Arkime:一款大规模数据包捕获和索引数据库系统

2024-09-16 125 0

关于Arkime

Arkime 是一个开源、大规模、完整的数据包捕获、索引和数据库系统,能够增强当前的安全基础设施,并以标准PCAP格式存储和索引网络流量,提供快速的索引访问。

该工具提供直观而简单的 Web 界面,用于 PCAP 浏览、搜索和导出。Arkime 公开了 API,允许直接下载和使用 PCAP 数据和 JSON 格式的会话数据。Arkime 以标准 PCAP 格式存储和导出所有数据包,允许在分析工作流程中使用您最喜欢的 PCAP 提取工具,例如 Wireshark。

通过使用带有摘要密码的 HTTPS 或使用提供身份验证的 Web 服务器代理,可以保护对 Arkime 的访问。所有 PCAP 都存储在传感器上,只能使用 Arkime 接口或 API 进行访问。Arkime 并非旨在取代 IDS,而是与 IDS 一起工作,以标准 PCAP 格式存储和索引所有网络流量,从而提供快速访问。

Arkime 旨在部署在许多系统中,并且可以扩展以处理数十千兆位/秒的流量。PCAP 保留基于可用的传感器磁盘空间。元数据保留基于 Elasticsearch 集群规模。两者都可以随时增加,并且完全由您控制。

多集群架构部署

工具组成

Arkime 系统由 3 个主要组件组成:

1、capture - 一个线程 C 应用程序,用于监视网络流量、将 PCAP 格式的文件写入磁盘、解析捕获的数据包以及将元数据(SPI 数据)发送到 elasticsearch。

2、viewer -每个捕获机器上运行的node.js应用程序。它处理 Web 界面和 PCAP 文件的传输。

3、OpenSearch / Elasticsearch - 为 Arkime 提供支持的搜索数据库技术。

我们还提供几个可选的应用程序:

1、cont3xt - 一种提供结构化方法来收集上下文情报以支持技术调查的应用程序。

2、esProxy - 在捕获和 OpenSearch/Elasticsearch 之间提供额外安全性的代理。

议会- 一个监控多个 Arkime 集群的应用程序,也是其前门。

3、wiseService——将威胁情报集成到会话元数据中的应用程序。

工具要求

Node.js

工具安装

由于该工具基于Node.js开发,因此我们首先需要在本地设备上安装并配置好最新版本的Node.js(20.x)环境。

接下来,广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/arkime/arkime

然后切换到项目目录中,安装并配置好相关依赖组件和Arkime:

cd arkime

./easybutton-build.sh --install

make config

除此之外,我们还可以直接访问该项目的【Releases页面】下载该项目提供的预构建二进制文件。

工具使用

安装后,用户可以使用简单的 Web 界面查看 Arkime 捕获的数据。Arkime 提供多种数据视图。主要视图是包含会话列表的“会话”页面。可以打开每个会话来查看元数据和 PCAP 数据:

查看数据的另一种方式是 SPI 视图页面,它允许用户查看 Arkime 理解的每个字段的所有唯一值:

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Arkime:【GitHub传送门

参考资料

https://arkime.com/

http://nodejs.org/

https://opensearch.org/downloads.html

https://www.elastic.co/guide/en/elasticsearch/reference/current/getting-started.html


4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。

本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!

程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)

相关文章

办事处网络安全监控与事件响应;国外员工终端安全性怎么保障 | FB甲方群话题讨论
拿不下总统之位,那就用热加载拿下验证码识别与爆破好了!
Sooty:一款SoC分析一体化与自动化CLI工具
shiro CVE-2016-6802 路径绕过(越权)
Apache Solr 身份验证绕过漏洞(CVE-2024-45216)详解
llama_index的CVE-2024-4181漏洞根因分析

发布评论