Arkime는 대규모 네트워크 관제에 최적화된 오픈소스이다. 지정한 네트워크 인터페이스의 모든 네트워크 트래픽을 탐지하는데 내부 서버들끼리 통신하는 패킷도 탐지해버려서 쓸데없이 PCAP의 용량이 커지고, Elasticsearch의 성능에도 영향을 미친다. 따라서 쓸데없는 패킷은 탐지를 안하도록 설정할 필요성이 있다.

• Arkime FAQ 참조 : https://arkime.com/faq
  

Config.ini

아래의 모든 설정은 /data/moloch/etc/config.ini 파일에서 설정한다.

관련 설정값

• bpf
• dontSaveBPFs
• packet-drop-ips

# bpf

거부하고 싶은 트래픽을 필터링을 한다.

bpf=not port 9200 # 9200포트 필터링 (Elasticsearch)

# dontSaveBPFs

허용하지 않는 bpf 목록이다. port의 ':' 뒤에 필터당 저장할 패킷 수를 지정할 수도 있다.

• 세미콜론 ',' 으로 구분

donsSaveBPFs=port22:5 # 22번 포트에 대해 5개의 패킷만 저장한다.

# packet-drop-ips

Drop할 IP address를 지정한다. 위에 작성해놓은 bpf와는 조금 다른데 packet-drop-ips 는 패킷이 moloch-capture 프로세스에 직접 도달한다. (완전히 처리되지는 않음)

• 많은 범위의 ip를 drop시킬 때 bpf보다 유용하다.
• drop 범위에 포함되는 allow 범위를 만들수도 있다. (블랙리스트 정책)

*config.ini 파일의 아무곳에나 적으면 된다.

[packet-drop-ips]
192.168.1.0/24=drop # 192.168.1.1~255 Drop
192.168.1.10=allow  # 192.168.1.10은 Allow
fe60::5d9b:1ce3:3dc7:9fc2=drop # 물론 ipv6도 drop 가능함

설정 적용

systemctl restart molochcapture.service molochviewer.service

결과

가운데 세로 선 기준으로 패킷 필터링 설정 적용 전 / 패킷 필터링 설정 적용 후

탐지하는 패킷이 확줄었다. (뿌듯ㅎㅎ)