا واتبع تعليمات التثبيت البسيطة.

للمستخدمين المتقدمين ، يمكنك بناء Arkime بنفسك:

  • تأكد من أن node في طريقك ، وتدعم حاليًا إصدار العقدة 20.x
  • git clone https://github.com/arkime/arkime - أحدث إصدار على github
  • ./easybutton-build.sh --install
  • make config - ينفذ تكوين arkime الأولي
  • ارجع إلى ملف المساهمة. md للحصول على معلومات حول كيفية المشاركة

إعدادات

يوجد معظم تكوين النظام في ملف /opt/arkime/etc/config.ini . تم توثيق المتغيرات على صفحة الإعدادات الخاصة بنا.

الاستخدام

بمجرد تشغيل Arkime ، قم بإشارة متصفحك إلى http: // localhost: 8005 للوصول إلى واجهة الويب. انقر على البومة للوصول إلى صفحة مساعدة Arkime.

حماية

يتم حماية الوصول إلى Arkime باستخدام HTTPS مع كلمات مرور هضم أو باستخدام مصادقة توفر وكيل خادم الويب. يتم تخزين جميع أجهزة الكمبيوتر على أجهزة الاستشعار ولا يمكن الوصول إليها فقط باستخدام واجهة Arkime أو API. لا يُقصد من Arkime استبدال المعرفات ولكن بدلاً من ذلك العمل إلى جانبها لتخزين وفهرسة جميع حركة مرور الشبكة بتنسيق PCAP القياسي ، مما يوفر وصولًا سريعًا.

  • يمكن تكوين Arkime لاستخدام OpenSearch/Elasticsearch مستخدم Auth أو مفاتيح API.

  • يجب قفل آلات Arkime ، ومع ذلك فهي بحاجة إلى التحدث مع بعضها البعض (المنفذ 8005) ، إلى آلات Elasticsearch (المنافذ 9200-920x) ، ويجب أن تكون واجهة الويب مفتوحة (المنفذ 8005).

  • يجب تكوين viewer Arkime لاستخدام TLS.

    • من الأسهل استخدام شهادة واحدة مع DNS متعددة أو بطاقة Wildcard.
    • تأكد من حماية الشهادة على نظام الملفات بأذونات الملفات المناسبة.
    • تحرير إعدادات certfile و keyfile في /opt/arkime/etc/config.ini.ini لتمكين.

  • بالنسبة إلى عمليات النشر الكبيرة ، من الممكن إعداد viewer Arkime على جهاز مركزي لا يلتقط أي بيانات ، وبدلاً من ذلك ، فإن بوابات الجهاز جميع طلبات واجهة المستخدم.

    • باستخدام وكيل عكسي (Caddy ، Apache ، ...) يمكنه التعامل مع المصادقة وتمرير اسم المستخدم إلى Arkime ، هذه هي الطريقة التي ننشر بها.

  • يتم استخدام كلمة مرور مشتركة مخزنة في ملف تكوين ARKIME لتشفير تجزئة كلمة المرور وللتواصل بين التسجيل.

    • تأكد من حماية ملف التكوين على نظام الملفات مع أذونات الملف المناسبة.
    • يتم استخدام تجزئة كلمة المرور المشفرة بحيث لا يمكن إدراج تجزئة كلمة مرور جديدة في OpenSearch/Elasticsearch مباشرة في حالة عدم تأمينها.

API

يمكنك معرفة المزيد حول ARKIME API على صفحة API الخاصة بنا.

يساهم

يرجى الرجوع إلى ملف المساهمة. للحصول على معلومات حول كيفية المشاركة. نرحب بالمشكلات وطلبات الميزات وطلبات السحب وتحديثات الوثائق في Github. للحصول على أسئلة حول استخدام Arkime واستكشاف الأخطاء وإصلاحها ، يرجى استخدام قنوات الركود.

المشرفون

أفضل طريقة للوصول إلينا هي على الركود. يرجى طلب دعوة للانضمام إلى مساحة عمل Arkime Slack هنا.

رخصة

تم ترخيص هذا المشروع بموجب شروط ترخيص Apache 2.0 مفتوح المصدر. يرجى الرجوع إلى ترخيص للشروط الكاملة.

يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل