AOL Maatskappy vrystelling van 'n stelsel vir die vaslegging, berging en indeksering van netwerkpakkies , wat gereedskap verskaf om verkeersvloei visueel te assesseer en inligting te soek wat met netwerkaktiwiteit verband hou. Die kode is in C-taal geskryf (koppelvlak in Node.js/JavaScript) en gelisensieer onder Apache 2.0. Ondersteun werk op Linux en FreeBSD. Gereed voorberei vir verskillende weergawes van CentOS en Ubuntu.
Die projek is in 2012 geskep met die doel om 'n oop plaasvervanger vir 'n kommersiële netwerkpakketverwerkingsplatform te skep wat na AOL-verkeervolumes kan skaal. Die implementering van 'n nuwe stelsel in AOL het dit moontlik gemaak om volledige beheer oor die infrastruktuur te verkry as gevolg van ontplooiing op sy bedieners en aansienlik verminder koste - die gebruik van Moloch om verkeer in alle AOL-netwerke heeltemal vas te vang kos dieselfde bedrag as wanneer gebruik Voorheen is dit spandeer om verkeer op slegs een netwerk vas te lê. Die stelsel kan skaal om verkeer teen spoed van tientalle gigabit per sekonde te verwerk. Die volume gestoorde data word slegs beperk deur die grootte van die beskikbare skyfskikking.
Sessie-metadata word in die enjin-gebaseerde groepering geïndekseer .
Moloch sluit gereedskap in vir die vaslegging en indeksering van verkeer in inheemse PCAP-formaat, sowel as vir vinnige toegang tot geïndekseerde data. Om die opgehoopte inligting te ontleed, word 'n webkoppelvlak aangebied waarmee u monsters kan navigeer, soek en uitvoer. Ook voorsien , wat jou toelaat om data oor gevange pakkies in PCAP-formaat en ontleed sessies in JSON-formaat na derdeparty-toepassings oor te dra. Die gebruik van die PCAP-formaat vergemaklik grootliks integrasie met bestaande verkeersontleders soos Wireshark.
Moloch bestaan uit drie basiese komponente:
- Die verkeersopvangstelsel is 'n multi-draad C-toepassing vir die monitering van verkeer, die skryf van PCAP-stortings na skyf, die ontleed van vasgelegde pakkies, en die stuur van stateful packet inspection (SPI) en protokol-metadata na 'n Elasticsearch-kluster. Dit is moontlik om PCAP-lêers in geënkripteerde vorm te stoor.
- 'n Webkoppelvlak gebaseer op die Node.js-platform, wat op elke verkeersopvangbediener loop en versoeke verwerk wat verband hou met toegang tot geïndekseerde data en die oordrag van PCAP-lêers via .
- Metadataberging gebaseer op Elasticsearch.
Die webkoppelvlak bied verskeie kykmodusse – van algemene statistieke, verbindingskaarte en visuele grafieke met data oor veranderinge in netwerkaktiwiteit tot hulpmiddels vir die bestudering van individuele sessies, ontleding van aktiwiteit in die konteks van die protokolle wat gebruik word en die ontleding van data vanaf PCAP-stortings.
В :
- 'n Oorgang is gemaak na die gebruik van 'n tipelose formaat vir indeksering in Elasticsearch.
- Bygevoeg voorbeelde van verkeer vasvang filters in Lua.
- Ondersteuning vir die 46-konsep-weergawe van die QUIC-protokol is geïmplementeer.
- Die kode vir ontleedprotokolle is herwerk, wat dit moontlik maak om ontleders vir Ethernet- en IP-vlakprotokolle te skryf.
- Nuwe ontleders is voorgestel vir die arp, bgp, igmp, isis, lldp, ospf en pim protokolle, sowel as ontleders vir die onbekende unkEthernet en unkIpProtocol protokolle.
- Het 'n opsie bygevoeg om parsers selektief uit te skakel (disableParsers).
- Die vermoë om enige heelgetalveld op kaarte te vertoon, gestel op die instellingsbladsy, is by die webkoppelvlak gevoeg.
- Grafieke en titels kan nou gevries word en nie beweeg wanneer die bladsy gerol word nie.
- Die meeste navigasiestawe is by verstek versteek of ingevou.
Bron: opennet.ru