Moloch, el wireshark via web de AOL para forenses de red

No es la primera vez que una de las compañías grandes publica una herramienta que, al parecer lleva utilizando durante mucho tiempo, y que posteriormente deja a disposición de todo el mundo.

Hoy os hablamos de Moloch, herramienta via web para análisis de tráfico de red (open source), que nos llega por parte del gigante de las telecomunicaciones, AOL.

A grandes rasgos, ¿qué nos aporta frente al conocido por todos Wireshark?

Se utiliza y gestiona vía web

Está muy enfocado al análisis forense, por lo que hay disponibles plugins muy concretos para dichos menesteres (como por ejemplo, Geolocalización de tramas, reglas de Yara…)

Facilidad para la búsqueda e indexado de información dentro de las capturas de red

Posibilidad de crear GUIs propias debido a que hay disponible una API para todo el mostrado de información

Para el análisis en tiempo real, es posible disponer de una arquitectura distribuida sobre la que mantener sus componentes (bases de datos, indexados, visor de eventos…) y almacenar capturas de tráfico para su posible investigación futura.

Sobre los componentes de esta herramienta, tendremos los siguientes:

capture – el elemento (escrito en C) que nos permitirá capturar tráfico directamente desde la fuente por cada interfaz de red de la que nos interese obtener información.

viewer – aplicación en node.js que se ejecuta por cada máquina en red y que mantiene la interfaz web y la transferencia de ficheros PCAP.

elasticsearch – tecnología de base de datos que nos facilitará la tarea de búsqueda de información.

Ejemplo simple de arquitectura para Moloch
Interfaz de la versión 0.8.0 de Moloch

Gracias a la interfaz, tendremos diferentes visualizaciones que nos facilitarán la tarea en la investigación, como es el caso del modo “Connections”, el cual mediante un grafo nos visualizará relaciones entre los elementos involucrados, o el visor “SPI View” con el que podemos filtrar la información en base a multitud de criterios y elementos procesados.

Visualizador de conexiones según búsqueda realizada en base de datos de tráfico en Moloch

Vista SPI con filtrado e indexado de información almacenada en capturas de tráfico

Sin duda una herramienta a tener en cuenta, que nos permitirá llevar el análisis de tráfico a un nuevo nivel, y nos dará más visibilidad en nuestras tareas diarias en las que necesitemos investigar actividad de red de una manera ágil e intuitiva.

Si quieres probar la herramienta de manera online a modo de demo, podrás acceder a la siguiente URL:

  1. utilizando moloch/moloch como credenciales.
Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s