Menu Zavrieť

Značka: Moloch

Moloch – Možnosti použitia Molocha

Možnosti použitia Molocha

  • Autor : Tomáš Mokoš

Nástroj Moloch poskytuje rôzne príklady využitia, pričom ale množina môže byť pre jednotlivých používateľov aj širšia, pokiaľ nájdu pre Molocha aj iné uplatnenie, ako je tu uvedené.

  • DOS útoky – Analyzovanie spojení, ktoré sú podozrivé ako útoky pre odopretie služby.
  • Geolokácia – Identifikovanie krajiny pri spojení.
  • Access Intelligence – Pomáha analyzovať oprávnený/neoprávnený prístup k systémovým zdrojom, aplikáciám, serverom, prevádzkovaniu systému a funkcií. Môžeme tiež vykonať hĺbkovú analýzu pomocou značkovania (angl. taging) konkrétneho systému, aplikácie alebo služby, ktoré sú spustené v sieti.
  • Využitie portov pri spojeniach – množstvo spojení, ktoré boli spojené s konkrétnym portom.
  • Využitie URL pri spojeniach – množstvo spojení, ktoré boli spojené s konkrétnou URL pomocou dopytov.
  • Objemy dát

Na príklade ukážeme využitie Molocha pri analýze CICIDS 2017 datasetu, kde postupne analyzujeme DDoS Hulk útok.
Najskôr si prefiltrujeme prevádzku, kde pomocou filtra tags == CICIDS2017_WEDNESDAY && ip.dst == 192.168.10.50 získamé toky s cieľovou adresou webservera zo dňa útoku.

0 Shares