Moloch - solution open source de capture intégrale de paquets à grande échelle et de recherche
(molo.ch)-
Développé par AOL pour capturer puis rechercher tous les paquets du réseau (en remplacement d'un système commercial)
-
Stocke et indexe le trafic réseau interne au format PCAP standard, avec possibilité d'analyser les PCAP via Wireshark, etc.
-
Prend en charge l'accès via API aux données PCAP et aux données de session formatées en JSON
-
Conçu pour traiter des données à l'échelle du gigabit par seconde dans des systèmes de grande taille
-
Composé de 3 composants
→ Capture : application multithread en C qui surveille le trafic réseau et l'enregistre en PCAP. Analyse les paquets capturés puis envoie les métadonnées vers ElasticSearch
→ Viewer : application Node.js exécutée sur chaque machine de capture. Gère l'interface web et le transfert des fichiers PCAP
→ ElasticSearch : recherche
1 commentaires
Article de présentation de l’équipe de sécurité de l’infrastructure de NHN Entertainment : "Présentation de l’open source Moloch" https://meetup.toast.com/posts/96
Origine du nom Moloch
"Moloch est un dieu terrifiant vénéré par les Ammonites, voisins d’Israël. On offrait des nouveau-nés en sacrifice à Moloch"
https://terms.naver.com/entry.nhn/…
Il a probablement été choisi ainsi parce qu’il existait déjà un autre outil de sécurité, SATAN (Security Administrator Tool for Analyzing Networks) ?
http://www.porcupine.org/satan/
D’autres systèmes de Full Packet Capture à comparer (open source et commerciaux)
https://molo.ch/otherfpc