一、概述
Moloch包分析在很大程度上包括对Moloch和Elasticsearch的理解。包取证和分析将帮助您理解进行包分析的MOLOCH和搜索取证索引包的Elasticsearch。两个工具将实时执行该活动,以解决DOS攻击、DDOS攻击、内部威胁、访问情报、带宽问题等诸多问题。
二、Moloch介绍
MOLOCH是一个开源软件,它具有一个大范围的IPv4包分析视图。MOLOCH可以索引PCAP文件进行进一步的包取证分析,为终端用户提供分析视图。利用数据包取证索引可以方便地进行检索,减少了安全操作中心或取证调查的时间,提高了效率。
MOLCH是为了捕获每一个通过网络传输的数据包而构建的,它集成了Elasticsearch搜索以达到索引的目的。最后,数据可以以PCAP/CSV格式导出,以供进一步分析。
MOLOCH不是一个IDS系统,到目前为止不支持IPv6。
三、Moloch的组成
3.1捕获
C语言应用程序嗅探网络接口,解析流量,创建会话配置文件信息(Session Profile Information ,SPI数据)并将其写到磁盘
3.2DB(Elastic search)
Elastic search用于取证索引,通过捕获组件生成的SPI数据进行存储和搜索。
支持Apache Lucene(http://lucene.apache.org)
通过HTTP(s)进行请求
返回JSON格式的结果
网络流量不适合关系型DBs(因此不使用SQL)
数据可以在不同平台之间自动共享。
3.3可视化
一个web接口,允许从远程主机访问GUI和API,以浏览或查询SPI数据并检索存储的PCAP。
注意:捕捉和查看器应该在同一台机器上。
3.4架构图
1、Moloch的单节点架构
2、Moloch的多节点架构
3.5Elasticsearch的细节
MOLOCH SPI数据类型会话配置文件信息
四、Moloch运行的demo
https://www.molo.ch/#demo
4.1SPI视图
SPI视图选项卡允许您查看每个捕获字段的会话计数的惟一值。更改您的搜索查询或选择的时间段以限制结果。
单击任何行以展开其内容。
单击展开部分中的任何链接以应用搜索条件。右击以获取更多选项!
提示:右击可更改自动加载的字段。
4.2SPI图
SPI Graph选项卡显示了任何字段的排序靠前的惟一值时间视图。
单击并拖动时间轴中的一个区域,以按时间筛选统计信息。
从SPI图的下拉菜单中进行选择,以查看不同字段的惟一值。
4.3连接
在Connections选项卡上,可以查看搜索结果的网络图。
单击并拖动一个节点,将其锁定到图中的位置。
单击某个节点查看更多信息或隐藏它。
从Src和Dst下拉菜单中进行选择,根据不同捕获的字段关系可视化数据。
4.4统计数据
在Stats选项卡上,您可以查看关于每个Molcoh捕获节点和Elasticsearch节点的统计信息。
单击表标题对表进行排序。
在节点筛选器输入框中输入文本以搜索结果。