{"id":482,"date":"2018-01-28T00:59:57","date_gmt":"2018-01-28T00:59:57","guid":{"rendered":"https:\/\/www.erroussafi.com\/?p=482"},"modified":"2018-08-07T12:04:34","modified_gmt":"2018-08-07T11:04:34","slug":"systeme-de-sondes-de-capture-opensource-moloch-et-elasticsearch","status":"publish","type":"post","link":"https:\/\/www.erroussafi.com\/index.php\/2018\/01\/28\/systeme-de-sondes-de-capture-opensource-moloch-et-elasticsearch\/","title":{"rendered":"Syst\u00e8me de sondes de capture opensource – Moloch et ElasticSearch"},"content":{"rendered":"

Dans cet article, je vais essayer d’introduire deux outils opensource qui vont vous permettre de r\u00e9aliser un syst\u00e8me de capture et de stockage de flux DATA (\u00e0 l’image des solutions commerciales DPI d’analyse de type tektronix et autres) et ce gr\u00e2ce \u00e0 des outils opensource. Le premier \u00e9tant un moteur de capture sur du hardware maison, et le deuxi\u00e8me, le meilleur moteur de base de donn\u00e9e opensource adapt\u00e9 aux grandes bases.
\n
\nMoloch est un outil opensource, dedi\u00e9 \u00e0 la capture, l’indexation et l’enregistrement de grandes quantit\u00e9s de packets r\u00e9seau. Moloch peut aider \u00e0 am\u00e9liorer votre visibilit\u00e9 sur le r\u00e9seau, en enregistrant dans le format PCAP standard des packets r\u00e9seau qui transitent dans votre installation. Il donne aussi acc\u00e8s \u00e0 une interface intuitive et simple pour chercher et exporter des fichiers pcap.
\nMoloch permet aussi d’utiliser son API pour exporter les fichiers sous format PCAP ou bien JSON avec ds donn\u00e9es sur les sessions que vous pourrez ensuite utiliser sur wireshark pour une analyze approfondie.
\nMoloch est construit de telle fa\u00e7on \u00e0 etre d\u00e9ploy\u00e9e sur plusieurs syst\u00e8mes afin de supporter des dizaines de Gbps, et gr\u00e2ce au deuxi\u00e8me outil “elasticseach”, permet le stockage et l’indexation de larges quantit\u00e9s de DATA.<\/p>\n

Composants<\/h2>\n

Le syst\u00e8me Moloch est compos\u00e9 de trois modules<\/p>\n

    \n
  1. capture<\/code> \u2013 Une application qui monitore le traffic r\u00e9seau, \u00e9crit les fichiers PCAP, et envoie les donn\u00e9es meta (SPI Data) \u00e0 elasticsearch.<\/li>\n
  2. viewer<\/code> \u2013 Une application node.js qui d\u00e9marre sur chaque machine de capture et permet l’affichage et le transfert des fichiers pcap.<\/li>\n
  3. elasticsearch<\/code> \u2013 La base de donn\u00e9e<\/li>\n<\/ol>\n

    Capture<\/h2>\n

    <\/p>\n

    Syst\u00e8mes d’exploitations support\u00e9s<\/h2>\n