一、概述

Moloch包分析在很大程度上包括对Moloch和Elasticsearch的理解。包取证和分析将帮助您理解进行包分析的MOLOCH和搜索取证索引包的Elasticsearch。两个工具将实时执行该活动,以解决DOS攻击、DDOS攻击、内部威胁、访问情报、带宽问题等诸多问题。

二、Moloch介绍

MOLOCH是一个开源软件,它具有一个大范围的IPv4包分析视图。MOLOCH可以索引PCAP文件进行进一步的包取证分析,为终端用户提供分析视图。利用数据包取证索引可以方便地进行检索,减少了安全操作中心或取证调查的时间,提高了效率。

MOLCH是为了捕获每一个通过网络传输的数据包而构建的,它集成了Elasticsearch搜索以达到索引的目的。最后,数据可以以PCAP/CSV格式导出,以供进一步分析。

MOLOCH不是一个IDS系统,到目前为止不支持IPv6。

三、Moloch的组成

3.1捕获

C语言应用程序嗅探网络接口,解析流量,创建会话配置文件信息(Session Profile Information ,SPI数据)并将其写到磁盘

3.2DB(Elastic search)

Elastic search用于取证索引,通过捕获组件生成的SPI数据进行存储和搜索。

支持Apache Lucene(http://lucene.apache.org)

通过HTTP(s)进行请求

返回JSON格式的结果

网络流量不适合关系型DBs(因此不使用SQL)

数据可以在不同平台之间自动共享。

3.3可视化

一个web接口,允许从远程主机访问GUI和API,以浏览或查询SPI数据并检索存储的PCAP。

注意:捕捉和查看器应该在同一台机器上。

3.4架构图

1、Moloch的单节点架构

2、Moloch的多节点架构

3.5Elasticsearch的细节

MOLOCH SPI数据类型会话配置文件信息

四、Moloch运行的demo

https://www.molo.ch/#demo

4.1SPI视图

SPI视图选项卡允许您查看每个捕获字段的会话计数的惟一值。更改您的搜索查询或选择的时间段以限制结果。

单击任何行以展开其内容。

单击展开部分中的任何链接以应用搜索条件。右击以获取更多选项!

提示:右击可更改自动加载的字段。

4.2SPI图

SPI Graph选项卡显示了任何字段的排序靠前的惟一值时间视图。

单击并拖动时间轴中的一个区域,以按时间筛选统计信息。

从SPI图的下拉菜单中进行选择,以查看不同字段的惟一值。

4.3连接

在Connections选项卡上,可以查看搜索结果的网络图。

单击并拖动一个节点,将其锁定到图中的位置。

单击某个节点查看更多信息或隐藏它。

从Src和Dst下拉菜单中进行选择,根据不同捕获的字段关系可视化数据。

4.4统计数据

在Stats选项卡上,您可以查看关于每个Molcoh捕获节点和Elasticsearch节点的统计信息。

单击表标题对表进行排序。

在节点筛选器输入框中输入文本以搜索结果。

Moloch网络流量分析工具相关推荐

  1. 网络管理员在预先分配和识别作为_14个网络管理员必备的最佳网络流量分析工具,收藏了...

    企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...

  2. IOTA--最便捷的网络流量分析工具

    IOTA–最便捷的网络流量分析工具 近年来5G技术迅速的发展,整个我们整个的网络环境将迎来巨大变革,其中网络流量和宽带的剧增是其中的重要变革.这样的变化虽然给我们的工作和生活带来诸多便利,但是也带来了 ...

  3. 网络管理员在预先分配和识别作为_网络管理员必备流量分析工具,果断转发收藏!...

    企业网络每天都会产生大量数据.企业可以分析这些数据,以深入了解网络运行情况或发现安全威胁.网络流量分析(NTA)解决方案允许网络管理员收集流经网络的流量数据.这些工具通常用于识别性能问题和/或发现安全 ...

