מולוך היא מערכת המספקת כלים להערכה חזותית של זרימת התנועה ולחפש מידע הקשור לפעילות ברשת. הפרויקט נוצר בשנת 2012 במטרה ליצור תחליף פתוח לפלטפורמת מסחר עיבוד מנות רשת שיכול להתמקד לרמת נפחי התעבורה של AOL.
הצגת המערכת החדשה ב- AOL אפשרה להם להשיג שליטה מלאה בתשתית על ידי פריסתם על השרתים שלהם והפחתה משמעותית בעלויות.
השימוש במולוך כדי לתפוס באופן מלא תעבורה בכל רשתות ה- AOL עולה סכום זהה לזו שבשימוש בפתרון מסחרי שבילה בעבר על לכידת תעבורה ברשת אחת. ניתן לשנות את קנה המידה של המערכת כדי להתמודד עם תנועה במהירות של עשרות ג'יגה לשניה. כמות הנתונים המאוחסנת מוגבלת רק בגודל מערך הדיסקים הזמין. מטא-נתונים של הפגישה מתווספים באשכול המבוסס על מנוע Elasticsearch.
על מולוך
מולוך כוללת כלים לתפיסת אינדקס ותעבורה בפורמט PCAP רגיל, כמו גם לגישה מהירה לנתונים באינדקס.
לניתוח המידע המצטבר מוצע ממשק אינטרנט המאפשר גלישה, חיפוש וייצוא דוגמאות. גַם ניתן API שמאפשר לך להעביר נתונים על מנות שנתפסו בפורמט PCAP וניתחו הפעלות בפורמט JSON ליישומי צד שלישי. השימוש בפורמט PCAP מפשט מאוד את האינטגרציה עם מנתחי תעבורה קיימים כמו Wireshark.
הגישה למולוך מוגנת באמצעות HTTPS עם סיסמאות חזקות או באמצעות שרת proxy מאמת המסופק על ידי שרת האינטרנט. כל ה- PCAP מאוחסנים בחיישנים ונגישים אליהם רק דרך ממשק Moloch או API. מולוך לא נועדה להחליף IDS, אלא עובדת לצידם לאחסון ואינדקס של כל תעבורת הרשת בפורמט PCAP רגיל, ומספקת גישה מהירה.
למולך הוא מורכב משלושה מרכיבים בסיסיים:
- מערכת לכידת תנועה: יישום בשפת C מרובת הליכים כדי לפקח על התעבורה, לכתוב dumps של PCAP לדיסק, לנתח מנות שנתפסו ולשלוח מטא נתונים אודות הפעלות (SPI, בדיקת מנות סטטית) ופרוטוקולים לאשכול Elasticsearch. ניתן לאחסן קבצי PCAP בצורה מוצפנת.
- ממשק אינטרנט המבוסס על פלטפורמת Node.js, הפועל בכל שרת לכידת תעבורה ומעבד בקשות הקשורות לגישה לנתונים באינדקס ולהעברת קבצי PCAP דרך מאגר ה- metadata מבוסס ה- Elasticsearch ו- API.
- ממשק האינטרנט מספק מצבי תצוגה שוניםמסטטיסטיקה כללית, מפות חיבור וגרפים חזותיים עם נתונים על שינויים בפעילות הרשת וכלים ללימוד מפגשים בודדים, ניתוח פעילות לפי פרוטוקול וניתוח נתונים ממזבלות PCAP.
הקוד כתוב בשפה C (ממשק Node.js / JavaScript) ומופץ ברישיון Apache 2.0. עבודה על Linux ו- FreeBSD נתמכת. החבילות המוכנות לשימוש מוכנות עבור גרסאות שונות של CentOS ואובונטו.
כיצד להתקין את Moloch ב- Linux?
כברירת מחדל, חבילות שנבנו עבור אובונטו ו- CentOS מוצעות, אותם אנו יכולים להשיג מהאתר הרשמי של הפרויקט.
במקרה של מי שמשתמש באובונטו, הם יכולים להשיג את החבילה על ידי הקלדת אחת מהפקודות הבאות.
עבור אובונטו 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
עבור אובונטו 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
להתקנה, פשוט הקלד:
sudo apt install ./moloch*.deb
במקרה של אלו שמשתמשים ב- CentOS, ניתן להשיג את החבילות הזמינות באמצעות הקלדה.
CentOS 6
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
CentOS 7
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
CentOS 8
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
להתקנה, פשוט הקלד:
sudo rpm install moloch*.rpm
במקרה של הפצות אחרות ניתן לבצע קומפילציה על ידי הקלדה:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
לבסוף לתצורה, תוכלו להתייעץ את הוויקי מהקישור למטה.