Arkime, také známý jako Moloch, je open source a rozsáhlý indexovaný nástroj pro zachycování a vyhledávání paketů. Ukládá a exportuje všechny zachycené pakety ve formátu PCAP. K analýze exportovaného souboru PCAP můžete použít Wireshark nebo jiné nástroje pro příjem PCAP. Arkime přichází s jednoduchým a uživatelsky přívětivým webovým rozhraním, které můžete použít pro procházení, vyhledávání a export PCAP. Je navržen tak, aby mohl být nasazen ve více systémech a také schopen zpracovat gigabity za sekundu provozu.
V tomto příspěvku vám ukážeme, jak nainstalovat nástroj Arkime Packet Capture na Ubuntu 20.04.
Předpoklady
- Server se systémem Ubuntu 20.04.
- Na serveru je nakonfigurováno heslo uživatele root.
Začínáme
Než začnete, budete muset aktualizovat systémové balíčky na nejnovější verzi. Můžete je aktualizovat pomocí následujícího příkazu:
apt-get update -y
Jakmile jsou všechny balíčky aktualizovány, nainstalujte požadované závislosti pomocí následujícího příkazu:
apt-get install gnupg2 curl wget -y
Jakmile jsou všechny balíčky nainstalovány, můžete přejít k dalšímu kroku.
Instalovat Elasticsearch
Arkime používá Elasticsearch pro indexování a vyhledávání. Elasticsearch tedy musí být nainstalován ve vašem systému. Ve výchozím nastavení není nejnovější verze Elasticsearch zahrnuta do výchozího úložiště Ubuntu. Budete tedy muset do svého systému přidat úložiště Elasticsearch.
Nejprve přidejte klíč GPG pomocí následujícího příkazu:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -
Dále přidejte úložiště Elasticsearch do APT pomocí následujícího příkazu:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list
Dále aktualizujte úložiště a nainstalujte balíček Elasticsearch pomocí následujícího příkazu:
apt-get update -y
apt-get install elasticsearch -y
Jakmile je Elasticsearch nainstalováno, upravte konfigurační soubor Elasticsearch a nastavte paměť Java:
nano /etc/elasticsearch/jvm.options
Změňte následující řádky:
-Xms1g -Xmx1g
Uložte a zavřete soubor a poté povolte spuštění služby Elasticsearch při restartu systému pomocí následujícího příkazu:
systemctl enable --now elasticsearch
Ve výchozím nastavení Elasticsearch naslouchá na portu 9200. Můžete to zkontrolovat pomocí následujícího příkazu:
ss -antpl | grep 9200
Měli byste získat následující výstup:
LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=9518,fd=272))
LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=9518,fd=271))
Elasticsearch můžete také zkontrolovat pomocí následujícího příkazu:
curl http://localhost:9200
Měli byste získat následující výstup:
{
"name" : "ubuntu2004",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "9g2B-tNaQl-rjuV32eCgpg",
"version" : {
"number" : "7.11.1",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "ff17057114c2199c9c1bbecc727003a907c0db7a",
"build_date" : "2021-02-15T13:44:09.394032Z",
"build_snapshot" : false,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
V tomto okamžiku je Elasticsearch nainstalován a spuštěn. Nyní můžete přejít k dalšímu kroku.
Instalace a konfigurace Arkime
Nejprve si stáhněte nejnovější verzi Arkime pomocí následujícího příkazu:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_2.7.1-1_amd64.deb
Jakmile je balíček stažen, nainstalujte stažený balíček pomocí následujícího příkazu:
apt install ./moloch_2.7.1-1_amd64.deb
Jakmile je Arkime nainstalován, nakonfigurujte jej pomocí následujícího příkazu:
/data/moloch/bin/Configure
Budete požádáni o zadání síťového rozhraní, jak je znázorněno níže:
Found interfaces: lo;eth0;eth1 Semicolon ';' seperated list of interfaces to monitor [eth1] eth0
Zadejte název síťového rozhraní a pokračujte stisknutím klávesy Enter. Po dokončení konfigurace byste měli získat následující výstup:
Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200]
Password to encrypt S2S and other things [no-default]
Password to encrypt S2S and other things [no-default] mypassword
Moloch - Creating configuration files
Installing systemd start files, use systemctl
Moloch - Installing /etc/logrotate.d/moloch to rotate files after 7 days
Moloch - Installing /etc/security/limits.d/99-moloch.conf to make core and memlock unlimited
Download GEO files? (yes or no) [yes] yes
9) Visit http://MOLOCHHOST:8005 with your favorite browser.
user: admin
password: THEPASSWORD from step #6
If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://molo.ch/faq#maxmind
Any configuration changes can be made to /data/moloch/etc/config.ini
See https://molo.ch/faq#moloch-is-not-working for issues
Additional information can be found at:
* https://molo.ch/faq
* https://molo.ch/settings
Jakmile budete hotovi, můžete přejít k dalšímu kroku.
