一、概述

Moloch包分析在很大程度上包括对Moloch和Elasticsearch的理解。包取证和分析将帮助您理解进行包分析的MOLOCH和搜索取证索引包的Elasticsearch。两个工具将实时执行该活动,以解决DOS攻击、DDOS攻击、内部威胁、访问情报、带宽问题等诸多问题。

二、Moloch介绍

MOLOCH是一个开源软件,它具有一个大范围的IPv4包分析视图。MOLOCH可以索引PCAP文件进行进一步的包取证分析,为终端用户提供分析视图。利用数据包取证索引可以方便地进行检索,减少了安全操作中心或取证调查的时间,提高了效率。

MOLCH是为了捕获每一个通过网络传输的数据包而构建的,它集成了Elasticsearch搜索以达到索引的目的。最后,数据可以以PCAP/CSV格式导出,以供进一步分析。

MOLOCH不是一个IDS系统,到目前为止不支持IPv6。

三、Moloch的组成

3.1捕获

C语言应用程序嗅探网络接口,解析流量,创建会话配置文件信息(Session Profile Information ,SPI数据)并将其写到磁盘

3.2DB(Elastic search)

Elastic search用于取证索引,通过捕获组件生成的SPI数据进行存储和搜索。

支持Apache Lucene(http://lucene.apache.org)

通过HTTP(s)进行请求

返回JSON格式的结果

网络流量不适合关系型DBs(因此不使用SQL)

数据可以在不同平台之间自动共享。

3.3可视化

一个web接口,允许从远程主机访问GUI和API,以浏览或查询SPI数据并检索存储的PCAP。

注意:捕捉和查看器应该在同一台机器上。

3.4架构图

1、Moloch的单节点架构

2、Moloch的多节点架构

3.5Elasticsearch的细节

MOLOCH SPI数据类型会话配置文件信息

四、Moloch运行的demo

https://www.molo.ch/#demo

4.1SPI视图

SPI视图选项卡允许您查看每个捕获字段的会话计数的惟一值。更改您的搜索查询或选择的时间段以限制结果。

单击任何行以展开其内容。

单击展开部分中的任何链接以应用搜索条件。右击以获取更多选项!

提示:右击可更改自动加载的字段。

4.2SPI图

SPI Graph选项卡显示了任何字段的排序靠前的惟一值时间视图。

单击并拖动时间轴中的一个区域,以按时间筛选统计信息。

从SPI图的下拉菜单中进行选择,以查看不同字段的惟一值。

4.3连接

在Connections选项卡上,可以查看搜索结果的网络图。

单击并拖动一个节点,将其锁定到图中的位置。

单击某个节点查看更多信息或隐藏它。

从Src和Dst下拉菜单中进行选择,根据不同捕获的字段关系可视化数据。

4.4统计数据

在Stats选项卡上,您可以查看关于每个Molcoh捕获节点和Elasticsearch节点的统计信息。

单击表标题对表进行排序。

在节点筛选器输入框中输入文本以搜索结果。

Moloch网络流量分析工具相关推荐

  1. 网络管理员在预先分配和识别作为_14个网络管理员必备的最佳网络流量分析工具,收藏了...

    企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...

  2. IOTA--最便捷的网络流量分析工具

    IOTA–最便捷的网络流量分析工具 近年来5G技术迅速的发展,整个我们整个的网络环境将迎来巨大变革,其中网络流量和宽带的剧增是其中的重要变革.这样的变化虽然给我们的工作和生活带来诸多便利,但是也带来了 ...

  3. 网络管理员在预先分配和识别作为_网络管理员必备流量分析工具,果断转发收藏!...

    企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...

  4. 网络流量分析神器:SecBI

    本文讲的是网络流量分析神器:SecBI ,网络流量分析工具早已广为使用,可提升企业网络效率,定位未使用的容量和带宽,消除瓶颈.最近此类工具也被列入了网络安全工具范畴.这很容易理解,因为除了内部人威胁, ...

  5. 六种常用的网络流量特征提取工具,附下载地址!

    六种常用的网络流量特征提取工具.在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段.下面,本文为大家介绍几款常用的网络流量特征提取的工具. 1.Wire ...

  6. 抓包工具(网络流量特征提取工具)

    转载地址:http://www.freebuf.com/sectool/128008.html 在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段.下面 ...

  7. 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    网络流量分析 Network Traffic Analysis(NTA) 这个系列讲的是整个网络流量分析流程,其中包含TCP协议.HTTP协议详解和Wireshark.Tcpdump的详细用法,现在只 ...

  8. 开源 | 爱奇艺网络流量分析引擎QNSM及其应用

    ▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点.面对这一挑战,爱奇艺安全团队自研了网络流量分析引擎 ...

  9. 开源了!爱奇艺网络流量分析引擎QNSM及其应用

    点击"开发者技术前线",选择"星标????" 在看|星标|留言,  真爱 ▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情 ...

  10. Linux下的网络协议分析工具-tcpdump快速入门手册

    TCPDUMP简介 在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一.sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的.对于网络管理人员来说,使 ...

最新文章

  1. Jenkins配置基于角色的项目权限管理--转
  2. SpringBoot连接Redis超简单
  3. make menuconfig选择m编译为驱动模块
  4. md 生成目录 码云_搭建简易博客方案
  5. qt5python gui cookbook_Python GUI Programming Cookbook学习笔记
  6. 吴恩达老师的机器学习和深度学习课程笔记打印版(全)
  7. C#—接口和抽象类的区别?
  8. 2021年美赛成绩公布与美赛查询!美赛官网已更新
  9. 【MySQL 数据库】聚合查询和联合查询操作
  10. 求职面试准备——自我介绍
  11. 惠普笔记本重装系统按哪个键
  12. 微信支付和支付宝支付整合(异步回调篇)
  13. 将 ERP 与 PPM 系统集成的 5 个理由
  14. 量子计算机亨通光电,在量子领域新成果:在半导体“自旋量子位元”(量子计算机的一种基本组件) 利用悉尼...
  15. 请说说自己对鲁迅本人他作品的了解计算机,26 回忆鲁迅先生课堂实录及点评
  16. 【USB接口程序设计】
  17. WinHTTP 会话概览
  18. AI热潮来袭||网友:AI会不会抢自己的饭碗啊~~~
  19. Permissioned Blockchains:Properties, Techniques and Applications翻译
  20. 有一分热,发一分光,用Python 爬取鲁迅先生《经典语录》

热门文章

  1. 儿童手表语音物联卡贵吗?如何办理?
  2. python extract_convert.py对应代码解读抽取式提取+生成式提取摘要代码解读------摘要代码解读1
  3. 手把手教你玩maven脚手架
  4. sublime 中文配置
  5. MCU裸机:一、315/433MHz/IR射频解码开发
  6. tssd加载lisp_几个有用的CAD的加载程序LISP
  7. 关系图谱在贝壳的构建和应用
  8. 漫步STL-string in [Cpp] v.s. String in [Java]
  9. bzoj5369 [Pkusc2018]最大前缀和(状压dp)
  10. 纯css改变checkbook样式