מולוך, מערכת אינדקס תעבורת רשת קוד פתוח

מולוך היא מערכת המספקת כלים להערכה חזותית של זרימת התנועה ולחפש מידע הקשור לפעילות ברשת. הפרויקט נוצר בשנת 2012 במטרה ליצור תחליף פתוח לפלטפורמת מסחר עיבוד מנות רשת שיכול להתמקד לרמת נפחי התעבורה של AOL.

הצגת המערכת החדשה ב- AOL אפשרה להם להשיג שליטה מלאה בתשתית על ידי פריסתם על השרתים שלהם והפחתה משמעותית בעלויות.

השימוש במולוך כדי לתפוס באופן מלא תעבורה בכל רשתות ה- AOL עולה סכום זהה לזו שבשימוש בפתרון מסחרי שבילה בעבר על לכידת תעבורה ברשת אחת. ניתן לשנות את קנה המידה של המערכת כדי להתמודד עם תנועה במהירות של עשרות ג'יגה לשניה. כמות הנתונים המאוחסנת מוגבלת רק בגודל מערך הדיסקים הזמין. מטא-נתונים של הפגישה מתווספים באשכול המבוסס על מנוע Elasticsearch.

על מולוך

מולוך כוללת כלים לתפיסת אינדקס ותעבורה בפורמט PCAP רגיל, כמו גם לגישה מהירה לנתונים באינדקס.

לניתוח המידע המצטבר מוצע ממשק אינטרנט המאפשר גלישה, חיפוש וייצוא דוגמאות. גַם ניתן API שמאפשר לך להעביר נתונים על מנות שנתפסו בפורמט PCAP וניתחו הפעלות בפורמט JSON ליישומי צד שלישי. השימוש בפורמט PCAP מפשט מאוד את האינטגרציה עם מנתחי תעבורה קיימים כמו Wireshark.

הגישה למולוך מוגנת באמצעות HTTPS עם סיסמאות חזקות או באמצעות שרת proxy מאמת המסופק על ידי שרת האינטרנט. כל ה- PCAP מאוחסנים בחיישנים ונגישים אליהם רק דרך ממשק Moloch או API. מולוך לא נועדה להחליף IDS, אלא עובדת לצידם לאחסון ואינדקס של כל תעבורת הרשת בפורמט PCAP רגיל, ומספקת גישה מהירה.

למולך הוא מורכב משלושה מרכיבים בסיסיים:

  • מערכת לכידת תנועה: יישום בשפת C מרובת הליכים כדי לפקח על התעבורה, לכתוב dumps של PCAP לדיסק, לנתח מנות שנתפסו ולשלוח מטא נתונים אודות הפעלות (SPI, בדיקת מנות סטטית) ופרוטוקולים לאשכול Elasticsearch. ניתן לאחסן קבצי PCAP בצורה מוצפנת.
  • ממשק אינטרנט המבוסס על פלטפורמת Node.js, הפועל בכל שרת לכידת תעבורה ומעבד בקשות הקשורות לגישה לנתונים באינדקס ולהעברת קבצי PCAP דרך מאגר ה- metadata מבוסס ה- Elasticsearch ו- API.
  • ממשק האינטרנט מספק מצבי תצוגה שוניםמסטטיסטיקה כללית, מפות חיבור וגרפים חזותיים עם נתונים על שינויים בפעילות הרשת וכלים ללימוד מפגשים בודדים, ניתוח פעילות לפי פרוטוקול וניתוח נתונים ממזבלות PCAP.

הקוד כתוב בשפה C (ממשק Node.js / JavaScript) ומופץ ברישיון Apache 2.0. עבודה על Linux ו- FreeBSD נתמכת. החבילות המוכנות לשימוש מוכנות עבור גרסאות שונות של CentOS ואובונטו.

כיצד להתקין את Moloch ב- Linux?

כברירת מחדל, חבילות שנבנו עבור אובונטו ו- CentOS מוצעות, אותם אנו יכולים להשיג מהאתר הרשמי של הפרויקט.

במקרה של מי שמשתמש באובונטו, הם יכולים להשיג את החבילה על ידי הקלדת אחת מהפקודות הבאות.

עבור אובונטו 16.04 LTS:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb

עבור אובונטו 18.04 LTS:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb

להתקנה, פשוט הקלד:

sudo apt install ./moloch*.deb

במקרה של אלו שמשתמשים ב- CentOS, ניתן להשיג את החבילות הזמינות באמצעות הקלדה.

CentOS 6

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm

CentOS 7

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm

CentOS 8

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm

להתקנה, פשוט הקלד:

sudo rpm install moloch*.rpm

במקרה של הפצות אחרות ניתן לבצע קומפילציה על ידי הקלדה:

git clone https://github.com/aol/moloch

./easybutton-build.sh --install

make config

לבסוף לתצורה, תוכלו להתייעץ את הוויקי מהקישור למטה.


השאירו את התגובה שלכם

כתובת הדוא"ל שלך לא תפורסם. שדות חובה מסומנים *

*

*

  1. אחראי על הנתונים: AB Internet Networks 2008 SL
  2. מטרת הנתונים: בקרת ספאם, ניהול תגובות.
  3. לגיטימציה: הסכמתך
  4. מסירת הנתונים: הנתונים לא יועברו לצדדים שלישיים אלא בהתחייבות חוקית.
  5. אחסון נתונים: מסד נתונים המתארח על ידי Occentus Networks (EU)
  6. זכויות: בכל עת תוכל להגביל, לשחזר ולמחוק את המידע שלך.