AOL şirkəti şəbəkə paketlərinin tutulması, saxlanması və indeksləşdirilməsi üçün sistemin buraxılması , trafik axınlarını vizual qiymətləndirmək və şəbəkə fəaliyyəti ilə bağlı məlumatların axtarışı üçün alətlər təqdim edir. Kod C dilində yazılmışdır (interfeys Node.js/JavaScript) və Apache 2.0 altında lisenziyalıdır. Linux və FreeBSD-də işi dəstəkləyir. Hazır CentOS və Ubuntu-nun müxtəlif versiyaları üçün hazırlanmışdır.
Layihə 2012-ci ildə AOL trafik həcmlərinə çata bilən kommersiya şəbəkə paketi emal platforması üçün açıq əvəz yaratmaq məqsədi ilə yaradılmışdır. AOL-da yeni sistemin tətbiqi onun serverlərində yerləşdirilməsi hesabına infrastruktur üzərində tam nəzarətə nail olmağa və xərcləri əhəmiyyətli dərəcədə azaltmağa imkan verdi - bütün AOL şəbəkələrində trafiki tamamilə ələ keçirmək üçün Moloch-dan istifadə istifadə edərkən olduğu kimi eyni məbləğə başa gəlir. Əvvəllər yalnız bir şəbəkədə trafikin tutulmasına sərf olunurdu. Sistem saniyədə onlarla gigabit sürətlə trafiki emal etmək üçün miqyasını genişləndirə bilər. Saxlanılan məlumatların həcmi yalnız mövcud disk massivinin ölçüsü ilə məhdudlaşır.
Sessiya metadatası mühərrik əsaslı klasterdə indekslənir .
Moloch-a yerli PCAP formatında trafikin tutulması və indeksləşdirilməsi, həmçinin indeksləşdirilmiş məlumatlara sürətli çıxış üçün alətlər daxildir. Yığılmış məlumatları təhlil etmək üçün naviqasiya, axtarış və nümunələri ixrac etməyə imkan verən veb interfeysi təklif olunur. Həmçinin verilir , bu, PCAP formatında tutulan paketlər və JSON formatında təhlil edilmiş sessiyalar haqqında məlumatları üçüncü tərəf proqramlarına ötürməyə imkan verir. PCAP formatının istifadəsi Wireshark kimi mövcud trafik analizatorları ilə inteqrasiyanı xeyli asanlaşdırır.
Moloch üç əsas komponentdən ibarətdir:
- Trafik ələ keçirmə sistemi trafikin monitorinqi, diskə PCAP formatında zibillərin yazılması, tutulan paketlərin təhlili və sessiyalar (SPI, Stateful paket yoxlaması) və protokollar haqqında metadataların Elasticsearch klasterinə göndərilməsi üçün çox yivli C proqramıdır. PCAP fayllarını şifrələnmiş formada saxlamaq mümkündür.
- Node.js platformasına əsaslanan, hər bir trafik ələ keçirmə serverində işləyən və indeksləşdirilmiş məlumatlara daxil olmaq və PCAP faylları vasitəsilə köçürmə ilə bağlı sorğuları emal edən veb interfeysi. .
- Elasticsearch-ə əsaslanan metadata saxlama.
Veb-interfeys bir neçə baxış rejimini təmin edir - ümumi statistika, əlaqə xəritələri və şəbəkə fəaliyyətindəki dəyişikliklər haqqında məlumatların olduğu vizual qrafiklərdən tutmuş fərdi sessiyaların öyrənilməsi, istifadə olunan protokollar kontekstində fəaliyyətin təhlili və PCAP zibillərindən məlumatların təhlili üçün alətlərə qədər.
В :
- Elasticsearch-də indeksləşdirmə üçün tipsiz formatdan istifadəyə keçid edildi.
- Lua-da trafik tutma filtrlərinin nümunələri əlavə edildi.
- QUIC protokolunun 46 qaralama versiyasına dəstək həyata keçirilib.
- Protokolların təhlili üçün kod yenidən işlənmişdir ki, bu da Ethernet və IP səviyyəli protokollar üçün analizatorların yazılmasını mümkün edir.
- arp, bgp, igmp, isis, lldp, ospf və pim protokolları üçün yeni analizatorlar, eləcə də naməlum unkEthernet və unkIpProtocol protokolları üçün parserlər təklif edilmişdir.
- Ayrışdırıcıları seçici olaraq deaktiv etmək üçün seçim əlavə edildi (disableParsers).
- Parametrlər səhifəsində qoyulmuş istənilən tam sahəni qrafiklərdə göstərmək imkanı veb interfeysə əlavə edilib.
- Qrafiklər və başlıqlar indi dondurula bilər və səhifəni sürüşdürərkən yerindən tərpənmir.
- Əksər naviqasiya çubuqları gizlədilib və ya defolt olaraq yığışdırılıb.
Mənbə: opennet.ru