-
Desenvolvido pela AOL para capturar e pesquisar todos os pacotes da rede (substituindo sistemas comerciais)
-
Armazena e indexa o tráfego de rede interno no formato PCAP padrão, permitindo analisar os PCAPs com ferramentas como o Wireshark
-
Oferece suporte de acesso, via API, aos dados PCAP e aos dados de sessão formatados em JSON
-
Projetado para processar dados na escala de gigabits por segundo em sistemas de grande porte
-
Composto por 3 componentes
→ Capture : aplicativo multithread em C que monitora o tráfego de rede e o salva como PCAP. Analisa os pacotes capturados e envia os metadados para o ElasticSearch
→ Viewer : aplicação Node.js executada em cada máquina de captura. Responsável pela interface web e pela transferência dos arquivos PCAP
→ ElasticSearch : busca
1 comentários
Artigo de apresentação da equipe de segurança de infraestrutura da NHN Entertainment, "Apresentando o Moloch, open source" https://meetup.toast.com/posts/96
Origem do nome Moloch
"Moloch era um deus terrível adorado pelos amonitas, vizinhos de Israel. Bebês recém-nascidos eram oferecidos em sacrifício a Moloch"
https://terms.naver.com/entry.nhn/…
Provavelmente escolheram esse nome porque já existia outra ferramenta de segurança chamada SATAN (Security Administrator Tool for Analyzing Networks)?
http://www.porcupine.org/satan/
Outros sistemas de Full Packet Capture que vale a pena comparar (open source e comerciais)
https://molo.ch/otherfpc