Moloch 流量监控服务器的详细配置

最新推荐文章于 2022-07-11 07:37:00 发布
最新推荐文章于 2022-07-11 07:37:00 发布
阅读量3.8k 收藏 4
点赞数
分类专栏: BIG DATA 文章标签: MOLOCH
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/JK_GOME/article/details/79653516
版权

    Moloch是一个开源的、大规模的、完整的数据包捕获、索引和数据库系统。Moloch增强了当前的安全基础设施,以标准的PCAP格式存储和索引网络流量,提供快速、索引的访问。为用户快速的浏览、索引和导出提供了直观而简单的web界面。

 

下面我们来介绍它的安装及配置。

 

   Moloch系统主要由三部分组成

 

1. Capture 一个线程使用C语言编写用于监控网络流量,将PCAP格式化文件写入磁盘,解析所捕获的数据包并将元数据发送到ElasticSearch

2. Viewer 一个node.js应用用于运行每个捕获器(capture)并处理web接口和传输中的文件。

3. Elasticsearch moloch提供检索数据库的技术。

 

安装下载ElasticSearch

 

1. 修改配置文件elasticsearch.yml 中的network.host:服务器的IP     

2. bin下,执行 ./elasticsearch

     

3. 在浏览器中测试,输入  http://服务器IP9200/_cat

    

出现上述内容,表示ES启动成功。

   

 

安装下载Capture

 

   官网地址:http://molo.ch/#downloads

       我使用的是centos7版本的,大家可以根据自己服务器的配置选择合适的版本下载。

   

1. 下载完成后,将压缩包上传到服务器,发现压缩包的后缀比较麻烦,如下:

   

① 安装 gcc  yum  install  gcc

② 先下载一个p7zip软件包 : http://download.csdn.net/detail/aboboo5200/9726771

③ 解压压缩包 tar  -jxvf  软件包

④ 进入目录,执行make && make install命令,没有报错说明安装完成。

⑤ 然后用命令解压moloch文件:7za  x  moloch-0.50.0-1.x86_64.rpm.7z

⑥ 然后解压rpm包 :rpm  -ivh  moloch-0.50.0-1.x86_64.rpm 这里应该会有报错信息,需要一些依赖。

 

我们采用yum命令安装:

yum install wget curl pcre pcre-devel pkgconfig flex bison gcc-c++ zlib-devel e2fsprogs-devel openssl-devel file-devel make gettext libuuid-devel perl-JSON bzip2-libs bzip2-devel perl-libwww-perl libpng-devel xz libffi-devel

yum install libyaml-devel

     执行完这两句命令,就可以开始解压molochrpm压缩文件了。

  

      根据上面的提示,可以发现解压后的moloch是在 /data/moloch目录下。

     

           

⑦ 进入到bin目录下,执行 ./Configure

   

   

⑧ 按照上述提示的步骤进行操作

我是自己安装的Elasticsearch,所以走步骤5

              进入到db目录下,执行 ./db.pl  http://ESHOST:9200  init

 

   Add an admin

              bin目录下执行  sh  moloch_add_user.sh  <自己设置登陆的用户名>  “别名随意定义”  <自己设置登陆密码>  --admin

              

 

⑨ 修改moloch  etc/config.ini 配置文件

   elasticsearch = http://localhost:9200

   Interface = eth1

   pcapDir = /data/moloch/pcap   指定存储pcap文件的路径,提前makedir

   dropUser = root              指定用户和用户组,要有写pcap的权限

   dropGroup = root

⑩ 修改 viewer/config.js

configFile” /data/moloch/etc/config.ini ”

⑪ 启动capture viewer

      systemctl start molochcapture.service

      systemctl start molochviewer.service

   可以在logs 目录下,查看启动运行的一些日志信息。

测试

 

   在浏览器中,输入  http:// 服务器IP 8005

         在用户名和密码栏输入,刚刚添加的web访问的用户的信息。

         

 

  表示配置成功

         


