本文作者：Aloha（信安之路应急响应小组成员） 成员招募：信安之路应急响应小组寻找志同道合的朋友

关于 Moloch 的安装、部署、维护及优缺点介绍， Cherishao 已经在信安之路投稿了文章《Moloch 那些不得不说的事》

在网上关于 Moloch 的使用说明不多，很多文章都是这家 Copy 一下，哪里 Copy 一下；本手册主要是根据自己在使用时对相关功能的总结，参考官网的资料说明，对 Moloch 流量回溯系统的功能进行较为详细的介绍。

在工作中，我使用的是国内某家公司的全流量分析系统，相比之下，我认为 Moloch 作为一款开源系统，其对流量数据的解析功能非常强大，可以花式构造过滤语句。但毕竟以流量为主，不具备基于行为或特征之类的常见检测机制，如果需要，可以配合 Snort、Bro、Suricata 等检测系统。（Moloch 可将 Suricata作为插件结合，有兴趣的朋友可以试试）

文中用法多为个人理解，可能存在偏差，在此仅做抛砖引玉，希望各位表哥多交流指点！

一、Sessions 界面

搜索栏

输入过滤表达式，点击 search 进行检索。

应用&创建默认过滤

经预先设置后，将指定的条件作为默认过滤。

如图1-2：选择该条已定义好的规则，将检索所有捕获到的 TCP 数据，然后检索出与 IP 10.0.1.1 相关 TCP数据。

点击 “New View” 可以添加新的默认过滤条件。

如图 1-4，可设置默认过滤名称及相应过滤表达式

可以在 Settings 面板点击 “Views” 来查看默认过滤配置情况。

PS：我在试用中创建新条目时，Name值不可为中文字符。

导出过滤结果

导出查询结果，保存为 PCAP 格式或 CSV 格式。

选择区间回溯

选定回溯区间，点击 “Search”，查询数据。

指定时间段回溯

指定时间段，点击 “Search”，查询数据。

![img](https://ask.qcloudimg.com/http-save/yehe-2822697/rhylk047ry.jpeg?imageVi