Netzwerkanalyse mit Arkime
Verbindungen durchleuten
Veröffentlicht in Ausgabe 02/2026 - PRAXIS
Für IT-Abteilungen spielt das Monitoring von Systemen und Netzwerktraffic eine zentrale Rolle im täglichen Betrieb. Üblicherweise sammeln SIEM-Systeme Logdaten aus verschiedenen Quellen, bereiten diese auf und korrelieren Ereignisse. Als Analyst kennen Sie die Situation: Detektionsmechanismen melden Auffälligkeiten oder Indikatoren für Angriffe, doch zur eigentlichen Analyse stehen Ihnen oft nur Metadaten oder abstrakte Logzeilen zur Verfügung. Für eine fundierte Bewertung wünschen Sie sich in solchen Momenten einen tieferen Einblick.
Genau hier setzt Arkime an. Die Entwickler verfolgen das Ziel, Ihnen den direkten Zugriff auf aufgezeichneten Netzwerktraffic zu ermöglichen. Das Tool speichert Livetraffic gemeinsam mit den passenden Metadaten und stellt diese Daten jederzeit performant zur Suche bereit. So identifizieren Sie verdächtige Verbindungen gezielt und analysieren sie im Detail. Arkime ist weder ein Intrusion-Detection-System noch ein Anomalie-Scanner. Es ist ein Werkzeug, mit dem Sie jederzeit nachvollziehen können, wie eine konkrete Netzwerkverbindung tatsächlich ausgesehen hat.
Auswertung im Webfrontend
Betrachten wir ein typisches Szenario: Sie erhalten eine Warnung, dass eine Workstation mit einem möglicherweise kompromittierten Server kommuniziert hat. Die Firewalllogs liefern Ihnen Quell- und Ziel-IP, Ports und Zeitstempel. Ob es sich dabei um eine TLS-Verbindung handelte, welches Zertifikat zum Einsatz kam oder ob bereits Daten abgeflossen sind, lässt sich daraus jedoch nicht erkennen. Erst der Blick in den tatsächlichen Datenstrom liefert diese Informationen. Gleichzeitig entdecken Sie dabei oft weitere Indikatoren für eine mögliche Kompromittierung innerhalb Ihres Netzwerks.
Für IT-Abteilungen spielt das Monitoring von Systemen und Netzwerktraffic eine zentrale Rolle im täglichen Betrieb. Üblicherweise sammeln SIEM-Systeme Logdaten aus verschiedenen Quellen, bereiten diese auf und korrelieren Ereignisse. Als Analyst kennen Sie die Situation: Detektionsmechanismen melden Auffälligkeiten oder Indikatoren für Angriffe, doch zur eigentlichen Analyse stehen Ihnen oft nur Metadaten oder abstrakte Logzeilen zur Verfügung. Für eine fundierte Bewertung wünschen Sie sich in solchen Momenten einen tieferen Einblick.
Genau hier setzt Arkime an. Die Entwickler verfolgen das Ziel, Ihnen den direkten Zugriff auf aufgezeichneten Netzwerktraffic zu ermöglichen. Das Tool speichert Livetraffic gemeinsam mit den passenden Metadaten und stellt diese Daten jederzeit performant zur Suche bereit. So identifizieren Sie verdächtige Verbindungen gezielt und analysieren sie im Detail. Arkime ist weder ein Intrusion-Detection-System noch ein Anomalie-Scanner. Es ist ein Werkzeug, mit dem Sie jederzeit nachvollziehen können, wie eine konkrete Netzwerkverbindung tatsächlich ausgesehen hat.
Auswertung im Webfrontend
Betrachten wir ein typisches Szenario: Sie erhalten eine Warnung, dass eine Workstation mit einem möglicherweise kompromittierten Server kommuniziert hat. Die Firewalllogs liefern Ihnen Quell- und Ziel-IP, Ports und Zeitstempel. Ob es sich dabei um eine TLS-Verbindung handelte, welches Zertifikat zum Einsatz kam oder ob bereits Daten abgeflossen sind, lässt sich daraus jedoch nicht erkennen. Erst der Blick in den tatsächlichen Datenstrom liefert diese Informationen. Gleichzeitig entdecken Sie dabei oft weitere Indikatoren für eine mögliche Kompromittierung innerhalb Ihres Netzwerks.
Mit Arkime öffnen Sie einfach das Webfrontend, geben die verdächtige IP-Adresse ein und grenzen den Zeitraum ein. Innerhalb kürzester Zeit sehen Sie die Anzahl der Sessions, verwendete Protokolle und Paketgrößen. Öffnen Sie eine Session, zeigt Arkime detaillierte Informationen direkt aus der gespeicherten PCAP-Datei. So verschaffen Sie sich schnell einen Überblick über die tatsächlich übertragenen Daten.
In weiteren Ansichten stellt Arkime die gesammelten Verbindungsdaten strukturiert dar. Unter "SPIView" erhalten Sie eine Übersicht aller Sessions, gefiltert nach Protokollen oder anderen Kriterien. Der Menüpunkt "Connections" visualisiert die Kommunikation zwischen IP-Adressen als Graph und hilft insbesondere in größeren Netzwerken dabei, häufig genutzte Zielsysteme zu identifizieren. Diese lassen sich direkt in die Suche übernehmen. Über den Punkt "Hunt" formulieren Sie gezielte Suchanfragen, die Arkime kontinuierlich auswertet, wie im Bild gezeigt.
Arkime installieren
Arkime nutzt Elasticsearch als Datenbank für Metadaten und Indizes. Die Software arbeitet derzeit noch nicht vollständig stabil mit den neuesten Elasticsearch-Versionen zusammen. Daher empfiehlt sich der Einsatz einer bewährten Version. Dank vorhandener Docker-Images ist die Einrichtung unkompliziert.
