No es la primera vez que una de las compañías grandes publica una
herramienta que, al parecer lleva utilizando durante mucho tiempo, y que
posteriormente deja a disposición de todo el mundo.
Hoy os hablamos de Moloch, herramienta via web para análisis de tráfico de red (open source), que nos llega por parte del gigante de las telecomunicaciones, AOL.
A grandes rasgos, ¿qué nos aporta frente al conocido por todos Wireshark?
- Se utiliza y gestiona vía web
- Está muy enfocado al análisis forense,
por lo que hay disponibles plugins muy concretos para dichos menesteres
(como por ejemplo, Geolocalización de tramas, reglas de Yara...)
- Facilidad para la búsqueda e indexado de información dentro de las capturas de red
- Posibilidad de crear GUIs propias debido a que hay disponible una API para todo el mostrado de información
- Para el análisis en tiempo real, es
posible disponer de una arquitectura distribuida sobre la que mantener
sus componentes (bases de datos, indexados, visor de eventos...) y
almacenar capturas de tráfico para su posible investigación futura.
Sobre los componentes de esta herramienta, tendremos los siguientes:
- capture - el elemento (escrito
en C) que nos permitirá capturar tráfico directamente desde la fuente
por cada interfaz de red de la que nos interese obtener información.
- viewer - aplicación en node.js
que se ejecuta por cada máquina en red y que mantiene la interfaz web y
la transferencia de ficheros PCAP.
- elasticsearch - tecnología de base de datos que nos facilitará la tarea de búsqueda de información.
 |
| Ejemplo simple de arquitectura para Moloch |
 |
| Interfaz de la versión 0.8.0 de Moloch |
Gracias a la interfaz, tendremos diferentes visualizaciones que nos
facilitarán la tarea en la investigación, como es el caso del modo
"Connections", el cual mediante un grafo nos visualizará relaciones
entre los elementos involucrados, o el visor "SPI View" con el que
podemos filtrar la información en base a multitud de criterios y
elementos procesados.
 |
| Visualizador de conexiones según búsqueda realizada en base de datos de tráfico en Moloch |
 |
| Vista SPI con filtrado e indexado de información almacenada en capturas de tráfico |
Sin duda una herramienta a tener en cuenta, que nos permitirá llevar el
análisis de tráfico a un nuevo nivel, y nos dará más visibilidad en
nuestras tareas diarias en las que necesitemos investigar actividad de
red de una manera ágil e intuitiva.
Si quieres probar la herramienta de manera online a modo de demo, podrás acceder a la siguiente URL:
utilizando moloch/moloch como credenciales.
