AOL yritys verkkopakettien sieppaus-, tallennus- ja indeksointijärjestelmän julkaisu , joka tarjoaa työkaluja liikennevirtojen visuaaliseen arvioimiseen ja verkon toimintaan liittyvän tiedon etsimiseen. Koodi on kirjoitettu C-kielellä (käyttöliittymä Node.js/JavaScriptillä) ja lisensoitu Apache 2.0:lla. Tukee työtä Linuxissa ja FreeBSD:ssä. Valmis valmistettu CentOS:n ja Ubuntun eri versioille.
Projekti luotiin vuonna 2012 tavoitteena luoda avoin korvaava kaupallinen verkkopakettien käsittelyalusta, joka voisi skaalata AOL-liikennemääriin. Uuden järjestelmän käyttöönotto AOL:ssa mahdollisti infrastruktuurin täydellisen hallinnan sen palvelimilla tapahtuvan käyttöönoton ansiosta ja pienensi kustannuksia merkittävästi - Molochin käyttö liikenteen sieppaamiseen kaikissa AOL-verkoissa maksoi saman verran kuin käytettäessä Aikaisemmin se käytettiin liikenteen sieppaamiseen vain yhdessä verkossa. Järjestelmä voi skaalata käsittelemään liikennettä kymmenien gigabittien sekunnissa. Tallennetun tiedon määrää rajoittaa vain käytettävissä olevan levyryhmän koko.
Istunnon metatiedot indeksoidaan moottoripohjaisessa klusterissa .
Moloch sisältää työkalut liikenteen sieppaamiseen ja indeksointiin alkuperäisessä PCAP-muodossa sekä nopeaan indeksoitujen tietojen käyttöön. Kertyneen tiedon analysoimiseksi tarjotaan verkkokäyttöliittymä, jonka avulla voit navigoida, etsiä ja viedä näytteitä. Myös tarjotaan , jonka avulla voit siirtää tietoja kaapatuista PCAP-muodossa olevista paketeista ja jäsennetyistä istunnoista JSON-muodossa kolmannen osapuolen sovelluksiin. PCAP-muodon käyttö yksinkertaistaa huomattavasti integrointia olemassa olevien liikenneanalysaattoreiden, kuten Wiresharkin, kanssa.
Moloch koostuu kolmesta peruskomponentista:
- Liikenteen sieppausjärjestelmä on monisäikeinen C-sovellus liikenteen seurantaan, PCAP-muotoisten kaatotiedostojen kirjoittamiseen levylle, siepattujen pakettien jäsentämiseen ja istuntojen metatietojen (SPI, Stateful pakettien tarkastus) ja protokollien lähettämiseen Elasticsearch-klusteriin. PCAP-tiedostoja on mahdollista tallentaa salatussa muodossa.
- Node.js-alustaan perustuva verkkokäyttöliittymä, joka toimii jokaisessa liikenteen kaappauspalvelimessa ja käsittelee indeksoitujen tietojen käyttämiseen ja PCAP-tiedostojen siirtoon liittyviä pyyntöjä. .
- Metatietojen tallennus perustuu Elasticsearchiin.
Verkkokäyttöliittymä tarjoaa useita katselutiloja - yleisistä tilastoista, yhteyskartoista ja visuaalisista kaavioista, joissa on tietoja verkon toiminnan muutoksista, työkaluihin yksittäisten istuntojen tutkimiseen, toiminnan analysointiin käytettyjen protokollien yhteydessä ja PCAP-vedosten tietojen jäsentämiseen.
В :
- Elasticsearchissa on siirrytty käyttämään tyypitöntä muotoa indeksoinnissa.
- Lisätty esimerkkejä liikenteen kaappaussuodattimista Luassa.
- Tuki QUIC-protokollan 46-luonnosversiolle on otettu käyttöön.
- Jäsennysprotokollien koodi on muokattu, mikä mahdollistaa Ethernet- ja IP-tason protokollien jäsentimien kirjoittamisen.
- Uusia jäsentimiä on ehdotettu arp-, bgp-, igmp-, isis-, lldp-, ospf- ja pim-protokollille sekä jäsentimiä tuntemattomille unkEthernet- ja unkIpProtocol-protokolloille.
- Lisätty vaihtoehto, jolla jäsentimet voidaan poistaa käytöstä (disableParsers).
- Mahdollisuus näyttää mikä tahansa kokonaislukukenttä kaavioissa, joka on asetettu asetussivulla, on lisätty verkkokäyttöliittymään.
- Kaaviot ja otsikot voidaan nyt jäädyttää, eivätkä ne liiku sivua vieritettäessä.
- Useimmat navigointipalkit ovat oletusarvoisesti piilotettuja tai kutistettuja.
Lähde: opennet.ru