หน้าแรก>การเขียนโปรแกรมที่เกี่ยวข้อง>ซอร์สโค้ด C#
ดาวน์โหลด

อาร์คิม

Arkime เป็นการวิเคราะห์เครือข่ายโอเพนซอร์ซขนาดใหญ่และระบบจับแพ็คเก็ต

Arkime เพิ่มโครงสร้างพื้นฐานด้านความปลอดภัยในปัจจุบันของคุณเพื่อจัดเก็บและดัชนีการรับส่งข้อมูลเครือข่ายในรูปแบบ PCAP มาตรฐานซึ่งให้การเข้าถึงที่รวดเร็วและจัดทำดัชนี เว็บอินเตอร์เฟสที่ใช้งานง่ายและเรียบง่ายมีไว้สำหรับการเรียกดูการค้นหาการค้นหาและการส่งออก PCAP ARKIME เปิดเผย APIs ซึ่งอนุญาตให้ข้อมูลเซสชัน PCAP และ JSON จัดรูปแบบข้อมูลเซสชันที่จะดาวน์โหลดและบริโภคโดยตรง Arkime เก็บและส่งออกแพ็กเก็ตทั้งหมดในรูปแบบ PCAP มาตรฐานช่วยให้คุณใช้เครื่องมือกลืนกิน PCAP ที่คุณชื่นชอบเช่น Wireshark ในระหว่างการวิเคราะห์เวิร์กโฟลว์ของคุณ

Arkime ถูกสร้างขึ้นเพื่อนำไปใช้ในหลาย ๆ ระบบและสามารถปรับขนาดเพื่อจัดการกับการจราจรสิบกิกะบิต/วินาที การเก็บรักษา PCAP ขึ้นอยู่กับพื้นที่ดิสก์เซ็นเซอร์ที่มีอยู่ การเก็บข้อมูลข้อมูลเมตาขึ้นอยู่กับระดับคลัสเตอร์ Elasticsearch ทั้งสองสามารถเพิ่มขึ้นได้ตลอดเวลาและอยู่ภายใต้การควบคุมที่สมบูรณ์ของคุณ

เรียนรู้เพิ่มเติมเกี่ยวกับ Arkime.com

สารบัญ

  • พื้นหลัง
  • การติดตั้ง
  • การกำหนดค่า
  • การใช้งาน
  • ความปลอดภัย
  • API
  • มีส่วนช่วย
  • ใบอนุญาต

พื้นหลัง

Arkime ก่อนหน้านี้ชื่อ Moloch ถูกสร้างขึ้นเพื่อแทนที่ระบบแพ็คเก็ตเต็มรูปแบบเชิงพาณิชย์ที่ AOL ในปี 2012 โดยมีการควบคุมฮาร์ดแวร์และค่าใช้จ่ายอย่างสมบูรณ์เราพบว่าเราสามารถปรับใช้การจับแพ็คเก็ตเต็มรูปแบบในเครือข่ายทั้งหมดของเราในราคาเดียวกับเครือข่ายเดียวโดยใช้เครื่องมือเชิงพาณิชย์

ระบบ Arkime ประกอบด้วย 3 องค์ประกอบหลัก:

  • Capture - แอปพลิเคชัน C เธรด C ที่ตรวจสอบการรับส่งข้อมูลเครือข่ายเขียนไฟล์ที่จัดรูปแบบ PCAP ไปยังดิสก์ท้องถิ่นวิเคราะห์แพ็กเก็ตที่จับได้และส่งข้อมูลเมตา (ข้อมูล SPI) ไปยัง OpenSearch/Elasticsearch
  • Viewer - แอปพลิเคชัน Node.js ที่ทำงานต่อเครื่องจับภาพ มันจัดการกับเว็บอินเตอร์เฟสและถ่ายโอนแพ็กเก็ตไปยังเบราว์เซอร์
  • OpenSearch/ElasticSearch - เทคโนโลยีฐานข้อมูลการค้นหาที่ให้พลังงานกับ Arkime

นอกจากนี้เรายังมีแอปพลิเคชั่นเสริมหลายอย่าง:

  • CONT3XT - แอปพลิเคชันที่ให้วิธีการที่มีโครงสร้างในการรวบรวมความฉลาดตามบริบทเพื่อสนับสนุนการตรวจสอบทางเทคนิค
  • Esproxy - พร็อกซีที่ให้ความปลอดภัยเป็นพิเศษระหว่างการจับภาพและ OpenSearch/Elasticsearch
  • รัฐสภา - แอปพลิเคชั่นที่ตรวจสอบและเป็นประตูหน้าไปยังกลุ่มอาร์คิมหลายกลุ่ม
  • Wiseservice - แอปพลิเคชันที่รวมข่าวกรองภัยคุกคามเข้ากับเมตาเซสชั่น

Arkime เสนอเว็บอินเตอร์เฟสที่ใช้งานง่ายสำหรับการสำรวจข้อมูลเครือข่าย หน้าเซสชั่นให้ภาพรวมที่ครอบคลุมโดยแสดงรายการแต่ละเซสชันที่สามารถขยายเพื่อดูรายละเอียดข้อมูลเมตาและแพ็คเก็ต

หน้ามุมมอง SPI นำเสนอรายละเอียดของข้อมูลโดยแสดงค่าที่ไม่ซ้ำกันทั้งหมดสำหรับแต่ละฟิลด์ที่ได้รับการยอมรับโดย Arkime

การติดตั้ง

ผู้ใช้ส่วนใหญ่ควรใช้ไบนารี prebuilt ที่มีอยู่ในหน้าดาวน์โหลดของเราและทำตามคำแนะนำการติดตั้งอย่างง่าย

สำหรับผู้ใช้ขั้นสูงคุณสามารถสร้าง Arkime ด้วยตัวเอง:

