A Moloch egy olyan rendszer, amely eszközöket kínál a forgalom áramlásának vizuális felmérésére és a hálózati tevékenységgel kapcsolatos információk keresése. A projekt 2012-ben jött létre azzal a céllal, hogy egy kereskedési platform nyílt helyettesítőjét hozza létre hálózati csomagfeldolgozás, amely az AOL forgalom mennyiségének szintjére méretezhető.
Az AOL új rendszerének bevezetése lehetővé tette számukra, hogy teljes ellenőrzést érjenek el az infrastruktúra felett azáltal, hogy telepítik őket a szervereikre és jelentősen csökkentik a költségeket.
A Moloch használata az összes AOL-hálózat forgalmának teljes megragadására ugyanannyiba kerül, mint egy olyan kereskedelmi megoldás használata esetén, amely korábban forgalmat gyűjtött egy hálózaton. A rendszer méretezhető úgy, hogy másodpercenként tíz gigabit sebességgel tudja kezelni a forgalmat. A tárolt adatok mennyiségét csak az elérhető lemeztömb mérete korlátozza. A munkamenet-metaadatokat az Elasticsearch motoron alapuló fürtben indexelik.
Molochról
A Moloch eszközöket tartalmaz a forgalom PCAP formátumban történő rögzítésére és indexelésére normál, valamint az indexelt adatok gyors elérése érdekében.
A felhalmozott információk elemzéséhez webes felületet javasolnak amely lehetővé teszi a minták böngészését, keresését és exportálását. Is API biztosított, amely lehetővé teszi az elfogott csomagok adatainak továbbítását PCAP formátumban, és elemezte a munkameneteket JSON formátumban harmadik féltől származó alkalmazások számára. A PCAP formátum használata nagymértékben leegyszerűsíti az integrációt a meglévő forgalomelemzőkkel, például a Wiresharkkal.
A Molochhoz való hozzáférést HTTPS használatával védik erős jelszavakkal vagy a webszerver által biztosított hitelesítő proxy szerver használatával. Az összes PCAP-t az érzékelők tárolják, és csak a Moloch interfészen vagy az API-n keresztül érhetők el. A Moloch nem célja egy IDS cseréje, de mellettük dolgozik, hogy az összes hálózati forgalmat szabványos PCAP formátumban tárolja és indexálja, gyors hozzáférést biztosítva.
Moloch Három alapkomponensből áll:
- Forgalom rögzítő rendszer: többszálas C nyelvű alkalmazás a forgalom figyelésére, PCAP-kiírások lemezre írására, a rögzített csomagok elemzésére, valamint a munkamenetekről (SPI, állapotfigyelő csomagellenőrzés) és protokollokról szóló metaadatok küldésére az Elasticsearch fürtbe. A PCAP fájlok titkosított formában tárolhatók.
- A Node.js platformon alapuló webes felület, amely minden forgalomrögzítő kiszolgálón fut, és feldolgozza az indexelt adatokhoz való hozzáféréssel és a PCAP fájlok Elasticsearch-alapú metaadat-táron és API-n keresztüli kéréseit.
- A webes felület különféle megjelenítési módokat biztosítAz általános statisztikáktól, kapcsolattérképektől és vizuális grafikonoktól, a hálózati aktivitás változásainak adataitól kezdve az egyes munkamenetek tanulmányozásának eszközeihez, az aktivitás protokoll szerinti elemzéséhez és a PCAP-dumpok adatainak elemzéséhez.
A kód C nyelven íródott (Node.js / JavaScript felület), és az Apache 2.0 licenc alatt kerül terjesztésre. A Linuxon és a FreeBSD-n végzett munka támogatott. A használatra kész csomagok a CentOS és az Ubuntu különböző verzióihoz készülnek.
Hogyan kell telepíteni a Moloch-ot Linux-ra?
Alapértelmezés szerint az Ubuntu és a CentOS számára készült csomagokat kínálják, amelyeket a projekt hivatalos weboldaláról szerezhetünk be.
Azok számára, akik Ubuntut használnak, a következő parancsok bármelyikének beírásával megszerezhetik a csomagot.
Ubuntu 16.04 LTS esetén:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb
Ubuntu 18.04 LTS esetén:
wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb
A telepítéshez egyszerűen írja be:
sudo apt install ./moloch*.deb
A CentOS-felhasználók esetében az elérhető csomagokat gépeléssel lehet megszerezni.
6 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm
7 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm
8 CentOS
wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm
A telepítéshez egyszerűen írja be:
sudo rpm install moloch*.rpm
Más disztribúciók esetében az összeállítás gépeléssel végezhető:
git clone https://github.com/aol/moloch ./easybutton-build.sh --install make config
Végül a konfigurációval kapcsolatban konzultálhat a wiki az alábbi linkről.