「NWフォレンジックにおける活用事例」 メモ

デジタル・フォレンジックの一つ。
パケットデータを収集し、攻撃検知などを行うこと

攻撃者はログを消すので、ネットワークフォレンジックを使い、ログを残す。

• サーバ上でTCPダンプを叩く。
• サーバのリソースを使うので本番運営はやめたほうが…

• ネットワークからタップやL2スキャンを行い、キャプチャサーバへログを流す
• 長時間キャプチャが必要なネットワークフォレンジックはこちらがよい

• Moloch：パケットの解析
• ElasticSearch：検索

便利！

• Capture
  • パケット解析
  • ESにデータの格納
• WISE
  • logstashとの連携
• Viewer
  • Web UI
• ElasticSearch
  • 検索

MolochはキーワードでElasticSearchに格納され、Molochが管理する。
→全文検索ができない

ElasticSearchと分けて三台構成がおすすめ。

クラスタをまたいでの検索が可能

C言語で拡張が可能

• どのレイヤを解析したい？
  • MolochはL3～L7
  • Molochはセッションからデータを取得
• 何が目的なのか
  • フルパケットキャプチャならMolochがおすすめ
  • 統計情報だけなら別のサービスのほうがいいかも？
• pcapファイルとメタデータの保存を分けて考える
• 一台構成でいいので、必ず実トラフィックで検証を行う

• swapは無効化
• キャプチャーIFのNICオプションを無効化する
• db.plを使ってESを初期化する
  • レプリカの設定を忘れない
  • デフォルトではなしになっている

LIB PCAPを通常使うが、MolochはT Packet V3を利用することを推奨

書き込みで処理落ちして、データが漏れる
↓
Simple node directを設定する事によって、書き込み性能の問題を緩和できる。
が、書き込み性能の良いSSDを使うのが良い。

• https://knowledge.sakura.ad.jp/18721/

[PR] おすすめの本

この記事を書いた人

Nな人（えぬなひと）。
Nは本名から取っています。
Laravelが大好きなPHPerで、WEBを作るときはLaravelを技術スタックに絶対推すマン。
PHP、Pythonと、昔はperlを書いていたP言語エンジニア。
最近はNimを書いたりしています。