Moloch on järjestelmä, joka tarjoaa työkaluja liikennevirtojen visuaaliseen arviointiin ja etsiä verkon toimintaan liittyviä tietoja. Projekti perustettiin vuonna 2012 tavoitteena luoda avoin korvaus kaupankäyntialustalle verkkopakettien käsittely, joka voi skaalata AOL-liikennemäärien tasolle.
Uuden järjestelmän käyttöönotto AOL: ssa antoi heille mahdollisuuden saavuttaa täysi hallinta infrastruktuurissa sijoittamalla ne palvelimilleen ja vähentämällä merkittävästi kustannuksia.
Molochin käyttäminen liikenteen sieppaamiseen kaikilla AOL-verkoilla maksaa yhtä paljon kuin käytettäessä kaupallista ratkaisua, joka aiemmin vietti liikenteen sieppaamista yhdessä verkossa. Järjestelmä voidaan skaalata käsittelemään liikennettä kymmenien gigabittien sekunnissa. Tallennettujen tietojen määrää rajoittaa vain käytettävissä olevan levyjärjestelmän koko. Istunnon metatiedot on indeksoitu klusterissa, joka perustuu Elasticsearch-moottoriin.
Tietoa henkilöstä Moloch
Moloch sisältää työkaluja liikenteen sieppaamiseen ja indeksointiin PCAP-muodossa normaali sekä indeksoitujen tietojen nopea pääsy.
Kertyneen tiedon analysoimiseksi ehdotetaan verkkoliittymää joka sallii näytteiden selaamisen, etsimisen ja viennin. Liian toimitetaan API, jonka avulla voit siirtää tietoja siepatuista paketeista PCAP-muodossa ja analysoidut istunnot JSON-muodossa kolmansien osapuolten sovelluksille. PCAP-muodon käyttö yksinkertaistaa huomattavasti integrointia olemassa oleviin liikenteen analysaattoreihin, kuten Wiresharkiin.
Pääsy Molochiin on suojattu HTTPS: llä vahvoilla salasanoilla tai käyttämällä verkkopalvelimen tarjoamaa autentikoivaa välityspalvelinta. Kaikki PCAP: t tallennetaan antureihin, ja niihin pääsee vain Moloch-käyttöliittymän tai API: n kautta. Molochin ei ole tarkoitus korvata IDS: ää, mutta se toimii niiden rinnalla kaiken verkkoliikenteen tallentamiseksi ja indeksoimiseksi tavallisessa PCAP-muodossa tarjoamalla nopean pääsyn.
Moloch Se koostuu kolmesta peruskomponentista:
- Liikenteen sieppausjärjestelmä: monisäikeinen C-kielisovellus liikenteen seuraamiseen, PCAP-kaatopaikkojen kirjoittamiseen levylle, siepattujen pakettien analysoimiseksi ja istuntojen metatietojen (SPI, tilallinen pakettitarkastus) ja protokollien lähettämiseksi Elasticsearch-klusterille. PCAP-tiedostot voidaan tallentaa salatussa muodossa.
- Node.js-alustaan perustuva verkkokäyttöliittymä, joka toimii jokaisella liikenteensiirtopalvelimella ja käsittelee hakemistoon liittyvien tietojen käyttämiseen ja PCAP-tiedostojen siirtämiseen liittyviä pyyntöjä Elasticsearch-pohjaisen metatietovaraston ja sovellusliittymän kautta.
- Verkkoliitäntä tarjoaa erilaisia näyttötilojaYleisistä tilastoista, yhteyskartoista ja visuaalisista kaavioista, joissa on tietoja verkon toiminnan muutoksista, työkaluihin yksittäisten istuntojen tutkimiseen, toiminnan analysoimiseksi protokollalla ja PCAP-kaatopaikkojen tietojen analysointiin.
Koodi on kirjoitettu C-kielellä (Node.js / JavaScript-käyttöliittymä) ja jaettu Apache 2.0 -lisenssillä. Linux- ja FreeBSD-työ on tuettu. Käyttövalmiit paketit valmistellaan CentOS: n ja Ubuntun eri versioille.
Kuinka asentaa Moloch Linuxiin?
Oletuksena tarjotaan Ubuntulle ja CentOSille rakennettuja paketteja, jotka voimme hankkia projektin virallisilta verkkosivuilta.
Niiden tapauksessa, jotka käyttävät Ubuntua, he voivat hankkia paketin kirjoittamalla minkä tahansa seuraavista komennoista.
Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
Asenna vain kirjoittamalla:
sudo apt install ./moloch*.deb
CentOS-käyttäjille saatavilla olevat paketit voidaan hankkia kirjoittamalla.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
Asenna vain kirjoittamalla:
sudo rpm install moloch*.rpm
Muiden jakelujen tapauksessa kokoaminen voidaan tehdä kirjoittamalla:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Lopuksi konfiguroinnista saat lisätietoja wiki alla olevasta linkistä.