Спеціальна кафедра № 5
З В І Т
«Технології захисту інформації»
до практичного завдання 1.5
Використання системи повного захвату мережевих пакетів Moloch
| | | |  сол. Руслан ІЛЛЄНКО Навчальна група №С-81  |
Київ 2021
Завдання:
1. Встановити Moloch.
2. Відкрити й пояснити всі вкладки в Moloch.
3. Перехопити трафік. Проаналізувати його.
Виконання:
Для початку нам потрібно встановити Moloch та оновити пакети
Встановлюємо Elasticsearch через термінал та додаємо його до автозавантаження
Завантажуємо та перевіряємо статус molochviеwer
Перевіряємо статус molochcapture,якщо він вибиває помилку то потрібно дивитися інтерфейс. Як ми можемо побачити у нас все гарно працює
Якщо у нас працюють всі сервери то здійснюємо авторизацію на сервері
Moloch працює!
На вкладці “Sessions” ми можемо бачити інформацію про всі пакети, які проходять через інтерфейс, фільтр пакетів за часом та певними параметрами. Також ми можемо побичити графік часової шкали та карту результатів сеансу
Сторінка SPIView ми можемо побачити інформацію про профіль сеансу а також фільтрувати пакети за певними протоколами або сервісами, також можлива фільтрація за часом
На вкладці SPIGraph ми можемо побачити інформацію про профіль сесії а також переглянути інформацію про пакети у вигляді графіків.
На вкладці Connections ми можемо переглядати всі з’єднання з нашою хостовою машиною, також можлива фільтрація за певними параметрами, за часом.
На вкладці Files ми можемо переглянути файли захвату пакетів.
На вкладці Stats ми можемо переглянути загальну статистику перехоплення пакетів на хості (Moloch, Elasticsearch)
На вкладці History ми можемо переглядати всі дії користувачів в системі Moloch.
На вкладці Settings ми можемо налаштовувати нашу систему так як нам зручно (зміна кольору інтерфейсу)
На вкладці Users ми можемо додавати нових користувачів та управляти ними, змінювати права.
Перехопити трафік. Проаналізувати.
Відкриваємо вкладку Sessions та досліджуємо перехоплений трафік. Як ми можемо бачити тут міститься інформація про час, айді, назву хосту, протоколи які використовувалися, розмір пакетів, мак адреса відправника, айпи адреса відправника та порт.
Проаналізувавши пакет, ми можемо побачити IP адресу з якої був надіслан трафік, дату та часу, кількість перехоплених пакетів з цієї адреси, розмір тощо