Arkime, juga dikenal sebagai Moloch, adalah alat pencarian dan penangkapan paket terindeks sumber terbuka dan berskala besar. Ini menyimpan dan mengekspor semua paket yang diambil dalam format PCAP. Anda dapat menggunakan Wireshark atau alat menelan PCAP lainnya untuk menganalisis file yang diekspor PCAP. Arkime hadir dengan antarmuka web yang sederhana dan ramah pengguna yang dapat Anda gunakan untuk menjelajah, mencari, dan mengekspor PCAP. Ini dirancang untuk digunakan di beberapa sistem dan juga mampu menangani lalu lintas gigabit per detik.
Dalam posting ini, kami akan menunjukkan cara menginstal alat Arkime Packet Capture di Ubuntu 20.04.
Prasyarat
- Server yang menjalankan Ubuntu 20.04.
- Sandi root dikonfigurasi untuk server.
Memulai
Sebelum memulai, Anda perlu memperbarui paket sistem Anda ke versi terbaru. Anda dapat memperbaruinya dengan perintah berikut:
apt-get update -y
Setelah semua paket diperbarui, instal dependensi yang diperlukan menggunakan perintah berikut:
apt-get install gnupg2 curl wget -y
Setelah semua paket terinstal, Anda dapat melanjutkan ke langkah berikutnya.
Instal Elasticsearch
Arkime menggunakan Elasticsearch untuk pengindeksan dan pencarian. Jadi Elasticsearch harus diinstal di sistem Anda. Secara default, versi terbaru dari Elasticsearch tidak termasuk dalam repositori default Ubuntu. Jadi, Anda perlu menambahkan repositori Elasticsearch ke sistem Anda.
Pertama, tambahkan kunci GPG dengan perintah berikut:
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch --no-check-certificate | apt-key add -
Selanjutnya, tambahkan repositori Elasticsearch ke APT dengan perintah berikut:
echo "deb https://artifacts.elastic.co/packages/7.x/apt stable main" | tee -a /etc/apt/sources.list.d/elastic-7.x.list
Selanjutnya, perbarui repositori dan instal paket Elasticsearch dengan perintah berikut:
apt-get update -y
apt-get install elasticsearch -y
Setelah Elasticsearch terinstal, edit file konfigurasi Elasticsearch dan atur memori Java:
nano /etc/elasticsearch/jvm.options
Ubah baris berikut:
-Xms1g -Xmx1g
Simpan dan tutup file kemudian aktifkan layanan Elasticsearch untuk memulai pada sistem reboot dengan perintah berikut:
systemctl enable --now elasticsearch
Secara default, Elasticsearch mendengarkan pada port 9200. Anda dapat memeriksanya dengan perintah berikut:
ss -antpl | grep 9200
Anda akan mendapatkan output berikut:
LISTEN 0 4096 [::ffff:127.0.0.1]:9200 *:* users:(("java",pid=9518,fd=272))
LISTEN 0 4096 [::1]:9200 [::]:* users:(("java",pid=9518,fd=271))
Anda juga dapat memeriksa Elasticsearch dengan perintah berikut:
curl http://localhost:9200
Anda akan mendapatkan output berikut:
{
"name" : "ubuntu2004",
"cluster_name" : "elasticsearch",
"cluster_uuid" : "9g2B-tNaQl-rjuV32eCgpg",
"version" : {
"number" : "7.11.1",
"build_flavor" : "default",
"build_type" : "deb",
"build_hash" : "ff17057114c2199c9c1bbecc727003a907c0db7a",
"build_date" : "2021-02-15T13:44:09.394032Z",
"build_snapshot" : false,
"lucene_version" : "8.7.0",
"minimum_wire_compatibility_version" : "6.8.0",
"minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}
Pada titik ini, Elasticsearch diinstal dan dijalankan. Sekarang Anda dapat melanjutkan ke langkah berikutnya.
Instal dan Konfigurasi Arkime
Pertama, unduh Arkime versi terbaru dengan perintah berikut:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-20.04/moloch_2.7.1-1_amd64.deb
Setelah paket diunduh, instal paket yang diunduh dengan perintah berikut:
apt install ./moloch_2.7.1-1_amd64.deb
Setelah Arkime diinstal, konfigurasikan dengan perintah berikut:
/data/moloch/bin/Configure
Anda akan diminta untuk menentukan antarmuka jaringan seperti yang ditunjukkan di bawah ini:
Found interfaces: lo;eth0;eth1 Semicolon ';' seperated list of interfaces to monitor [eth1] eth0
Ketik nama antarmuka jaringan Anda dan tekan Enter untuk melanjutkan. Setelah konfigurasi selesai, Anda akan mendapatkan output berikut:
Install Elasticsearch server locally for demo, must have at least 3G of memory, NOT recommended for production use (yes or no) [no] no
Elasticsearch server URL [http://localhost:9200]
Password to encrypt S2S and other things [no-default]
Password to encrypt S2S and other things [no-default] mypassword
Moloch - Creating configuration files
Installing systemd start files, use systemctl
Moloch - Installing /etc/logrotate.d/moloch to rotate files after 7 days
Moloch - Installing /etc/security/limits.d/99-moloch.conf to make core and memlock unlimited
Download GEO files? (yes or no) [yes] yes
9) Visit http://MOLOCHHOST:8005 with your favorite browser.
user: admin
password: THEPASSWORD from step #6
If you want IP -> Geo/ASN to work, you need to setup a maxmind account and the geoipupdate program.
