Moloch è un sistema che fornisce strumenti per valutare visivamente i flussi di traffico e cercare informazioni relative all'attività di rete. Il progetto è stato creato nel 2012 con l'obiettivo di creare un sostituto aperto per una piattaforma di trading elaborazione dei pacchetti di rete che può scalare al livello dei volumi di traffico AOL.
L'introduzione del nuovo sistema presso AOL ha consentito loro di ottenere il pieno controllo dell'infrastruttura implementandoli sui propri server e riducendo notevolmente i costi.
L'utilizzo di Moloch per acquisire completamente il traffico su tutte le reti AOL costa lo stesso importo di quando si utilizza una soluzione commerciale che in precedenza era impiegata per acquisire il traffico su una singola rete. Il sistema può essere ridimensionato per gestire il traffico a velocità di decine di gigabit al secondo. La quantità di dati archiviati è limitata solo dalla dimensione dell'array di dischi disponibile. I metadati della sessione vengono indicizzati in un cluster basato sul motore Elasticsearch.
A proposito di Moloch
Moloch include strumenti per acquisire e indicizzare il traffico nel formato PCAP normale, nonché per un rapido accesso ai dati indicizzati.
Per analizzare le informazioni accumulate, viene proposta un'interfaccia web che consente la navigazione, la ricerca e l'esportazione di campioni. Anche viene fornita un'API che consente di trasferire i dati sui pacchetti catturati in formato PCAP e analizzato le sessioni in formato JSON ad applicazioni di terze parti. L'utilizzo del formato PCAP semplifica notevolmente l'integrazione con analizzatori di traffico esistenti come Wireshark.
L'accesso a Moloch è protetto tramite HTTPS con password complesse o utilizzando un server proxy di autenticazione fornito dal server web. Tutti i PCAP sono memorizzati nei sensori e sono accessibili solo tramite l'interfaccia Moloch o l'API. Moloch non intende sostituire un IDS, ma lavora al loro fianco per archiviare e indicizzare tutto il traffico di rete nel formato PCAP standard, fornendo un accesso rapido.
Moloch Consiste di tre componenti di base:
- Sistema di cattura del traffico: un'applicazione in linguaggio C multithread per monitorare il traffico, scrivere dump PCAP su disco, analizzare i pacchetti acquisiti e inviare metadati su sessioni (SPI, stateful packet Inspection) e protocolli al cluster Elasticsearch. I file PCAP possono essere archiviati in forma crittografata.
- Un'interfaccia web basata sulla piattaforma Node.js, che viene eseguito su ogni server di acquisizione del traffico ed elabora le richieste relative all'accesso ai dati indicizzati e al trasferimento di file PCAP tramite il repository di metadati basato su Elasticsearch e l'API.
- L'interfaccia web fornisce varie modalità di visualizzazioneDalle statistiche generali, mappe di connessione e grafici visivi con dati sui cambiamenti nell'attività di rete agli strumenti per lo studio delle singole sessioni, l'analisi delle attività per protocollo e l'analisi dei dati dai dump PCAP.
Il codice è scritto in linguaggio C (interfaccia Node.js / JavaScript) ed è distribuito con licenza Apache 2.0. Il lavoro su Linux e FreeBSD è supportato. I pacchetti pronti all'uso sono preparati per diverse versioni di CentOS e Ubuntu.
Come installare Moloch su Linux?
Per impostazione predefinita, vengono offerti pacchetti creati per Ubuntu e CentOS, che possiamo ottenere dal sito Web ufficiale del progetto.
Nel caso di coloro che utilizzano Ubuntu, possono ottenere il pacchetto digitando uno dei seguenti comandi.
Per Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Per Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
Per installare, digita semplicemente:
sudo apt install ./moloch*.deb
Nel caso di coloro che sono utenti CentOS, i pacchetti disponibili possono essere ottenuti digitando.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
Per installare, digita semplicemente:
sudo rpm install moloch*.rpm
Per il caso di altre distribuzioni la compilazione può essere eseguita digitando:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Infine per la configurazione, puoi consultare il wiki dal collegamento sottostante.