Анализ сетевого трафика с помощью Arkime

Существует не так много бесплатных продуктов по анализу трафика. Это в основном коммерческая ниша — NTA (network traffic analysis) с серьезными и дорогими решениями, интегрированными с системами информационной безопасности.

Приятно удивляет Open Source проект — Arkime, про который пойдёт речь далее. Это целостное функциональное решение с управлением через веб интерфейс.

Arkime умеет парсить трафик и складывать его в Elasticsearch. Там его удобно анализировать через веб-интерфейс. Плюс, он имеет интеграцию с Suricata, что позволяет связать из неё события с сессиями из статистики. И нетипичный для бесплатного продукта функционал — возможность работать с различными выборками и сигнатурами. Последнее как раз и делает подобные продукты востребованными в среде безопасников.

Установить Arkime очень просто. Есть готовые rpm/deb пакеты под популярные системы, так что даже с докером связываться не придётся. Достаточно скачать пакет и установить. Проверить, что все службы запущены и отправиться в веб интерфейс для настройки и работы с системой. Единственная проблема, для работы Arkime нужен пакет elasticsearch-7, а доступ к репозиторию с адресов РФ заблокирован. Так что нужно будет вручную это сделать, например, используя mirror.yandex.ru. Я так и поступил.

Ниже полная инструкция без пояснений для установки последней версии Arkime на Ubuntu 22.04.

# echo "deb [trusted=yes] https://mirror.yandex.ru/mirrors/elastic/7/ stable main" | sudo tee /etc/apt/sources.list.d/elastic-7.x.list

# apt update && apt install elasticsearch

# systemctl start elasticsearch.service

# wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-22.04/arkime_4.0.2-1_amd64.deb

# dpkg -i arkime_4.0.2-1_amd64.deb

# /opt/arkime/bin/Configure

 

Указываем имена сетевых интерфейсов, которые будем парсить, от установки elasticsearch отказываемся.

# /opt/arkime/db/db.pl http://localhost:9200 init

# /opt/arkime/bin/arkime_add_user.sh admin "Admin User" THEPASSWORD --admin

# systemctl start arkimecapture.service

# systemctl start arkimeviewer.service

 

Идём в веб интерфейс http://ip-server:8005 и логинимся под учёткой admin, THEPASSWORD. Если что-то не работает, то смотрите логи в /opt/arkime/logs. У меня всё получилось почти сразу. Немного с зависимостями разобрался, установил elasticsearch. Сначала не заработало, так как забыл инициализировать elasticsearch и добавить туда пользователя. Потом ещё раз внимательно почитал инструкцию и всё получилось.

Не забывайте, что для подобного рода программ нужно производительное железо, которое будет зависеть от объёмов трафика и глубины хранения.

🔥 Программа реально крутая. Мне неизвестно что-то подобное забесплатно. Поставил, развернул очень быстро. Отлично работает, трафик парсится, анализируется. Всё доступно через веб интерфейс. Меня часто спрашивали в комментариях рекомендацию на что-то подобное. Вот она и есть. Весь трафик сервера как на ладони.

⇨ Сайт: https://arkime.com

Arkime

Друзья помогите этому контенту стать доступнее в социальных сетях.

Не проходи мимо жмакни по кнопке возможно кому то еще он будет полезен!