  • ตรวจสอบให้แน่ใจว่า node อยู่ในเส้นทางของคุณปัจจุบันรองรับโหนดเวอร์ชัน 20.x
  • git clone https://github.com/arkime/arkime - เวอร์ชันล่าสุดใน GitHub
  • ./easybutton-build.sh --install -ดาวน์โหลดสิ่งที่จำเป็นต้องมีการสร้างและติดตั้ง arkime ทั้งหมด
  • make config - ดำเนินการกำหนดค่าเริ่มต้นของ Arkime
  • อ้างถึงไฟล์ที่มีส่วนร่วม MD สำหรับข้อมูลเกี่ยวกับวิธีการเข้าร่วม

การกำหนดค่า

การกำหนดค่าระบบส่วนใหญ่อยู่ในไฟล์ /opt/arkime/etc/config.ini ตัวแปรมีการบันทึกไว้ในหน้าการตั้งค่าของเรา

การใช้งาน

เมื่อ Arkime กำลังทำงานให้ชี้เบราว์เซอร์ของคุณไปที่ http: // localhost: 8005 เพื่อเข้าถึงเว็บอินเตอร์เฟส คลิกที่นกฮูกเพื่อไปยังหน้าช่วยเหลือ Arkime

ความปลอดภัย

การเข้าถึง Arkime ได้รับการปกป้องโดยใช้ HTTPS ด้วยรหัสผ่าน Digest หรือโดยใช้การรับรองความถูกต้องที่ให้บริการพร็อกซีเว็บเซิร์ฟเวอร์ PCAP ทั้งหมดจะถูกเก็บไว้ในเซ็นเซอร์และเข้าถึงได้โดยใช้อินเตอร์เฟส Arkime หรือ API เท่านั้น Arkime ไม่ได้หมายถึงการแทนที่ IDs แต่ทำงานเคียงข้างพวกเขาเพื่อจัดเก็บและจัดทำดัชนีปริมาณการใช้งานเครือข่ายทั้งหมดในรูปแบบ PCAP มาตรฐานซึ่งให้การเข้าถึงที่รวดเร็ว

  • ARKIME สามารถกำหนดค่าให้ใช้ OpenSearch/ElasticSearch Auth Auth หรือ API Keys

  • เครื่องจักรของ Arkime ควรถูกล็อคลงอย่างไรก็ตามพวกเขาจำเป็นต้องพูดคุยกัน (พอร์ต 8005) ไปยังเครื่อง Elasticsearch (พอร์ต 9200-920X) และเว็บอินเตอร์เฟสจะต้องเปิด (พอร์ต 8005)

  • ARKIME viewer ควรกำหนดค่าให้ใช้ TLS

    • มันง่ายที่สุดในการใช้ใบรับรองเดียวที่มี DNS หลายตัวหรือไวด์การ์ด
    • ตรวจสอบให้แน่ใจว่าคุณปกป้องใบรับรองในระบบไฟล์ด้วยสิทธิ์ไฟล์ที่เหมาะสม
    • แก้ไขการตั้งค่า CertFile และ KeyFile ใน /opt/arkime/etc/config.ini.ini เพื่อเปิดใช้งาน

  • สำหรับการปรับใช้ขนาดใหญ่เป็นไปได้ที่จะตั้งค่า viewer Arkime บนเครื่องกลางที่ไม่เก็บข้อมูลใด ๆ แทนที่จะเป็นเกตเวย์ของเครื่องขอคำขอ UI ทั้งหมด

    • การใช้พร็อกซีย้อนกลับ (Caddy, Apache, ... ) สามารถจัดการการรับรองความถูกต้องและส่งผ่านชื่อผู้ใช้ไปยัง Arkime นี่คือวิธีที่เราปรับใช้

  • รหัสผ่านที่ใช้ร่วมกันที่เก็บไว้ในไฟล์การกำหนดค่า Arkime ใช้เพื่อเข้ารหัสแฮ็กรหัสผ่านและสำหรับการสื่อสารระหว่างช่วงเวลา

    • ตรวจสอบให้แน่ใจว่าคุณปกป้องไฟล์กำหนดค่าบนระบบไฟล์ด้วยสิทธิ์ไฟล์ที่เหมาะสม
    • แฮชรหัสผ่านที่เข้ารหัสถูกใช้เพื่อไม่ให้แฮชรหัสผ่านใหม่ไม่สามารถแทรกลงใน OpenSearch/Elasticsearch โดยตรงในกรณีที่ยังไม่ได้รับการรักษาความปลอดภัย

API

คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ ARKIME API ในหน้า API ของเรา

มีส่วนช่วย

โปรดดูไฟล์ MD ที่มีส่วนร่วมสำหรับข้อมูลเกี่ยวกับวิธีการมีส่วนร่วม เรายินดีต้อนรับปัญหาคำขอคุณสมบัติการดึงคำขอและการอัปเดตเอกสารใน GitHub สำหรับคำถามเกี่ยวกับการใช้และการแก้ไขปัญหา Arkime โปรดใช้ช่อง Slack

ผู้ดูแล

วิธีที่ดีที่สุดในการติดต่อเราคือการหย่อน โปรดขอคำเชิญให้เข้าร่วม Arkime Slack Workspace ที่นี่

ใบอนุญาต

โครงการนี้ได้รับใบอนุญาตภายใต้ข้อกำหนดของใบอนุญาตโอเพ่นซอร์ส Apache 2.0 โปรดดูใบอนุญาตสำหรับข้อกำหนดทั้งหมด

ขยาย
ข้อมูลเพิ่มเติม
แอปที่เกี่ยวข้อง
แนะนำสำหรับคุณ
ข้อมูลที่เกี่ยวข้อง ทั้งหมด