工具介绍

---

moloch是一个开源的大规模全包捕获，索引和数据库系统。

moloch增强了您当前的安全基础架构，以标准pcap格式存储和索引网络流量，从而提供快速的索引访问。

为PCAP浏览，搜索和导出提供直观且简单的Web界面。

moloch公开了apis，允许pcap数据和json格式的会话数据直接下载和使用。

moloch以标准pcap格式存储和导出所有数据包，使您可以在分析工作流程中使用您最喜爱的pcap摄取工具，如wireshark。

通过使用带有摘要密码的https或使用提供Web服务器代理的身份验证来保护对moloch的访问。

所有pcap都存储在传感器上，只能使用moloch接口或api访问。

moloch并不是要取代id，而是与他们一起工作，以标准pcap格式存储和索引所有网络流量，从而提供快速访问。

moloch建立在多个系统之间，可以扩展到处理几十吉比特/秒的流量。

pcap保留时间基于可用的传感器磁盘空间。

元数据保留基于elasticsearch集群规模。

两者都可以在任何时候增加，并在您的完全控制之下。

使用方法

---

Sessions Tab

SPI View Tab

下载地址

---

https://github.com/aol/moloch

点击阅读原文可直接打开