Inicializovat konfiguraci Elasticsearch Arkime
Dále budete muset inicializovat konfiguraci Elasticsearch Arkime. Můžete to udělat pomocí následujícího příkazu:
/data/moloch/db/db.pl http://localhost:9200 init
Dále vytvořte uživatelský účet správce pro Arkime pomocí následujícího příkazu:
/data/moloch/bin/moloch_add_user.sh admin "Moloch SuperAdmin" mypassword --admin
Jakmile budete hotovi, můžete přejít k dalšímu kroku.
Spuštění a správa služeb Arkime
Arkime se skládá ze tří složek, capture, viewer a elasticsearch. Takže budete muset spustit službu pro každou komponentu.
Službu molochcapture a molochviewer můžete spustit a povolit jim spuštění při restartu systému pomocí následujícího příkazu:
systemctl enable --now molochcapture
systemctl enable --now molochviewer
Nyní můžete zkontrolovat stav obou služeb pomocí následujícího příkazu:
systemctl status molochcapture molochviewer
Měli byste získat následující výstup:
? molochcapture.service - Moloch Capture
Loaded: loaded (/etc/systemd/system/molochcapture.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-03-01 11:40:08 UTC; 10s ago
Main PID: 11313 (sh)
Tasks: 7 (limit: 4691)
Memory: 206.6M
CGroup: /system.slice/molochcapture.service
??11313 /bin/sh -c /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini >> /data/moloch/logs/capture.log 2>&1
??11315 /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini
Mar 01 11:40:08 ubuntu2004 systemd[1]: Starting Moloch Capture...
Mar 01 11:40:08 ubuntu2004 systemd[1]: Started Moloch Capture.
? molochviewer.service - Moloch Viewer
Loaded: loaded (/etc/systemd/system/molochviewer.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-03-01 11:40:13 UTC; 5s ago
Main PID: 11361 (sh)
Tasks: 12 (limit: 4691)
Memory: 51.9M
CGroup: /system.slice/molochviewer.service
??11361 /bin/sh -c /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini >> /data/moloch/logs/viewer.log 2>&1
??11362 /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini
Mar 01 11:40:13 ubuntu2004 systemd[1]: Started Moloch Viewer.
Nyní můžete zkontrolovat protokol prohlížeče pomocí následujícího příkazu:
tail -f /data/moloch/logs/viewer.log
Měli byste vidět následující výstup:
Express server listening on port 8005 in development mode
Chcete-li zkontrolovat protokol zachycení, spusťte následující příkaz:
tail -f /data/moloch/logs/capture.log
Měli byste vidět následující výstup:
Mar 1 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1209-5 806/154 0ms 51ms Mar 1 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 3737/327 0ms 51ms Mar 1 11:40:50 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 7246/451 0ms 51ms Mar 1 11:40:51 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=22 805/149 0ms 51ms Mar 1 11:40:53 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=23 805/149 0ms 52ms Mar 1 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1210-5 806/154 0ms 51ms Mar 1 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 2830/302 0ms 51ms
Přístup k webovému rozhraní Arkime
V tomto okamžiku je Arkime spuštěn a naslouchá na portu 8005. Můžete to zkontrolovat pomocí následujícího příkazu:
ss -antpl | grep 8005
Měli byste získat následující výstup:
LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20))
Nyní otevřete webový prohlížeč a přejděte do webového rozhraní Arkime pomocí adresy URL http://ip-ip-vašeho-serveru:8005 . Budete požádáni o zadání uživatelského jména a hesla správce, jak je uvedeno níže:
Zadejte své administrátorské uživatelské jméno, heslo a klikněte na Přihlásit se knoflík. Na následující stránce byste měli vidět řídicí panel Arkime:
Závěr
Gratulujeme! úspěšně jste nainstalovali a nakonfigurovali nástroj pro zachycení paketů Arkime na serveru Ubuntu 20.04. Nyní můžete prozkoumat Arkime pro více funkcí a začít zachycovat pakety. Pokud máte nějaké dotazy, neváhejte se mě zeptat.