See https://molo.ch/faq#maxmind
Any configuration changes can be made to /data/moloch/etc/config.ini
See https://molo.ch/faq#moloch-is-not-working for issues
Additional information can be found at:
* https://molo.ch/faq
* https://molo.ch/settings
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Inisialisasi konfigurasi Arkime Elasticsearch
Selanjutnya, Anda perlu menginisialisasi konfigurasi Elasticsearch Arkime. Anda dapat melakukannya dengan perintah berikut:
/data/moloch/db/db.pl http://localhost:9200 init
Selanjutnya, buat akun pengguna admin untuk Arkime dengan perintah berikut:
/data/moloch/bin/moloch_add_user.sh admin "Moloch SuperAdmin" mypassword --admin
Setelah selesai, Anda dapat melanjutkan ke langkah berikutnya.
Memulai dan Mengelola Layanan Arkime
Arkime dibuat dari tiga komponen, capture, viewer, dan elasticsearch. Jadi, Anda perlu memulai layanan untuk setiap komponen.
Anda dapat memulai layanan molochcapture dan molochviewer dan mengaktifkannya untuk memulai pada sistem reboot dengan perintah berikut:
systemctl enable --now molochcapture
systemctl enable --now molochviewer
Anda sekarang dapat memeriksa status kedua layanan dengan perintah berikut:
systemctl status molochcapture molochviewer
Anda akan mendapatkan output berikut:
? molochcapture.service - Moloch Capture
Loaded: loaded (/etc/systemd/system/molochcapture.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-03-01 11:40:08 UTC; 10s ago
Main PID: 11313 (sh)
Tasks: 7 (limit: 4691)
Memory: 206.6M
CGroup: /system.slice/molochcapture.service
??11313 /bin/sh -c /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini >> /data/moloch/logs/capture.log 2>&1
??11315 /data/moloch/bin/moloch-capture -c /data/moloch/etc/config.ini
Mar 01 11:40:08 ubuntu2004 systemd[1]: Starting Moloch Capture...
Mar 01 11:40:08 ubuntu2004 systemd[1]: Started Moloch Capture.
? molochviewer.service - Moloch Viewer
Loaded: loaded (/etc/systemd/system/molochviewer.service; enabled; vendor preset: enabled)
Active: active (running) since Mon 2021-03-01 11:40:13 UTC; 5s ago
Main PID: 11361 (sh)
Tasks: 12 (limit: 4691)
Memory: 51.9M
CGroup: /system.slice/molochviewer.service
??11361 /bin/sh -c /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini >> /data/moloch/logs/viewer.log 2>&1
??11362 /data/moloch/bin/node viewer.js -c /data/moloch/etc/config.ini
Mar 01 11:40:13 ubuntu2004 systemd[1]: Started Moloch Viewer.
Anda sekarang dapat memeriksa log penampil dengan perintah berikut:
tail -f /data/moloch/logs/viewer.log
Anda akan melihat output berikut:
Express server listening on port 8005 in development mode
Untuk memeriksa log pengambilan, jalankan perintah berikut:
tail -f /data/moloch/logs/capture.log
Anda akan melihat output berikut:
Mar 1 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1209-5 806/154 0ms 51ms Mar 1 11:40:49 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 3737/327 0ms 51ms Mar 1 11:40:50 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 7246/451 0ms 51ms Mar 1 11:40:51 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=22 805/149 0ms 51ms Mar 1 11:40:53 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/stats/_doc/ubuntu2004?version_type=external&version=23 805/149 0ms 52ms Mar 1 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 201 http://localhost:9200/dstats/_doc/ubuntu2004-1210-5 806/154 0ms 51ms Mar 1 11:40:54 http.c:382 moloch_http_curlm_check_multi_info(): 1/30 ASYNC 200 http://localhost:9200/_bulk 2830/302 0ms 51ms
Mengakses Antarmuka Web Arkime
Pada titik ini Arkime dimulai dan mendengarkan pada port 8005. Anda dapat memeriksanya dengan perintah berikut:
ss -antpl | grep 8005
Anda akan mendapatkan output berikut:
LISTEN 0 511 *:8005 *:* users:(("node",pid=11362,fd=20))
Sekarang, buka browser web Anda dan akses antarmuka web Arkime menggunakan URL http://your-server-ip:8005 . Anda akan diminta untuk memberikan nama pengguna dan kata sandi admin Anda seperti yang ditunjukkan di bawah ini:
Berikan nama pengguna, kata sandi admin Anda, dan klik Masuk tombol. Anda akan melihat dasbor Arkime di halaman berikut:
Kesimpulan
Selamat! Anda telah berhasil menginstal dan mengonfigurasi alat tangkap paket Arkime di server Ubuntu 20.04. Anda sekarang dapat menjelajahi Arkime untuk fungsionalitas lebih dan mulai menangkap paket. Jangan ragu untuk bertanya kepada saya jika Anda memiliki pertanyaan.