أدوات التقاط الشبكة

يوفر خادم أدوات network_capture إمكانيات التقاط الحزم (tcpdump) وتحليل ملفات PCAP (tshark) من خلال تنفيذ آمن للعمليات الفرعية.

متطلبات صلاحيات Linux

يتطلب التقاط الحزم صلاحية CAP_NET_RAW. بدونها سيفشل tcpdump مع خطأ في الصلاحيات.

Docker (الطريقة الموصى بها)

خدمة docker-compose.yml تصرّح بالصلاحية مسبقاً:

services:
  agent-network-analyzer:
    cap_add:
      - NET_RAW

النشر على خادم مباشر أو آلة افتراضية

امنح الصلاحية لملف tcpdump مباشرة:

sudo setcap cap_net_raw+eip $(which tcpdump)

أو شغّل عملية وكيل AuroraSOC مع الصلاحيات المحيطة:

sudo capsh --caps="cap_net_raw+eip cap_setpcap,cap_setuid,cap_setgid+ep" \
  --keep=1 --user=aurorasoc --addamb=cap_net_raw \
  -- -c "AGENT_NAME=NetworkAnalyzer AGENT_PORT=9016 AGENT_TAGS=ndr,network,readonly python -m aurorasoc.agents.generic_server"

التحقق

# تحقق من أن tcpdump يملك الصلاحية
getcap $(which tcpdump)
# المتوقع: /usr/bin/tcpdump cap_net_raw=eip

# اختبار سريع (التقاط 5 حزم على واجهة loopback)
tcpdump -i lo -c 5 -w /dev/null

ملاحظات أمنية

تُكتب ملفات الالتقاط في مجلد قابل للتهيئة (الافتراضي /tmp/aurorasoc-captures). تأكد من صلاحيات المجلد المناسبة.
يتم التحقق من تعبيرات مرشح BPF قبل تمريرها إلى tcpdump. تُرفض المحارف الخاصة بالصدفة.
يستخدم تحليل tshark وضع create_subprocess_exec (بدون صدفة) لمنع حقن الأوامر.

متطلبات صلاحيات Linux​

Docker (الطريقة الموصى بها)​

النشر على خادم مباشر أو آلة افتراضية​

التحقق​

ملاحظات أمنية​

متطلبات صلاحيات Linux

Docker (الطريقة الموصى بها)

النشر على خادم مباشر أو آلة افتراضية

التحقق

ملاحظات أمنية