下载学堂APP缓存视频离线看
- 畅销套餐
- 精选套餐
- 人气套餐
- 尊享套餐
- 课程介绍
- 课程大纲
适合人群:
Arkime是一个功能强大、易于部署的开源网络流量分析工具套件,用于完整的捕获斌分析数据包。本科课程适合想快速学习在Ubuntu系统中安装Arkime工具的学员
你将会学到:
通过安装、配置体验Arkime系统安装流程和网络流量分析方法
课程简介:
一、学习理由
目前网络中有关Arkime搭建的有效资料比较少,对于很多初学者而言搭建Arkime系统时往往要走很多弯路,通过学习本视频可以让网络工程师,在1~2小时内,学会在实验环境中搭建Arkime平台。
二、Arkime功能
Arkime是Moloch的升级版,主要功能如下:
1.可实现完整数据包捕获以及日志形式的网络流量数据(供Zeek分析使用)由于使用了轻量级转发器,有着高性能特征。
2.具有专业的仪表盘,提供网络流量的可视化功能。
3.安装简单,新版软件提供了基于Docker容器集群的功能。使Arkime能高效的在各种平台上部署。
应用广泛,Arkime使用在Security Onion和SELKS系统。
三、实验部署方式:单主机部署
单机部署比较简单,从交换机过来的镜像流量,保存pcap格式数据,然后将所有网络流量直接送入Elasticsearch建立存储索引,在通过viewer启动的Web界面供网络其他主机调用。流程图如下图所示。
四、Arkime核心组件功能
1)Capture:监控网络流量的服务器,将其以PCAP格式保存到磁盘,分析捕获的数据包,同时将元数据发往Elasticsearch;
2)Viewer :为每个 Capture 服务进程运行 node.js 应用程序。用来处理 PCAP 文件,实现到WebUI的转换;
3)Elasticsearch:为 Arkime 提供索引功能;
五、生产环境Arkime的硬件配置(初学跳过)
生产环境中该软件工作中造成CPU和磁盘的负载都非常高。所以下面给出一个硬件参考值
CPU 2 X 6
RAM 64~96GB
Disk storage RAID 1 (SSD更加)
六、课程主要内容
1)操作系统安装
2)Arkime安装配置
3)配置文件讲解
4)和Suricata联动
七、有关Malcolm下载问题
malcolm是一个基于Debian Linux的安全工具平台,大家在使用他之间需具备2个条件:
1.Github账号; 2.上网络条件良好(你懂得!),如果对github不了解 ,建议暂时不要进行malcolm安装。
下面我们进入malcolm官网下载页面:
网址:https://malcolm.fyi/docs/download.html#DownloadISOs
这里能找到下载版本:
https://github.com/idaholab/Malcolm/releases/latest
目前版本信息:ver 24.12.0
课程大纲-开源全流量捕获工具Arkime 4 安装教程
第1章Ubuntu下安装Arkime(28分钟4节)
1-3
Suricata联动实验本节实验,在Ubuntu系统中安装Suricata,并通过Arkime插件来读取Suricata的EVE.json日志文件,从而实现Arkime和Suricata之间的联动。
「仅限付费用户」点击下载“Suricata联动实验.pdf”
[04:29]开始学习1-4
Arkime系统中进行数据Session检索的技巧本实验演示了在众多Session中快速检索有用的数据,例如按照TCP,UDP协议检索的技巧。
「仅限付费用户」点击下载“arkime检索案例.docx”
[02:38]开始学习第2章开箱即用的 Arkime系统安装(6分钟1节)
2-1
虚拟机安装Malcolm--让Arkime安装变得更简单在Malcolm是基于Debian11的专用网络流量分析平台,对于初学者而言相当于一个开箱机用的平台,主要用来捕获网络数据包(PCAP)以及Suricata和Zeek日志。系统由一系列容器组成例如Arkime、Netbox、Suricata都作为独立的沙箱存在于系统中,使用便捷。本课程演示如何通过Vmware虚拟机安装、配置Malcom系统,而且还演示了Arkime的使用。
[06:19]开始学习
“李晨光”老师的其他课程更多+
