Moloch เป็นระบบที่มีเครื่องมือในการประเมินกระแสการจราจรด้วยสายตา และค้นหาข้อมูลที่เกี่ยวข้องกับกิจกรรมเครือข่าย โครงการ ถูกสร้างขึ้นในปี 2012 โดยมีเป้าหมายเพื่อสร้างสิ่งทดแทนแบบเปิดสำหรับแพลตฟอร์มการซื้อขาย การประมวลผลแพ็กเก็ตเครือข่ายที่สามารถปรับขนาดได้ถึงระดับปริมาณการรับส่งข้อมูล AOL
การเปิดตัวระบบใหม่ที่ AOL ทำให้พวกเขาสามารถควบคุมโครงสร้างพื้นฐานได้อย่างสมบูรณ์โดยการปรับใช้บนเซิร์ฟเวอร์และลดต้นทุนลงอย่างมาก
การใช้ Moloch เพื่อดักจับทราฟฟิกบนเครือข่าย AOL ทั้งหมดจะมีค่าใช้จ่ายเท่ากับเมื่อใช้โซลูชันเชิงพาณิชย์ที่ก่อนหน้านี้ใช้ในการดักจับทราฟฟิกบนเครือข่ายเดียว ระบบสามารถปรับขนาดเพื่อรองรับการรับส่งข้อมูลด้วยความเร็วหลายสิบกิกะบิตต่อวินาที จำนวนข้อมูลที่จัดเก็บจะถูก จำกัด ด้วยขนาดของดิสก์อาร์เรย์ที่มีอยู่เท่านั้น ข้อมูลเมตาของเซสชันถูกจัดทำดัชนีในคลัสเตอร์โดยยึดตามเครื่องมือ Elasticsearch
เกี่ยวกับ Moloch
Moloch มีเครื่องมือในการบันทึกและจัดทำดัชนีทราฟฟิกในรูปแบบ PCAP ปกติเช่นเดียวกับการเข้าถึงข้อมูลที่จัดทำดัชนีอย่างรวดเร็ว
ในการวิเคราะห์ข้อมูลสะสมจะมีการเสนอเว็บอินเตอร์เฟส ที่อนุญาตให้เรียกดูค้นหาและส่งออกตัวอย่าง นอกจากนี้ มี API ให้เพื่อให้คุณถ่ายโอนข้อมูลเกี่ยวกับแพ็กเก็ตที่จับได้ ในรูปแบบ PCAP และวิเคราะห์เซสชันในรูปแบบ JSON ไปยังแอปพลิเคชันของบุคคลที่สาม การใช้รูปแบบ PCAP ช่วยลดความยุ่งยากในการผสานรวมกับเครื่องวิเคราะห์การรับส่งข้อมูลที่มีอยู่เช่น Wireshark
การเข้าถึง Moloch ได้รับการป้องกันโดยใช้ HTTPS ด้วยรหัสผ่านที่คาดเดายากหรือโดยใช้พร็อกซีเซิร์ฟเวอร์ที่ตรวจสอบความถูกต้องที่จัดเตรียมโดยเว็บเซิร์ฟเวอร์ PCAP ทั้งหมดจะถูกเก็บไว้ในเซ็นเซอร์และเข้าถึงได้ผ่านทางอินเตอร์เฟส Moloch หรือ API เท่านั้น Moloch ไม่ได้มีไว้เพื่อแทนที่ IDS แต่ทำงานร่วมกับพวกเขาเพื่อจัดเก็บและจัดทำดัชนีการรับส่งข้อมูลเครือข่ายทั้งหมดในรูปแบบ PCAP มาตรฐานทำให้สามารถเข้าถึงได้อย่างรวดเร็ว
Moloch ประกอบด้วยสามองค์ประกอบพื้นฐาน:
- ระบบจับการจราจร: แอปพลิเคชันภาษา C แบบมัลติเธรดเพื่อตรวจสอบการรับส่งข้อมูลเขียน PCAP ทิ้งลงในดิสก์วิเคราะห์แพ็กเก็ตที่จับได้และส่งข้อมูลเมตาเกี่ยวกับเซสชัน (SPI, การตรวจสอบแพ็กเก็ตแบบ stateful) และโปรโตคอลไปยังคลัสเตอร์ Elasticsearch ไฟล์ PCAP สามารถจัดเก็บในรูปแบบเข้ารหัส
- เว็บอินเตอร์เฟสที่ใช้แพลตฟอร์ม Node.js ที่ทำงานบนเซิร์ฟเวอร์ดักจับการรับส่งข้อมูลแต่ละรายการและประมวลผลคำขอที่เกี่ยวข้องกับการเข้าถึงข้อมูลที่จัดทำดัชนีและการถ่ายโอนไฟล์ PCAP ผ่านที่เก็บข้อมูลเมตาที่ใช้ Elasticsearch และ API
- เว็บอินเตอร์เฟสมีโหมดการแสดงผลต่างๆจากสถิติทั่วไปแผนที่การเชื่อมต่อและกราฟภาพที่มีข้อมูลเกี่ยวกับการเปลี่ยนแปลงกิจกรรมเครือข่ายไปจนถึงเครื่องมือสำหรับการศึกษาแต่ละเซสชันการวิเคราะห์กิจกรรมตามโปรโตคอลและการวิเคราะห์ข้อมูลจากการทิ้ง PCAP
โค้ดนี้เขียนด้วยภาษา C (อินเทอร์เฟซ Node.js / JavaScript) และแจกจ่ายภายใต้สิทธิ์การใช้งาน Apache 2.0 รองรับการทำงานบน Linux และ FreeBSD แพ็คเกจที่พร้อมใช้งานได้เตรียมไว้สำหรับ CentOS และ Ubuntu เวอร์ชันต่างๆ
จะติดตั้ง Moloch บน Linux ได้อย่างไร?
โดยค่าเริ่มต้นจะมีการเสนอแพ็คเกจที่สร้างขึ้นสำหรับ Ubuntu และ CentOS ซึ่งเราสามารถหาได้จากเว็บไซต์ทางการของโครงการ
ในกรณีของผู้ที่ใช้ Ubuntu สามารถรับแพ็คเกจได้โดยพิมพ์คำสั่งใด ๆ ต่อไปนี้
สำหรับ Ubuntu 16.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
สำหรับ Ubuntu 18.04 LTS:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
ในการติดตั้งเพียงพิมพ์:
sudo apt install ./moloch*.deb
ในกรณีของผู้ที่เป็นผู้ใช้ CentOS สามารถรับแพ็กเกจที่มีอยู่ได้โดยพิมพ์
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
ในการติดตั้งเพียงพิมพ์:
sudo rpm install moloch*.rpm
สำหรับกรณีของการแจกแจงอื่น ๆ การคอมไพล์ทำได้โดยพิมพ์:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
สุดท้ายสำหรับการกำหนดค่าคุณสามารถปรึกษา วิกิจากลิงค์ด้านล่าง