-
Desarrollado por AOL para capturar todos los paquetes de la red y luego poder buscarlos (reemplazando sistemas comerciales)
-
Guarda e indexa el tráfico interno de red en formato PCAP estándar, y permite analizar PCAP con Wireshark y otras herramientas
-
Ofrece acceso mediante API a los datos PCAP y a los datos de sesión en formato JSON
-
Diseñado para procesar datos a escala de gigabits por segundo en sistemas de gran tamaño
-
Consta de 3 componentes
→ Capture : aplicación multihilo hecha en C que monitorea el tráfico de red y lo guarda como PCAP. Analiza los paquetes capturados y envía los metadatos a ElasticSearch
→ Viewer : aplicación Node.js que se ejecuta por cada máquina de captura. Se encarga de la interfaz web y de la transferencia de archivos PCAP
→ ElasticSearch : búsqueda
1 comentarios
Artículo de presentación del equipo de seguridad de infraestructura de NHN Entertainment: "Presentamos el open source Moloch" https://meetup.toast.com/posts/96
Origen del nombre Moloch
"Moloch es un dios aterrador adorado por los amonitas, vecinos de Israel. Ofrecían bebés recién nacidos en sacrificio a Moloch"
https://terms.naver.com/entry.nhn/…
Probablemente eligieron ese nombre porque ya existía otra herramienta de seguridad llamada SATAN (Security Administrator Tool for Analyzing Networks).
http://www.porcupine.org/satan/
Otros sistemas de Full Packet Capture que vale la pena comparar (open source y comerciales)
https://molo.ch/otherfpc