MOLOCH, ESCANNER DE RED VIA WEB DE AOL
La empresa AOL ha hecho publica una herramienta de análisis de trafico de red al parecer versátil en modo Open Souce. se trata de Moloch
Se que a muchos les parecerá una herramienta mas. qué nos aporta frente a otras herramientas como Wireshark?
- Se utiliza y gestiona vía web
- Está muy enfocado al análisis forense, por lo que hay disponibles plugins muy concretos para dichos menesteres (como por ejemplo, Geolocalización de tramas, reglas de Yara...)
- Facilidad para la búsqueda e indexado de información dentro de las capturas de red
- Posibilidad de crear GUIs propias debido a que hay disponible una API para todo el mostrado de información
- Para el análisis en tiempo real, es posible disponer de una arquitectura distribuida sobre la que mantener sus componentes (bases de datos, indexados, visor de eventos...) y almacenar capturas de tráfico para su posible investigación futura.
Sobre los componentes de esta herramienta, tendremos los siguientes:
- capture - el elemento (escrito en C) que nos permitirá capturar tráfico directamente desde la fuente por cada interfaz de red de la que nos interese obtener información.
- viewer - aplicación en node.js que se ejecuta por cada máquina en red y que mantiene la interfaz web y la transferencia de ficheros PCAP.
- elasticsearch - tecnología de base de datos que nos facilitará la tarea de búsqueda de información.
Ejemplo simple de arquitectura para Moloch |
Interfaz de la versión 0.8.0 de Moloch |
Gracias a la interfaz, tendremos diferentes visualizaciones que nos facilitarán la tarea en la investigación, como es el caso del modo "Connections", el cual mediante un grafo nos visualizará relaciones entre los elementos involucrados, o el visor "SPI View" con el que podemos filtrar la información en base a multitud de criterios y elementos procesados.
Visualizador de conexiones según búsqueda realizada en base de datos de tráfico en Moloch |
Vista SPI con filtrado e indexado de información almacenada en capturas de tráfico |
Sin duda una herramienta a tener en cuenta, que nos permitirá llevar el análisis de tráfico a un nuevo nivel, y nos dará más visibilidad en nuestras tareas diarias en las que necesitemos investigar actividad de red de una manera ágil e intuitiva.
Si quieres probar la herramienta de manera online a modo de demo, podrás acceder a la siguiente URL:
utilizando moloch/moloch como credenciales.
Podra descargar el proyecto desde la siguiente url