feng_JK
关注
专栏目录
爱奇艺网络流量分析引擎 QNSM 及其应用
墨痕诉清风的博客
12-27 661
流量分析是非常重要的, 可以用来进行资产发现、网络监控和可视化,对安全而言,通过对网络流量的分析,对流量构建基线建模,从流量中可以发现异常、风险以及检测攻击,从流量中也可以实现数据内容提取,发现潜在的敏感数据流动或者泄露,还可以进行 ACL 策略校对,并将网络流量产出的数据特征通过机器学习和专家分析,可以挖掘更多的信息以及进行取证溯源和事件回查。QNSM。
网络安全方向相关课题和材料
最新发布
学-> 思->用
10-30 1168
搜集大量网络安全行业开源项目一个是关注互联网企业/团队的安全开源项目,经企业内部实践,这些最佳实践值得借鉴。一个是来自企业安全能力建设的需求,根据需求分类,如WAF、HIDS、Git监控等。这个收集是一个长期的过程,我在GitHub创建了这个项目,专门用来收集一些优秀的甲方安全项目。还有很多很好的免费开源项目可供选择,下面列出的还只是其中很少的一部分,我将持续更新这个项目,欢迎Star。
moloch安装配置
小猪猪and小马马的博客
05-13 8150
moloch安装配置指南 ps:所使用的es是2.4.2版本,node是4.6.2版本 2015-03-02 moloch git地址  Moloch是一个开源的大规模IPv4包捕获(基于PCAP协议)、索引、数据库存储系统,由以下三部分组成:  1. capture:绑定interface运行的单线程C语言应用  2. viewer:运行在capture主机上的nod
Moloch网络流量分析工具
allway2的博客
08-12 3601
一、概述 Moloch包分析在很大程度上包括对Moloch和Elasticsearch的理解。包取证和分析将帮助您理解进行包分析的MOLOCH和搜索取证索引包的Elasticsearch。两个工具将实时执行该活动,以解决DOS攻击、DDOS攻击、内部威胁、访问情报、带宽问题等诸多问题。 二、Moloch介绍 MOLOCH是一个开源软件,它具有一个大范围的IPv4包分析视图。MOLOCH可以索引PCAP文件进行进一步的包取证分析,为终端用户提供分析视图。利用数据包取证索引可以方便地进行检索,减少了安全操
moloch流量回溯_用moloch和elastic索引网络流量
weixin_26636643的博客
09-27 1210
moloch流量回溯 数据就是一切 (Data is Everything) Whether hunting down hackers in your network, optimizing traffic flow, or just trying to build a network baseline, you’ll learn that data is everything. Data is ...
利用moloch 网络回溯系统读取pcap文件
lepton126的专栏
11-09 2284
一、安装moloch 的环境                                                                                                 [root@clusternode0x86 moloch]# uname -r                                                  ...
CDMCS:网络防御监控课程套件:: TICK,Suricata,Moloch
02-03
网络防御监控课程套件(CDMCS) 该材料旨在在教室环境中进行教学。 该材料缺少课堂上将涉及的一些上下文概念和想法。 此外,我们旨在涵盖前沿的开源开发和新兴工具。 我们的资料与官方资料和公共资料紧密相连,因为这些工具正在不断发展。 因此,最新信息在不断发展,重复这些来源将是多余的。 每门课程都包含任何具有其他安全监视工具经验并且想要学习IDS,PCAP或事件处理技术的中级开发人员的材料。 我们认为,这些课程对于希望快速开始学习这些课程或想要更全面地了解其内部知识的人来说非常理想。 我们的目标是让我们的学生理解可以带回家并针对您的个人环境进行调整的基本概念,而不是提供在大多数现实情况下可
开源 | 爱奇艺网络流量分析引擎QNSM及其应用
爱奇艺技术产品团队
03-13 2340
▌导读一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点。面对...
爱奇艺网络流量分析引擎QNSM及其应用
ABCCloud的博客
03-21 2177
导读 一定业务规模的互联网公司的基础设施的网络边界通常都呈现一定程度的复杂多分区的情况,如何进行有效的安全防护和控制会成为安全体系建设的重点和难点。面对这一挑战,爱奇艺安全团队自研了网络流量分析引擎QNSM,并将其用在各种基于流量分析的跨区安全检测和控制场景中,成为了爱奇艺安全防御体系的关键基础引擎。 互联网企业边界复杂性 上图是典型的中大型互联网公司的网络架构,通常分为: 办公网络,...
嗅探工具 --- wireshark、tcpdump、dsniff、ettercap、bettercap、netsniff-ng
墨鱼菜鸡
07-11 4970
最好的 MitM 中间人攻击开源框架清单:https://github.com/Chan9390/Awesome-MitM 哔哩哔哩:https://search.bilibili.com/all?keyword=wireshark 1、WireShark WireShark 是一个开源免费的高性能网络协议分析软件,它的前身就是非常著名的网络分析软...
网络流量监控
10-31
已绿化的这个NetWorx 实用工具用于测量你所使用的所有类型的有线和无线网络连接的使用带宽和速度。该软件提供测量你的网络吞吐量、进入和发出通讯的图形和数字化描述、可定制的警报、以及流量统计等的功能。绝对可用!
