Cwmni AOL rhyddhau system ar gyfer dal, storio a mynegeio pecynnau rhwydwaith , sy'n darparu offer ar gyfer asesu llif traffig yn weledol a chwilio am wybodaeth sy'n ymwneud Γ’ gweithgaredd rhwydwaith. Mae'r cod wedi'i ysgrifennu yn iaith C (rhyngwyneb yn Node.js/JavaScript) a trwyddedig o dan Apache 2.0. Yn cefnogi gwaith ar Linux a FreeBSD. Yn barod wedi'i baratoi ar gyfer gwahanol fersiynau o CentOS a Ubuntu.
CrΓ«wyd y prosiect yn 2012 gyda'r nod o greu un newydd yn lle platfform prosesu pecynnau rhwydwaith masnachol a allai raddfa i gyfeintiau traffig AOL. Roedd gweithredu system newydd yn AOL yn ei gwneud hi'n bosibl sicrhau rheolaeth lwyr dros y seilwaith oherwydd ei ddefnyddio ar ei weinyddion a lleihau costau'n sylweddol - mae defnyddio Moloch i ddal traffig yn llwyr ym mhob rhwydwaith AOL yn costio'r un faint ag wrth ddefnyddio Yn flaenorol, fe'i gwariwyd ar ddal traffig ar un rhwydwaith yn unig. Gall y system raddfa i brosesu traffig ar gyflymder o ddegau o gigabits yr eiliad. Mae maint y data sydd wedi'i storio wedi'i gyfyngu gan faint yr arae disg sydd ar gael yn unig.
Mae metadata sesiwn wedi'i fynegeio yn y clwstwr sy'n seiliedig ar injan .
Mae Moloch yn cynnwys offer ar gyfer dal a mynegeio traffig mewn fformat PCAP brodorol, yn ogystal ag ar gyfer mynediad cyflym i ddata mynegeio. Er mwyn dadansoddi'r wybodaeth a gasglwyd, cynigir rhyngwyneb gwe sy'n eich galluogi i lywio, chwilio ac allforio samplau. Darperir hefyd , sy'n eich galluogi i drosglwyddo data am becynnau wedi'u dal mewn fformat PCAP a sesiynau wedi'u dosrannu yn fformat JSON i gymwysiadau trydydd parti. Mae'r defnydd o fformat PCAP yn symleiddio'r integreiddio Γ’ dadansoddwyr traffig presennol fel Wireshark yn fawr.
Mae Moloch yn cynnwys tair cydran sylfaenol:
- Mae'r system dal traffig yn gymhwysiad C aml-edau ar gyfer monitro traffig, ysgrifennu tomenni mewn fformat PCAP i ddisg, dosrannu pecynnau wedi'u dal ac anfon metadata am sesiynau (SPI, archwiliad pecynnau Stateful) a phrotocolau i'r clwstwr Elasticsearch. Mae'n bosibl storio ffeiliau PCAP ar ffurf wedi'i hamgryptio.
- Rhyngwyneb gwe wedi'i seilio ar blatfform Node.js, sy'n rhedeg ar bob gweinydd dal traffig ac yn prosesu ceisiadau sy'n ymwneud Γ’ chyrchu data wedi'i fynegeio a throsglwyddo ffeiliau PCAP trwy .
- Storio metadata yn seiliedig ar Elasticsearch.
Mae'r rhyngwyneb gwe yn darparu sawl dull gwylio - o ystadegau cyffredinol, mapiau cysylltiad a graffiau gweledol gyda data ar newidiadau mewn gweithgaredd rhwydwaith i offer ar gyfer astudio sesiynau unigol, dadansoddi gweithgaredd yng nghyd-destun y protocolau a ddefnyddir a dosrannu data o dympiau PCAP.
Π :
- Gwnaethpwyd trawsnewidiad i ddefnyddio fformat di-deip ar gyfer mynegeio yn Elasticsearch.
- Ychwanegwyd enghreifftiau o ffilterau dal traffig yn Lua.
- Mae cefnogaeth ar gyfer y fersiwn 46 drafft o'r protocol QUIC wedi'i roi ar waith.
- Mae'r cod ar gyfer protocolau dosrannu wedi'i ail-weithio, gan ei gwneud hi'n bosibl ysgrifennu parsers ar gyfer protocolau lefel Ethernet ac IP.
- Mae parsers newydd wedi'u cynnig ar gyfer y protocolau arp, bgp, igmp, isis, lldp, ospf a pim, yn ogystal Γ’ pharswyr ar gyfer y protocolau unkEthernet ac unkIpProtocol anhysbys.
- Ychwanegwyd opsiwn i analluogi parsers yn ddetholus (disableParsers).
- Mae'r gallu i arddangos unrhyw faes cyfanrif ar siartiau, a osodwyd ar y dudalen gosodiadau, wedi'i ychwanegu at y rhyngwyneb gwe.
- Bellach gellir rhewi graffiau a theitlau a pheidio Γ’'u symud wrth sgrolio'r dudalen.
- Mae'r rhan fwyaf o fariau llywio wedi'u cuddio neu eu cwympo yn ddiofyn.
Ffynhonnell: opennet.ru