implementing-network-traffic-analysis-with-arkime
部署并查询 Arkime(前身为 Moloch)进行全包捕获(Full Packet Capture)网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为(Beaconing),并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。
Best use case
implementing-network-traffic-analysis-with-arkime is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
部署并查询 Arkime(前身为 Moloch)进行全包捕获(Full Packet Capture)网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为(Beaconing),并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。
Teams using implementing-network-traffic-analysis-with-arkime should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/implementing-network-traffic-analysis-with-arkime/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How implementing-network-traffic-analysis-with-arkime Compares
| Feature / Agent | implementing-network-traffic-analysis-with-arkime | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
部署并查询 Arkime(前身为 Moloch)进行全包捕获(Full Packet Capture)网络流量分析。使用 Arkime API v3 搜索会话、下载 PCAP 文件、分析连接模式、检测信标行为(Beaconing),并识别可疑网络流量。监控捕获流量中的 DNS 查询、HTTP 流量和 TLS 证书异常。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
## 使用说明 1. 安装依赖:`pip install requests` 2. 配置 Arkime viewer URL 和认证凭据。 3. 运行 Agent 查询 Arkime 会话并分析流量: - 通过 IP、端口、协议或表达式搜索会话 - 下载 PCAP 数据用于取证分析 - 通过连接间隔分析检测 C2 信标行为(Beaconing) - 通过查询长度统计识别 DNS 隧道 - 标记连接到已知恶意 TLS 证书颁发者的会话 ```bash python scripts/agent.py --arkime-url https://arkime.local:8005 --user admin --password secret --output arkime_report.json ``` ## 示例 ### 信标检测(Beaconing Detection) ``` 源:10.1.2.50 -> 185.220.101.34:443 会话数:288(24 小时内) 平均间隔:300s,抖动率:4.2% 判定:高置信度 C2 信标行为(抖动率 < 5%) ```
Related Skills
scanning-network-with-nmap-advanced
使用 Nmap 的脚本引擎、时序控制、规避技术和输出解析,对授权目标网络执行高级网络侦察, 发现主机、枚举服务、检测漏洞并识别操作系统。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-static-malware-analysis-with-pe-studio
使用 PEStudio 对 Windows PE(可移植可执行文件)恶意软件样本进行静态分析, 检查文件头、导入表、字符串、资源和指标,无需执行二进制文件。 识别可疑特征,包括加壳、反分析技术和恶意导入。适用于静态恶意软件分析、 PE 文件检查、Windows 可执行文件分析或执行前恶意软件分级等请求场景。
performing-s7comm-protocol-security-analysis
对西门子SIMATIC S7 PLC使用的S7comm和S7CommPlus协议进行安全分析,识别漏洞,包括重放攻击、完整性绕过、未授权的CPU停止命令以及针对S7-300、S7-400、S7-1200和S7-1500控制器弱点的程序下载操控。
performing-plc-firmware-security-analysis
本技能涵盖分析可编程逻辑控制器(PLC)固件的安全漏洞,包括硬编码凭据、不安全的更新机制、后门功能、内存损坏缺陷和未记录的调试接口。涉及从常见PLC平台(西门子S7、Allen-Bradley、施耐德Modicon)提取固件、固件镜像静态分析、仿真环境中的动态分析,以及与已知良好基线的对比以检测篡改。
performing-ot-network-security-assessment
本技能涵盖对运营技术(OT)网络(包括SCADA系统、DCS架构和工业控制系统通信路径)进行全面安全评估。内容涉及Purdue参考模型各层、识别IT/OT融合风险、评估区域间防火墙规则,以及映射工业协议流量(Modbus、DNP3、OPC UA、EtherNet/IP),以检测关键基础设施中的错误配置、未授权连接和攻击面。
performing-network-traffic-analysis-with-zeek
部署 Zeek 网络安全监控器,捕获、解析和分析网络流量元数据,用于威胁检测、异常识别和取证调查。
performing-network-traffic-analysis-with-tshark
使用 tshark 和 pyshark 自动化网络流量分析,进行协议统计、可疑流量检测、DNS 异常识别以及从 PCAP 文件中提取威胁指标(IOC)
performing-network-packet-capture-analysis
使用 Wireshark、tshark 和 tcpdump 对网络数据包捕获(PCAP/PCAPNG)进行取证分析,重建网络通信、提取传输文件、识别恶意流量,并建立数据渗出或命令与控制活动的证据。
performing-network-forensics-with-wireshark
使用 Wireshark 和 tshark 捕获并分析网络流量,重建网络事件、提取制品并识别恶意通信。
performing-log-analysis-for-forensic-investigation
收集、解析和关联系统、应用程序及安全日志,以在取证调查期间重建事件并建立时间线。