Moloch是一个开源、大规模、完整的数据包捕获,索引和数据库系统-javascript
06-21
Moloch是一个开源、大规模、完整的数据包捕获,索引和数据库系统 Moloch Moloch 是一个大规模、开源、索引的数据包捕获和搜索系统。 Moloch 增强了您当前的安全基础设施,以标准 PCAP 格式存储和索引网络流量,提供快速的索引访问。 为 PCAP 浏览、搜索和导出提供了一个直观且简单的 Web 界面。 Moloch 公开了允许直接下载和使用 PCAP 数据和 JSON 格式的会话数据的 API。 Moloch 以标准 PCAP 格式存储和导出所有数据包,让您还可以在分析工作流程中使用您最喜欢的 PCAP 摄取工具,例如wireshark。 Moloch 旨在跨多个系统部署,并且可以扩展以处理数十千兆位/秒的流量。 PCAP 保留基于可用的传感器磁盘空间。 元数据保留基于 Elasticsearch 集群规模。 两者都可以随时增加,并在您的完全控制之下。 目录 背景 安装配置 使用 安全 API 贡献许可证 背景 Moloch 是在 2012 年创建的,用于取代 AOL 的商业完整数据包系统。通过完全控制硬件和成本,我们发现我们可以在所有网络上部署完整
arkime:Arkime(以前称为Moloch)是一个开源,大规模,完整的数据包捕获,索引和数据库系统
01-31
阿基米 Arkime(以前称为Moloch)是一个大型的,开源的,索引化的数据包捕获和搜索系统。 Arkime增强了您当前的安全基础架构,以标准PCAP格式存储和索引网络流量,从而提供了快速的索引访问。 提供了直观,简单的Web界面,用于PCAP浏览,搜索和导出。 Arkime公开了API,这些API允许直接下载和使用PCAP数据和JSON格式的会话数据。 Arkime以标准PCAP格式存储和导出所有数据包,使您还可以在分析工作流程中使用自己喜欢的PCAP提取工具,例如Wireshark。 Arkime构建为可以跨许多系统部署,并且可以扩展以处理数十吉比特/秒的流量。 PCAP保留时间取决于可用的传感器磁盘空间。 元数据保留基于Elasticsearch集群规模。 两者都可以随时增加,并且完全由您控制。 目录 背景 Arkime的创建是为了替代AOL于2012年的商用全包系统。通过完全控制硬件和成本,我们发现我们可以在所有网络上部署全包捕获,而使用商用工具只需一个网络即可获得相同的成本。 Arkime系统由3个组件组成: 捕获-一个线程化的C应用程序,用于监视网络流量,将PCA
linux流量回溯分析系统,Moloch网络回溯分析系统
weixin_39746652的博客
05-13 758
Moloch 是一个由AOL开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统,由以下三个部分组成:capture :绑定interface运行的单线程C语言应用viewer :运行在capture主机上的node.js web应用elasticsearch : moloch的数据检索驱动Moloch git地址 git主页上README有较为详细的安装说明,以下是参照官方说明...
Moloch学习笔记
lepton126的专栏
11-26 4815
  简介:     Moloch并不是用以代替的入侵检测系统的。Moloch是意在为pcap文件提供一个快速索引的能力。Moloch为快速分析安全事件建立了一个更直接的界面。 搜索栏:     大多数的Moloch版本在页面的上部都有一搜索栏。通过下拉框的不同选项可以准确设置数据包起始时间点,因为每一个会话过程都有第一个包,最后一个包和整个会话的数据时间戳,Moloch为不同的情况提供了不同的...
Moloch 数据常用字段解析(持续更新)
HoneyICS的博客
05-14 1157
#字段(Fields) 名称 表达式 数据库字段 操作 数据类型 含义 Bytes bytes totBytes <, <=, ==, >=, >, != 整数(integer) 在会话(session)中发送和接收的原始字节总数* Data bytes databytes totDataBytes <, <=, ==, >=, &gt...
Moloch 非官方手册
酌希的专栏
09-24 846
原文链接:https://cloud.tencent.com/developer/article/1404875 在网上关于 Moloch 的使用说明不多,很多文章都是这家 Copy 一下,哪里 Copy 一下;本手册主要是根据自己在使用时对相关功能的总结,参考官网的资料说明,对 Moloch 流量回溯系统的功能进行较为详细的介绍。 在工作中,我使用的是国内某家公司的全流量分析系统,相比之下,...
盘点互联网巨头奉献的十大开源安全工具
NFTercel的博客空间
11-26 1711
Facebook等大型互联网公司推动的服务器与数据中心、大数据工具的开源化项目类似,当大型互联网公司们在超大规模基础设施运营方面面临的挑战超出技术厂商的能力时,这些巨头就选择反客为主,成为创新技术的推动者和提供者。同样的情况也在信息安全领域中发生着。不少大型互联网公司经常会将自己开发的顶级安全工具开源,推动整个互联网的安全发展。 本月早些时候安全牛曾介绍过Google开源的web安全测试工具Fi
Moloch安装与使用
12306小哥
04-10 4257
0X01 moloch简介 Moloch是一款由 AOL 开源的,能够大规模的捕获IPv4数据包(PCAP)、索引和数据库系统。所以我的Capture Machines和Elasticsearch Machines都放在一台上面, 有条件的强烈推荐把这2个组件分离开来。 根据官方介绍,需要留意一下事情: 1.Moloch不支持32位 2.内核4.X 有助于抓包性能提升 0x02 Moloch安...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值