Moloch, trafik akışlarını görsel olarak değerlendirmek için araçlar sağlayan bir sistemdir ve ağ etkinliğiyle ilgili bilgileri arayın. Proje bir ticaret platformu için açık bir ikame yaratmak amacıyla 2012 yılında kuruldu AOL trafik hacimleri seviyesine ölçeklenebilen ağ paketi işleme.
AOL'de yeni sistemin tanıtımı, onları sunucularında konuşlandırarak ve maliyetleri önemli ölçüde düşürerek altyapı üzerinde tam kontrol elde etmelerini sağladı.
Tüm AOL ağlarındaki trafiği tam olarak yakalamak için Moloch'u kullanmak, daha önce tek bir ağda trafiği yakalamak için harcanan ticari bir çözümü kullanırkenki ile aynı tutara mal olur. Sistem, saniyede onlarca gigabit hızında trafiği idare edecek şekilde ölçeklendirilebilir. Depolanan veri miktarı yalnızca mevcut disk dizisinin boyutuyla sınırlıdır. Oturum meta verileri, Elasticsearch motoruna dayalı bir kümede endekslenir.
Moloch hakkında
Moloch, PCAP formatında trafiği yakalamak ve dizine eklemek için araçlar içerir normal, ayrıca indekslenmiş verilere hızlı erişim için.
Birikmiş bilgileri analiz etmek için bir web arayüzü önerilmiştir bu, örneklerin taranmasına, aranmasına ve dışa aktarılmasına izin verir. Ayrıca yakalanan paketler hakkında veri aktarmanıza izin veren bir API sağlanmıştır PCAP formatında ve JSON formatında analiz edilmiş oturumlar üçüncü taraf uygulamalara. PCAP formatını kullanmak, Wireshark gibi mevcut trafik analizörleriyle entegrasyonu büyük ölçüde basitleştirir.
Moloch'a erişim HTTPS kullanılarak korunur güçlü parolalarla veya web sunucusu tarafından sağlanan kimlik doğrulama proxy sunucusunu kullanarak. Tüm PCAP'ler sensörlerde saklanır ve yalnızca Moloch arayüzü veya API aracılığıyla erişilir. Moloch'un bir IDS'nin yerini alması amaçlanmamıştır, ancak tüm ağ trafiğini standart PCAP formatında depolamak ve indekslemek için onlarla birlikte çalışır ve hızlı erişim sağlar.
dikenli kertenkele Üç temel bileşenden oluşur:
- Trafik yakalama sistemi: trafiği izlemek, PCAP dökümlerini diske yazmak, yakalanan paketleri analiz etmek ve oturumlarla ilgili meta verileri (SPI, durum bilgisi içeren paket incelemesi) ve protokolleri Elasticsearch kümesine göndermek için çok iş parçacıklı bir C dili uygulaması. PCAP dosyaları şifrelenmiş biçimde saklanabilir.
- Node.js platformuna dayalı bir web arayüzü, her trafik yakalama sunucusunda çalışan ve dizinlenmiş verilere erişim ve Elasticsearch tabanlı meta veri havuzu ve API aracılığıyla PCAP dosyalarının aktarılmasıyla ilgili istekleri işler.
- Web arayüzü çeşitli görüntüleme modları sağlarGenel istatistiklerden, bağlantı haritalarından ve ağ etkinliğindeki değişikliklerle ilgili verileri içeren görsel grafiklerden, bireysel oturumları incelemek, etkinliği protokole göre analiz etmek ve PCAP dökümlerinden gelen verileri analiz etmek için araçlar.
Kod C dilinde (Node.js / JavaScript arayüzü) yazılmıştır ve Apache 2.0 lisansı altında dağıtılmıştır. Linux ve FreeBSD üzerinde çalışma desteklenmektedir. Kullanıma hazır paketler, CentOS ve Ubuntu'nun farklı sürümleri için hazırlanmıştır.
Moloch Linux'a nasıl kurulur?
Varsayılan olarak, projenin resmi web sitesinden edinebileceğimiz Ubuntu ve CentOS için oluşturulmuş paketler sunulmaktadır.
Ubuntu kullananlar aşağıdaki komutlardan birini yazarak paketi edinebilirler.
Ubuntu 16.04 LTS için:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Ubuntu 18.04 LTS için:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
Yüklemek için şunu yazın:
sudo apt install ./moloch*.deb
CentOS kullanıcısı olanlar için mevcut paketler yazılarak alınabilir.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
Yüklemek için şunu yazın:
sudo rpm install moloch*.rpm
Diğer dağıtımlar için derleme şunları yazarak yapılabilir:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Son olarak konfigürasyon için danışabilirsiniz Aşağıdaki bağlantıdan wiki.