Starten Sie zunächst Elasticsearch mit:
docker run -d -p 9200:9200 -p 9300:9300 \
-v ./esdata:/usr/share/ elasticsearch/data \
-e discovery.type=single-node \
docker.elastic.co/elasticsearch/ elasticsearch:7.17.27
Das offizielle Arkime-Docker-Image enthält alle benötigten Komponenten. Sie nutzen es sowohl für Capture-Nodes als auch für den Webviewer. Zunächst initialisieren Sie damit die Datenbank:
docker run -ti --network host \
ghcr.io/arkime/arkime/arkime: v5-latest \
/bin/bash -c "/opt/arkime/db/db.pl http://127.0.0.1:9200 init"
Anschließend starten Sie den Capture-Node. Der Container benötigt erweiterte Rechte, um auf das Netzwerkinterface des Hosts zugreifen zu können. Zusätzlich binden Sie die Volumes für Konfiguration und PCAP-Daten ein. Wichtige Optionen, wie das zu verwendende Netzwerkinterface, übergeben Sie per Umgebungsvariable:
docker run -d --cap-add NET_ADMIN --cap-add NET_RAW \
-e ARKIME_interface=wlp0s20f3 \
-e ARKIME_pcapDir=/opt/arkime/raw \
--network host \
-v ./raw:/opt/arkime/raw \
-v ./etc:/opt/arkime/etc \
ghcr.io/arkime/arkime/arkime: v5-latest \
/opt/arkime/bin/docker.sh capture
Für produktive Umgebungen empfiehlt es sich, eine Netzwerkkarte direkt an einen Mirror- oder Monitoring-Port des zentralen Switches anzuschließen, um den gesamten relevanten Traffic zu erfassen. Sobald die Erfassung läuft, starten Sie den Webviewer:
docker run -d \
-e ARKIME_pcapDir=/opt/arkime/raw \
--network host \
-v ./raw:/opt/arkime/raw \
-v ./etc:/opt/arkime/etc \
ghcr.io/arkime/arkime/arkime: v5-latest \
/opt/arkime/bin/docker.sh viewer
Erstellen Sie nun einen Benutzer mit Administratorrechten. Ermitteln Sie dazu zunächst den Namen oder die ID des Viewer-Containers mit
docker ps. Anschließend legen Sie den Benutzer an:docker exec -ti <Containername> \
/opt/arkime/bin/arkime_add_user.sh itadmin "IT-Administrator" itadmin --admin
Öffnen Sie danach im Browser die URL "http://localhost:8005" und melden Sie sich mit den Zugangsdaten an. Sie haben nun Zugriff auf die ersten aufgezeichneten Netzwerkpakete.
Verteilte Architektur
Für Tests oder kleinere Umgebungen reicht ein einfaches Setup aus. Ein einzelner Server übernimmt alle Rollen, zeichnet den Traffic über ein lokales Interface auf und speichert die PCAPs direkt lokal. So lernen Sie Arkime kennen, etablieren erste Analyse-Workflows und kommen ohne komplexe Netzwerkmirroring-Strukturen oder aufwendige Rechtekonzepte aus. Mit steigendem Datenvolumen oder mehreren zu überwachenden Netzbereichen stößt dieses Modell jedoch an Grenzen.
Der nächste Schritt ist eine verteilte Architektur. Arkime lässt sich nahezu beliebig horizontal skalieren. Mehrere Capture-Nodes erfassen den Traffic in unterschiedlichen Netzsegmenten, extrahieren Metadaten und senden diese an einen gemeinsamen Elasticsearch-Cluster. Der Viewer greift zentral auf diesen Index zu und stellt Ihnen alle Sessions standortübergreifend in einer einheitlichen Oberfläche dar. Für die forensische Arbeit exportieren Sie nur noch die tatsächlich benötigten PCAPs direkt vom jeweiligen Capture-Node. Für hohe Datenmengen empfiehlt sich ein Elastic-search-Cluster, um Suchanfragen performant zu halten.
Bei hohem Trafficaufkommen stellt sich zudem die Frage nach dem Speicher-backend. Sie können PCAP-Dateien lokal auf den Capture-Nodes speichern oder einen zentralen Storage nutzen, etwa ein NAS oder ein dediziertes Ceph-Cluster. Beide Ansätze haben Vor- und Nachteile. Entscheidend ist, dass Sie Aufbewahrungsrichtlinien definieren, damit Arkime alte PCAPs automatisch rotiert und Speichergrenzen einhält. Entsprechende Warnungen finden Sie in den Arkime-Logs.
In der Praxis entsteht eine Arkime-Architektur selten vollständig am Reißbrett. Meist wächst sie mit den Anforderungen: Sie beginnen im Labor, ergänzen später einen Capture-Node für die DMZ und erweitern das Setup schließlich auf mehrere Standorte oder Netzbereiche.
Fazit
Wenn Sie im Rahmen einer forensischen Analyse auf detaillierte Trafficdaten angewiesen sind oder nachvollziehen möchten, wie eine vergangene Verbindung tatsächlich aussah, ist Arkime ein hilfreiches Werkzeug. Ähnlich wie bei Wireshark analysieren Sie Pakete im Detail und profitieren zusätzlich von einer indexierten Datenbank. Das vereinfacht die Suche erheblich. Unser Security-Tipp hat gezeigt, was für ein leistungsfähiges Werkzeug Arkime in Sachen Netzwerkanalyse ist. Es fügt sich gut in den Alltag von IT-Abteilungen ein, schafft Transparenz im Netzwerkverkehr und bleibt dabei überschaubar in der Komplexität.
(dr)
Links
[1] Arkime: https://it-a.eu/q2pd1