🚀 Горячий релизC

arkime /

arkime

Arkime — open source система для полномасштабного захвата, индексации и хранения сетевых пакетов в базе данных.

Открыть на GitHub

Форки

1.1k

Звёзды

7.4k

Issues

Arkime — система для захвата и анализа сетевого трафика в промышленных масштабах. Помогает индексировать пакеты и искать по ним через удобный веб-интерфейс.

Что делает

Arkime перехватывает сетевой трафик, сохраняет его в формате PCAP и индексирует метаданные в Elasticsearch или OpenSearch. Это превращает поток сырых данных в базу, по которой можно делать запросы как по обычному логу.

Вместо того чтобы вручную парсить дампы через Wireshark, ты получаешь готовый интерфейс. Он показывает историю соединений, сессии и конкретные пакеты в браузере. Это экономит часы на разборе инцидентов.

Как работает

Система состоит из двух частей: захватчик (capture) на C и веб-интерфейс на Node.js. Захватчик слушает сетевой интерфейс, пишет PCAP-файлы на диск и отправляет метаданные в индекс. Веб-часть визуализирует эти данные для пользователя.

Для хранения метаданных Arkime использует кластеры Elasticsearch или OpenSearch. Без базы данных он не заработает.

Кому подходит

Разработчикам систем безопасности, которым нужен лог сети для расследования атак.

Тем, кто строит мониторинг инфраструктуры и хочет видеть все запросы между микросервисами.

Командам, которые создают свои инструменты аналитики трафика на базе готовых индексов.

Основные возможности

Полномасштабный захват пакетов без потери данных.

Индексация метаданных в Elasticsearch или OpenSearch.

Веб-интерфейс для поиска и фильтрации сессий по IP, портам и протоколам.

Поддержка экспорта данных в формате PCAP для анализа в стороннем софте.

Модульная архитектура для расширения функционала.

Инструменты для управления пользователями и доступа к данным.

Как установить

Для запуска в Docker используй официальный образ. Убедись, что у тебя поднят кластер Elasticsearch.

docker run -d --name arkime -p 8005:8005 arkime/arkime:latest

После запуска интерфейс будет доступен по адресу `http://localhost:8005`. Настрой подключение к базе в конфигурационном файле.

Как применить в своём продукте

Ты можешь использовать Arkime как бэкенд для своего SaaS-решения по кибербезопасности. Вместо написания своего парсера пакетов, используй его API для получения данных, а сверху накрути красивый дашборд.

Встроить Arkime как движок глубокого анализа трафика в корпоративный мониторинг.

Использовать его API для автоматической генерации отчетов по сетевой активности пользователей.

Создать надстройку для визуализации аномалий, используя индексы, которые уже подготовил Arkime.

Подводные камни

Главная сложность — инфраструктура. Arkime требует мощного сервера с быстрым диском под PCAP-файлы и отдельного кластера Elasticsearch для метаданных. Если не настроить ротацию индексов, место на диске закончится за пару дней.

Для новичка настройка связки «захватчик + база» может показаться избыточной. Это инструмент для тяжелых задач, а не для пет-проектов на Raspberry Pi.

Частые вопросы

Можно ли использовать Arkime без Elasticsearch?

Нет, система критически зависит от Elasticsearch или OpenSearch для хранения и поиска метаданных. Без базы данных поиск по огромному объему захваченных пакетов станет невозможным, а веб-интерфейс не получит данных для отображения.

Насколько сильно он грузит сеть?

Arkime работает на уровне ядра, поэтому он очень быстрый. Однако при трафике в несколько гигабит в секунду потребуется выделенный сервер с хорошей сетевой картой и оптимизированным хранилищем.

В чем отличие от Wireshark?

Wireshark — это инструмент для детального анализа одного файла на твоем компьютере. Arkime — это система для постоянного мониторинга сети 24/7 с индексацией миллионов сессий.

Топики

big-data c javascript network-monitoring nsm packet-capture pcap security

Похожие репозитории

radare2

radare2 — мощный консольный комбайн для анализа бинарных файлов и обратной разработки. Инструмент для тех, кто хочет разбирать чужой код без исходников.

C23.3k

obs-studio

OBS Studio — стандарт индустрии для захвата видео и трансляций. Позволяет записывать экран, микшировать источники и стримить в любую точку.

C72.9k

joplin

Joplin — open source альтернатива Evernote с шифрованием и синхронизацией. Идеален для создания базы знаний, которую вы полностью контролируете.

TypeScript55.1k

lx-music-desktop

LX Music — мощный кроссплатформенный плеер на Electron, собирающий музыку с разных источников в один интерфейс. Идеален для создания своего музыкального хаба.

TypeScript51.4k

Предыдущий репозиторийClawXClawX — десктопный GUI для управления AI-агентами OpenClaw. Заменяет терминал на визуальный интерфейс для запуска и настройки оркестрации агентов.Следующий репозиторийclashmiClashmi — кроссплатформенный клиент на базе ядра Mihomo для управления сетевым трафиком. Помогает обходить блокировки и настраивать прокси на iOS, macOS, Android, Windows и Linux.

Данные обновлены: 16 апреля 2026 г.