Dans cet article, je vais essayer d’introduire deux outils opensource qui vont vous permettre de réaliser un système de capture et de stockage de flux DATA (à l’image des solutions commerciales DPI d’analyse de type tektronix et autres) et ce grâce à des outils opensource. Le premier étant un moteur de capture sur du hardware maison, et le deuxième, le meilleur moteur de base de donnée opensource adapté aux grandes bases.

Moloch est un outil opensource, dedié à la capture, l’indexation et l’enregistrement de grandes quantités de packets réseau. Moloch peut aider à améliorer votre visibilité sur le réseau, en enregistrant dans le format PCAP standard des packets réseau qui transitent dans votre installation. Il donne aussi accès à une interface intuitive et simple pour chercher et exporter des fichiers pcap.
Moloch permet aussi d’utiliser son API pour exporter les fichiers sous format PCAP ou bien JSON avec ds données sur les sessions que vous pourrez ensuite utiliser sur wireshark pour une analyze approfondie.
Moloch est construit de telle façon à etre déployée sur plusieurs systèmes afin de supporter des dizaines de Gbps, et grâce au deuxième outil « elasticseach », permet le stockage et l’indexation de larges quantités de DATA.

Composants

Le système Moloch est composé de trois modules

  1. capture – Une application qui monitore le traffic réseau, écrit les fichiers PCAP, et envoie les données meta (SPI Data) à elasticsearch.
  2. viewer – Une application node.js qui démarre sur chaque machine de capture et permet l’affichage et le transfert des fichiers pcap.
  3. elasticsearch – La base de donnée

Capture

Systèmes d’exploitations supportés

  • CentOS 7
  • Ubuntu 14.04, 16.04
  • FreeBSD 9
  • FreeBSD 10.0

 

Prérequis Hardware

Moloch est construit de telle façon à démarrer sur un cluster de machines pour les grands déploiements. Pour vos besoins domestiques, une simple machine peut suffire. Il n’est cependant pas recommandé d’installer capture et elasticsearch sur la même machine s’il s’agit de réseaux de type GigE.

Liens

Documentation : https://github.com/aol/moloch/wiki
Téléchargement : https://github.com/aol/moloch

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *