CyberScan
Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.
Scopri CyberScan →
Cyber Security
Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.
Scopri →Full packet capture scalabile
La full packet capture (fPCAP) — registrazione completa del traffico di rete — è il gold standard per la network forensics: permette analisi retrospettiva di qualsiasi incidente. Ma gestire terabyte di PCAP al giorno, con ricerca rapida e UI usabile, è un problema di ingegneria non banale.
Nel 2012 Andy Wick ed Elyse Rinne, ingegneri in AOL (poi confluita in Verizon Media / Yahoo), avviano il progetto Moloch: sistema di full packet capture indicizzato, con UI web e ricerca via Elasticsearch.
Nel luglio 2021, per risolvere un trademark issue legato al nome (Moloch è anche il nome di un personaggio Marvel/divinità storica), il progetto viene rinominato in Arkime. La release Arkime 3.0 del 27 luglio 2021 coincide con il rename. La licenza rimane Apache 2.0.
Architettura
Tre componenti principali:
- capture — processo C che cattura pacchetti dalle interfacce (AF_PACKET, DPDK, PF_RING), scrive PCAP su disco e invia metadata di sessione a Elasticsearch/OpenSearch
- viewer — UI web (Node.js) per ricerca, visualizzazione sessioni, download PCAP, grafici
- Elasticsearch/OpenSearch — indice dei metadati di sessione
Una sessione rappresenta un flusso (TCP/UDP) con metadati: IP src/dst, porte, byte, durata, protocollo applicativo rilevato, campi HTTP/TLS/DNS/SMB estratti.
Capture distribuito
Arkime scala orizzontalmente: più capture node alimentano un cluster Elasticsearch/OpenSearch comune. Il viewer espone una vista unificata con proxying dei PCAP ai rispettivi capture node su richiesta. Questo design permette deployment multi-sito (decine di Gbps totali, settimane o mesi di retention).
Parser protocollari
Arkime estrae metadati applicativi tramite parser integrati:
- HTTP — URI, host, user-agent, response code
- TLS — SNI, certificati (issuer, subject, fingerprint)
- DNS — query, response, type
- SMB, RDP, SSH, SMTP, FTP, IRC, Socks, MySQL, PostgreSQL, RADIUS, Quic
I campi estratti sono indicizzati e ricercabili in UI con SPI (Session Profile Information).
WISE: Wise Intelligence Support Engine
WISE è il sottosistema di arricchimento: permette di taggare sessioni in tempo reale con threat intelligence (feed MISP, liste personalizzate, GeoIP, ASN, reputazione). Supporta fonti file, Redis, URL HTTP, ElasticSearch.
Integrazione con Suricata e Zeek
Arkime può importare alert Suricata e associarli alle sessioni corrispondenti nel proprio indice, permettendo di passare in un clic dall’alert IDS al PCAP completo del flusso. Analoga integrazione per Zeek (ex Bro) via Zeek logs.
Cryptography e Y-stream
Arkime supporta rotating capture keys e memorizzazione cifrata dei PCAP. Il Y-stream è un’estensione per gestire traffico elevato con deduplica e chunking.
Adozione
- CERT e CSIRT nazionali — long-term packet retention
- University research networks — analisi retrospettiva
- Grandi enterprise e cloud provider — visibilità di rete in infrastrutture multi-tenant
- Threat hunting team — ricerca retrospettiva di TTPs
Nel contesto italiano
Arkime è utilizzato in:
- Backbone di ISP e data center — visibilità forense retroattiva
- SOC interno di grandi aziende — integrazione con Suricata + ELK
- Università e centri di ricerca — archivi PCAP per didattica e tesi
- PA con requisiti di retention — tracciabilità di incidenti regolamentati
Tra i full packet capture open source è il più maturo per scala e usabilità, con ecosistema stabile ereditato dall’esperienza AOL/Verizon.
Riferimenti: Arkime (precedentemente Moloch). Autori originari Andy Wick e Elyse Rinne, AOL (poi Verizon Media/Yahoo), 2012. Rename e release Arkime 3.0 il 27 luglio 2021 per trademark issue legato al nome Moloch. Licenza Apache 2.0. Indicizzazione su Elasticsearch/OpenSearch. Sito: https://arkime.com.