Cumpagnia AOL liberazione di un sistema per catturà, almacenà è indexà i pacchetti di rete , chì furnisce strumenti per evaluà visualmente i flussi di trafficu è a ricerca di l'infurmazioni relative à l'attività di a rete. U codice hè scrittu in lingua C (interfaccia in Node.js/JavaScript) è licenziatu sottu Apache 2.0. Supporta u travagliu nantu à Linux è FreeBSD. Pronta preparatu per diverse versioni di CentOS è Ubuntu.
U prugettu hè statu creatu in 2012 cù u scopu di creà un sustitutu apertu per una piattaforma di trasfurmazioni di pacchetti di rete cummerciale chì puderia scala à volumi di trafficu AOL. L'implementazione di un novu sistema in AOL hà permessu di ottene un cuntrollu cumpletu di l'infrastruttura per via di a implementazione nantu à i so servitori è di riduce significativamente i costi - utilizendu Moloch per catturà cumplettamente u trafficu in tutte e rete AOL custanu a listessa quantità chì quandu si usa. Prima, hè stata spesa per catturà u trafficu in una sola reta. U sistema pò scala per processà u trafficu à velocità di decine di gigabits per seconda. U voluminu di dati almacenati hè limitatu solu da a dimensione di l'array di discu dispunibule.
I metadati di a sessione sò indexati in u cluster basatu in u mutore .
Moloch include strumenti per catturà è indexà u trafficu in u formatu nativu PCAP, è ancu per un accessu rapidu à e dati indexati. Per analizà l'infurmazioni accumulate, hè offerta una interfaccia web chì vi permette di navigà, di ricerca è di esporà campioni. Fornitu ancu , chì permette di trasfiriri dati nantu à i pacchetti catturati in u formatu PCAP è e sessioni analizate in u formatu JSON à l'applicazioni di terzu. L'usu di u formatu PCAP simplifica assai l'integrazione cù l'analizatori di trafficu esistenti cum'è Wireshark.
Moloch hè custituitu di trè cumpunenti basi:
- U sistema di cattura di u trafficu hè una applicazione C multi-threaded per u seguimentu di u trafficu, scrive dumps in formatu PCAP à u discu, analizà i pacchetti catturati è mandà metadati nantu à e sessioni (SPI, Stateful packet inspection) è protokolli à u cluster Elasticsearch. Hè pussibule almacenà i schedari PCAP in forma criptata.
- Una interfaccia web basata nantu à a piattaforma Node.js, chì corre nantu à ogni servitore di cattura di trafficu è processa e dumande relative à l'accessu à i dati indexati è u trasferimentu di fugliali PCAP via .
- U almacenamentu di metadati basatu annantu à Elasticsearch.
L'interfaccia web furnisce parechji modi di visualizazione - da statistiche generale, carte di cunnessione è grafici visuali cù dati nantu à i cambiamenti in l'attività di a rete à l'arnesi per studià e sessioni individuali, analizà l'attività in u cuntestu di i protokolli utilizati è analizà e dati da i dumps PCAP.
В :
- Una transizione hè stata fatta à utilizà un furmatu senza tipu per l'indexazione in Elasticsearch.
- Aggiunti esempi di filtri di cattura di trafficu in Lua.
- U supportu per a versione 46-draft di u protocolu QUIC hè statu implementatu.
- U codice per i protokolli di analisi hè statu riformulatu, facendu pussibule di scrive parsers per protokolli Ethernet è IP.
- Nuvelli parsers sò stati pruposti per i protokolli arp, bgp, igmp, isis, lldp, ospf è pim, è ancu per i protokolli scunnisciuti unkEthernet è unkIpProtocol.
- Aggiunta una opzione per disattivà selettivamente i parsers (disableParsers).
- A capacità di visualizà ogni campu integer nantu à i grafici, stabilitu in a pagina di paràmetri, hè stata aghjunta à l'interfaccia web.
- I grafici è i tituli ponu avà esse congelati è ùn si movenu micca quandu scorri a pagina.
- A maiò parte di e barre di navigazione sò oculate o colapsate per automaticamente.
Source: opennet.ru