  4. 网络流量分析神器:SecBI

    本文讲的是网络流量分析神器:SecBI ,网络流量分析工具早已广为使用,可提升企业网络效率,定位未使用的容量和带宽,消除瓶颈.最近此类工具也被列入了网络安全工具范畴.这很容易理解,因为除了内部人威胁, ...

  5. 六种常用的网络流量特征提取工具,附下载地址!

    六种常用的网络流量特征提取工具.在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段.下面,本文为大家介绍几款常用的网络流量特征提取的工具. 1.Wire ...

  6. 抓包工具(网络流量特征提取工具)

    转载地址:http://www.freebuf.com/sectool/128008.html 在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段.下面 ...

  7. 网络流量分析详解(包含OSI七层模型、TCP协议及Wireshark工具用法)

    网络流量分析 Network Traffic Analysis(NTA) 这个系列讲的是整个网络流量分析流程,其中包含TCP协议.HTTP协议详解和Wireshark.Tcpdump的详细用法,现在只 ...

  8. 开源 | 爱奇艺网络流量分析引擎QNSM及其应用

    ▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点.面对这一挑战,爱奇艺安全团队自研了网络流量分析引擎 ...

  9. 开源了!爱奇艺网络流量分析引擎QNSM及其应用

    点击"开发者技术前线",选择"星标????" 在看|星标|留言,  真爱 ▌导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情 ...

  10. Linux下的网络协议分析工具-tcpdump快速入门手册

    TCPDUMP简介 在传统的网络分析和测试技术中,嗅探器(sniffer)是最常见,也是最重要的技术之一.sniffer工具首先是为网络管理员和网络程序员进行网络分析而设计的.对于网络管理人员来说,使 ...

最新文章

  1. 设置cl.exe环境变量
  2. 投资学习网课笔记(part4)--基金第四课
  3. C# 使用数据库SQLite
  4. mongodb与java连接_MongoDBJava连接
  5. mysql binlog使用_mysql binlog 基本使用
  6. 动态链接库的隐式动态链接和显示动态链接
  7. 用matlab设计模糊控制器
  8. 几纳米间风云:手机摄影的制高点争夺战
  9. T410i升级i3 380M,上测试对比图,附拆机心得
  10. RQNOJ #204 特种部队 sol
  11. 牛客 检测命令是否正确
  12. 国内及国际公共DNS收录
  13. League of Legends 通过 游戏ID查询玩家QQ号码。
  14. Vanishing Point Detection 消影点/消失点/灭点检测代码学习整理笔记
  15. 小程序内配置公众号关注组件
  16. pythonclass语法_【python类别概念自学】class的语法整理(继承、抽象类别、魔术方法)...
  17. 1943中途岛海战2020年8月22日海龟画图版(原雷电模拟升级版)
  18. 第20节 核心交换机配置热备份详解及实验演示—基于Cisco Packet Tracer
  19. 联想 ideapad 300s 拆机换内存手记
  20. 轨道看盘系统 通达信选股公式 看盘指标详解主图/副图

热门文章

  1. 京东p7员工 什么级别_阿里、腾讯、百度、华为、京东等大厂职级及薪资范围
  2. 属性动画实现卫星菜单效果
  3. 程序框图计算机算法语言应用,数学之算法与程序框图
  4. Hackintosh-OpenCore系列篇-准备篇
  5. 嵌入式学习笔记-迅为4412开发板实现一键开关机休眠唤醒
  6. 如何让html 兼容IE和chrome,chrome兼容模式如何切换成IE兼容模式_chrome兼容模式切换成IE兼容模式的方法-系统城...
  7. 模板消息php40008,企业微信发送模板消息 40008 Warning: wrong json format. ?
  8. vs为什么打了断点不断_2019年丹麦羽毛球公开赛焦点对阵:林丹VS塞帕拉内斯 石宇奇 VS 马克卡尔尤B...
  9. unity用visual studio写代码的时候一直显示importing assets
  10. 数据仓库之指标体系建设分享