Moloch er et system, der giver værktøjer til visuelt at vurdere trafikstrømme og søg efter information relateret til netværksaktivitet. Projektet blev oprettet i 2012 med det mål at skabe en åben erstatning for en handelsplatform netværkspakkebehandling, der kan skaleres til niveauet for AOL-trafikmængder.
Introduktionen af det nye system på AOL tillod dem at opnå fuld kontrol over infrastrukturen ved at installere dem på deres servere og reducere omkostningerne betydeligt.
Brug af Moloch til fuldt ud at fange trafik på alle AOL-netværk koster det samme beløb, som når du bruger en kommerciel løsning, der tidligere har brugt på at fange trafik på et enkelt netværk. Systemet kan skaleres til at håndtere trafik med hastigheder på snesevis af gigabit per sekund. Mængden af lagrede data er kun begrænset af størrelsen på det tilgængelige diskarray. Sessionsmetadata indekseres i en klynge baseret på Elasticsearch-motoren.
Om Moloch
Moloch inkluderer værktøjer til at indfange og indeksere trafik i PCAP-format normal samt hurtig adgang til indekserede data.
For at analysere de akkumulerede oplysninger foreslås en webgrænseflade der gør det muligt at gennemse, søge og eksportere prøver. Også en API leveres, der giver dig mulighed for at overføre data om fangede pakker i PCAP-format og analyserede sessioner i JSON-format til tredjepartsapplikationer. Brug af PCAP-formatet forenkler i høj grad integrationen med eksisterende trafikanalysatorer som Wireshark.
Adgang til Moloch er beskyttet ved hjælp af HTTPS med stærke adgangskoder eller ved hjælp af en godkendende proxyserver, der leveres af webserveren. Alle PCAP'er er gemt i sensorerne og er kun tilgængelige via Moloch-interface eller API. Moloch er ikke beregnet til at erstatte en IDS, men arbejder sammen med dem for at gemme og indeksere al netværkstrafik i standard PCAP-format, hvilket giver hurtig adgang.
Molok Den består af tre grundlæggende komponenter:
- Trafikfangstsystem: et multitrådet C-sprogapplikation til at overvåge trafik, skrive PCAP-dumps til disken, analysere indfangede pakker og sende metadata om sessioner (SPI, stateful pakkeinspektion) og protokoller til Elasticsearch-klyngen. PCAP-filer kan gemmes i krypteret form.
- En webgrænseflade baseret på Node.js-platformen, der kører på hver trafikopsamlingsserver og behandler anmodninger relateret til adgang til indekserede data og overførsel af PCAP-filer via det Elasticsearch-baserede metadatalager og API.
- Web-interface giver forskellige visningstilstandeFra generel statistik, forbindelseskort og visuelle grafer med data om ændringer i netværksaktivitet til værktøjer til at studere individuelle sessioner, analysere aktivitet efter protokol og analysere data fra PCAP-lossepladser.
Koden er skrevet på C-sprog (Node.js / JavaScript-interface) og distribueres under Apache 2.0-licensen. Arbejde med Linux og FreeBSD understøttes. De brugsklare pakker er forberedt til forskellige versioner af CentOS og Ubuntu.
Hvordan installeres Moloch på Linux?
Som standard tilbydes pakker bygget til Ubuntu og CentOS, som vi kan få fra projektets officielle hjemmeside.
I tilfælde af dem, der bruger Ubuntu, kan de få pakken ved at skrive en af følgende kommandoer.
Til Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Til Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
For at installere skal du bare skrive:
sudo apt install ./moloch*.deb
I tilfælde af dem, der er CentOS-brugere, kan de tilgængelige pakker opnås ved at skrive.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
For at installere skal du bare skrive:
sudo rpm install moloch*.rpm
I tilfælde af andre distributioner kompilering kan gøres ved at skrive:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Endelig for konfigurationen kan du konsultere wiki fra nedenstående link.