Linux Adictos David Naranjo  

Moloch, un sistema de indexación de tráfico de red open source

Moloch es un sistema que proporciona herramientas para evaluar visualmente los flujos de tráfico y buscar información relacionada con la actividad de la red. El proyecto fue creado en 2012 con el objetivo de crear un reemplazo abierto para una plataforma comercial de procesamiento de paquetes de red que pueda escalar al nivel de los volúmenes de tráfico de AOL.

La introducción del nuevo sistema en AOL permitió lograr un control total sobre la infraestructura mediante la implementación en sus servidores y reducir significativamente los costos.

El uso de Moloch para capturar completamente el tráfico en todas las redes de AOL cuesta la misma cantidad que cuando se usaba una solución comercial que anteriormente se gastaba en captura tráfico en una sola red. El sistema se puede escalar para manejar el tráfico a velocidades de decenas de gigabits por segundo. La cantidad de datos almacenados está limitada solo por el tamaño de la matriz de discos disponible. Los metadatos de la sesión se indexan en un clúster basado en el motor Elasticsearch.

Sobre Moloch

Moloch incluye herramientas para capturar e indexar el tráfico en el formato PCAP normal, así como para un acceso rápido a los datos indexados.

Para analizar la información acumulada, se propone una interfaz web que permite navegar, buscar y exportar muestras. También se proporciona una API que le permite transferir datos sobre paquetes capturados en formato PCAP y sesiones analizadas en formato JSON a aplicaciones de terceros. El uso del formato PCAP simplifica enormemente la integración con los analizadores de tráfico existentes, como Wireshark.

El acceso a Moloch está protegido mediante el uso de HTTPS con contraseñas resumidas o mediante el uso de un servidor proxy de autenticación que proporcione el servidor web. Todos los PCAP se almacenan en los sensores y solo se accede a ellos mediante la interfaz Moloch o API. Moloch no está destinado a reemplazar un IDS, sino que trabaja junto a ellos para almacenar e indexar todo el tráfico de red en formato PCAP estándar, proporcionando un acceso rápido.

Moloch consta de tres componentes básicos:

  • Sistema de captura de tráfico: una aplicación de lenguaje C multiproceso para monitorear el tráfico, escribir volcados de PCAP en el disco, analizar paquetes capturados y enviar metadatos sobre sesiones (SPI, inspección de paquetes con estado) y protocolos al clúster Elasticsearch. Es posible almacenar archivos PCAP en forma cifrada.
  • Una interfaz web basada en la plataforma Node.js, que se ejecuta en cada servidor de captura de tráfico y procesa solicitudes relacionadas con el acceso a datos indexados y la transferencia de archivos PCAP a través de la API y repositorio de metadatos basado en Elasticsearch.
  • La interfaz web proporciona varios modos de visualización, desde estadísticas generales, mapas de conexión y gráficos visuales con datos sobre cambios en la actividad de la red hasta herramientas para estudiar sesiones individuales, analizar la actividad por protocolo y analizar los datos de los volcados de PCAP.

El código está escrito en lenguaje C (interfaz Node.js / JavaScript) y se distribuye bajo la licencia Apache 2.0. El trabajo en Linux y FreeBSD es compatible. Los paquetes listos para usar están preparados para diferentes versiones de CentOS y Ubuntu.

¿Como instalar Moloch en Linux?

De forma predeterminada se ofrecen paquetes construidos para Ubuntu y CentOS los cuales podemos obtener desde el sitio web oficial del proyecto.

Para el caso de los que utilizan Ubuntu, pueden obtener el paquete tecleando alguno de los siguientes comandos.

Para Ubuntu 16.04 LTS:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-16.04/moloch_2.3.0-1_amd64.deb

Para Ubuntu 18.04 LTS:

wget https://s3.amazonaws.com/files.molo.ch/builds/ubuntu-18.04/moloch_2.3.0-1_amd64.deb

Para realizar la instalación basta con teclear:

sudo apt install ./moloch*.deb

En el caso de los que son usuarios de CentOS, los paquetes disponibles los pueden obtener tecleando.

CentOS 6

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-6/moloch-2.3.0-1.x86_64.rpm

CentOS 7

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-7/moloch-2.3.0-1.x86_64.rpm

CentOS 8

wget https://s3.amazonaws.com/files.molo.ch/builds/centos-8/moloch-2.3.0-1.x86_64.rpm

Para realizar la instalación basta con teclear:

sudo rpm install moloch*.rpm

Para el caso de otras distribuciones se puede realizar la compilación tecleando:

git clone https://github.com/aol/moloch

./easybutton-build.sh --install

make config

Finalmente para la configuración, pueden consultar la wiki desde el siguiente enlace.

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.