Moloch est un système qui fournit des outils pour évaluer visuellement les flux de trafic et rechercher des informations relatives à l'activité du réseau. Le projet a été créé en 2012 dans le but de créer un remplaçant ouvert pour une plateforme de trading traitement des paquets réseau qui peut évoluer au niveau des volumes de trafic AOL.
L'introduction du nouveau système chez AOL leur a permis d'obtenir un contrôle total sur l'infrastructure en les déployant sur leurs serveurs et en réduisant considérablement les coûts.
L'utilisation de Moloch pour capturer entièrement le trafic sur tous les réseaux AOL coûte le même montant que lors de l'utilisation d'une solution commerciale qui passait auparavant à capturer le trafic sur un seul réseau. Le système peut être mis à l'échelle pour gérer le trafic à des vitesses de dizaines de gigabits par seconde. La quantité de données stockées n'est limitée que par la taille de la matrice de disques disponible. Les métadonnées de session sont indexées dans un cluster basé sur le moteur Elasticsearch.
À propos de Moloch
Moloch comprend des outils pour capturer et indexer le trafic au format PCAP normal, ainsi que pour un accès rapide aux données indexées.
Pour analyser les informations accumulées, une interface web est proposée qui permet de parcourir, rechercher et exporter des échantillons. Aussi une API est fournie qui vous permet de transférer des données sur les paquets capturés au format PCAP et analysé les sessions au format JSON vers des applications tierces. L'utilisation du format PCAP simplifie considérablement l'intégration avec les analyseurs de trafic existants tels que Wireshark.
L'accès à Moloch est protégé en utilisant HTTPS avec des mots de passe forts ou en utilisant un serveur proxy d'authentification fourni par le serveur Web. Tous les PCAP sont stockés dans les capteurs et ne sont accessibles que via l'interface Moloch ou l'API. Moloch n'est pas destiné à remplacer un IDS, mais travaille à ses côtés pour stocker et indexer tout le trafic réseau au format PCAP standard, offrant un accès rapide.
Moloch Il se compose de trois éléments de base:
- Système de capture du trafic: une application en langage C multithread pour surveiller le trafic, écrire des vidages PCAP sur le disque, analyser les paquets capturés et envoyer des métadonnées sur les sessions (SPI, inspection de paquets avec état) et les protocoles au cluster Elasticsearch. Les fichiers PCAP peuvent être stockés sous forme cryptée.
- Une interface web basée sur la plateforme Node.js, qui s'exécute sur chaque serveur de capture de trafic et traite les demandes liées à l'accès aux données indexées et au transfert des fichiers PCAP via le référentiel de métadonnées basé sur Elasticsearch et l'API.
- L'interface Web propose différents modes d'affichageDes statistiques générales, des cartes de connexion et des graphiques visuels avec des données sur les changements dans l'activité du réseau aux outils pour étudier les sessions individuelles, analyser l'activité par protocole et analyser les données des décharges PCAP.
Le code est écrit en langage C (interface Node.js / JavaScript) et est distribué sous la licence Apache 2.0. Le travail sous Linux et FreeBSD est pris en charge. Les packages prêts à l'emploi sont préparés pour différentes versions de CentOS et Ubuntu.
Comment installer Moloch sur Linux?
Par défaut, des packages construits pour Ubuntu et CentOS sont proposés, que nous pouvons obtenir sur le site officiel du projet.
Pour ceux qui utilisent Ubuntu, ils peuvent obtenir le package en tapant l'une des commandes suivantes.
Pour Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Pour Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
Pour l'installer, tapez simplement:
sudo apt install ./moloch*.deb
Dans le cas de ceux qui sont des utilisateurs CentOS, les packages disponibles peuvent être obtenus en tapant.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
Pour l'installer, tapez simplement:
sudo rpm install moloch*.rpm
Pour le cas des autres distributions la compilation peut être effectuée en tapant:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Enfin pour la configuration, vous pouvez consulter le wiki à partir du lien ci-dessous.