Moloch és un sistema que proporciona eines per avaluar visualment els fluxos de trànsit i cercar informació relacionada amb l'activitat de la xarxa. el projecte va ser creat en 2012 amb l'objectiu de crear un reemplaçament obert per a una plataforma comercial de processament de paquets de xarxa que pugui escalar a el nivell dels volums de trànsit d'AOL.
La introducció de el nou sistema en AOL va permetre aconseguir un control total sobre la infraestructura mitjançant la implementació en els seus servidors i reduir significativament els costos.
L'ús d'Moloch per capturar completament el trànsit en totes les xarxes d'AOL costa la mateixa quantitat que quan es feia servir una solució comercial que anteriorment es gastava en captura trànsit en una sola xarxa. El sistema es pot escalar per gestionar el trànsit a velocitats de desenes de gigabits per segon. La quantitat de dades emmagatzemades està limitada només per la grandària de la matriu de discos disponible. Les metadades de la sessió s'indexen en un clúster basat en el motor Elasticsearch.
sobre Moloch
Moloch inclou eines per capturar i indexar el trànsit en el format PCAP normal, així com per a un accés ràpid a les dades indexats.
Per analitzar la informació acumulada, es proposa una interfície web que permet navegar, cercar i exportar mostres. també es proporciona una API que li permet transferir dades sobre paquets capturats en format PCAP i sessions analitzades en format JSON a aplicacions de tercers. L'ús d'el format PCAP simplifica enormement la integració amb els analitzadors de trànsit existents, com Wireshark.
L'accés a Moloch està protegit mitjançant l'ús de HTTPS amb contrasenyes resumides o mitjançant l'ús d'un servidor intermediari d'autenticació que proporcioni el servidor web. Tots els PCAP s'emmagatzemen en els sensors i només s'accedeix a ells mitjançant la interfície Moloch o API. Moloch no està destinat a reemplaçar un IDS, sinó que treballa al costat d'ells per emmagatzemar i indexar tot el tràfic de xarxa en format PCAP estàndard, proporcionant un accés ràpid.
Moloch consta de tres components bàsics:
- Sistema de captura de trànsit: una aplicació de llenguatge C multiprocés per monitoritzar el trànsit, escriure bolcats de PCAP en el disc, analitzar paquets capturats i enviar metadades sobre sessions (SCI, inspecció de paquets amb estat) i protocols a l'clúster Elasticsearch. És possible emmagatzemar arxius PCAP en forma xifrada.
- Una interfície web basada en la plataforma NODE.JS, que s'executa a cada servidor de captura de trànsit i processa sol·licituds relacionades amb l'accés a dades indexats i la transferència d'arxius PCAP a través de l'API i repositori de metadades basat en Elasticsearch.
- La interfície web proporciona diverses maneres de visualització, Des estadístiques generals, mapes de connexió i gràfics visuals amb dades sobre canvis en l'activitat de la xarxa fins a eines per estudiar sessions individuals, analitzar l'activitat per protocol i analitzar les dades dels bolcats de PCAP.
El codi està escrit en llenguatge C (interfície NODE.JS / JavaScript) i es distribueix sota la llicència Apache 2.0. El treball en Linux i FreeBSD és compatible. Els paquets preparats per utilitzar estan preparats per a diferents versions de CentOS i Ubuntu.
Com instal.lar Moloch en Linux?
Per defecte s'ofereixen paquets construïts per Ubuntu i CentOS els quals podem obtenir des del lloc web oficial de el projecte.
Per al cas dels que utilitzen Ubuntu, poden obtenir el paquet teclejant algun dels següents ordres.
Per Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Per Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
Per realitzar la instal·lació n'hi ha prou amb teclejar:
sudo apt install ./moloch*.deb
En el cas dels que són usuaris de CentOS, els paquets disponibles els poden obtenir teclejant.
CentOS 6
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
CentOS 7
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
CentOS 8
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
Per realitzar la instal·lació n'hi ha prou amb teclejar:
sudo rpm install moloch*.rpm
Per al cas d'altres distribucions es pot realitzar la compilació teclejant:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Finalment per a la configuració, poden consultar la wiki des del següent enllaç.