It bedriuw AOL frijlitting fan in systeem foar it fangen, opslaan en yndeksearjen fan netwurkpakketten , dy't ark biedt foar it fisueel beoardieljen fan ferkearsstreamen en it sykjen nei ynformaasje yn ferbân mei netwurkaktiviteit. De koade is skreaun yn C taal (ynterface yn Node.js/JavaScript) en lisinsje ûnder Apache 2.0. Unterstützt wurk op Linux en FreeBSD. Klear taret op ferskate ferzjes fan CentOS en Ubuntu.
It projekt waard makke yn 2012 mei it doel om in iepen ferfanging te meitsjen foar in kommersjeel netwurkpakketferwurkingsplatfoarm dat koe skaalje nei AOL-ferkearsvoluminten. De ymplemintaasje fan in nij systeem yn AOL makke it mooglik om folsleine kontrôle oer de ynfrastruktuer te berikken troch de ynset op har servers en de kosten signifikant te ferminderjen - it brûken fan Moloch om ferkear yn alle AOL-netwurken folslein te fangen koste itselde bedrach as by it brûken Earder waard it bestege oan it fangen fan ferkear op mar ien netwurk. It systeem kin skaalfergrutting om ferkear te ferwurkjen mei snelheden fan tsientallen gigabits per sekonde. It folume fan opsleine gegevens wurdt allinich beheind troch de grutte fan 'e beskikbere skiif array.
Sesje metadata wurdt yndeksearre yn de motor-basearre kluster .
Moloch omfettet ark foar it fêstlizzen en yndeksearjen fan ferkear yn native PCAP-formaat, lykas ek foar rappe tagong ta yndekseare gegevens. Om de sammele ynformaasje te analysearjen, wurdt in webynterface oanbean wêrmei jo samples kinne navigearje, sykje en eksportearje. Ek foarsjoen , wêrmei jo gegevens oer fongen pakketten yn PCAP-formaat en parsearde sesjes yn JSON-formaat kinne oerdrage nei applikaasjes fan tredden. It gebrûk fan it PCAP-formaat makket de yntegraasje mei besteande ferkearsanalyzers lykas Wireshark sterk simplifies.
Moloch bestiet út trije basiskomponinten:
- It ferkearsopfangsysteem is in multi-threaded C-applikaasje foar it kontrolearjen fan ferkear, it skriuwen fan dumps yn PCAP-formaat nei skiif, it parsearjen fan fongen pakketten en it ferstjoeren fan metadata oer sesjes (SPI, Stateful packet ynspeksje) en protokollen nei it Elasticsearch-kluster. It is mooglik om PCAP-bestannen yn fersifere foarm op te slaan.
- In webynterface basearre op it Node.js-platfoarm, dat rint op elke ferkearsopfangserver en ferwurket fersiken yn ferbân mei tagong ta yndekseare gegevens en oerbringen fan PCAP-bestannen fia .
- Metadata opslach basearre op Elasticsearch.
De webynterface biedt ferskate werjeftemodi - fan algemiene statistiken, ferbiningskaarten en fisuele grafiken mei gegevens oer feroaringen yn netwurkaktiviteit oant ark foar it studearjen fan yndividuele sesjes, analysearjen fan aktiviteit yn 'e kontekst fan' e brûkte protokollen en it parsearjen fan gegevens fan PCAP-dumps.
В :
- In oergong is makke nei it brûken fan in typeleas formaat foar yndeksearring yn Elasticsearch.
- Tafoege foarbylden fan ferkear capture filters yn Lua.
- Stipe foar de 46-ûntwerpferzje fan it QUIC-protokol is ymplementearre.
- De koade foar it parsearjen fan protokollen is opnij bewurke, wêrtroch it mooglik is om parsers te skriuwen foar Ethernet- en IP-nivoprotokollen.
- Nije parsers binne foarsteld foar de arp, bgp, igmp, isis, lldp, ospf en pim protokollen, lykas parsers foar de ûnbekende unkEthernet en unkIpProtocol protokollen.
- In opsje tafoege om parsers selektyf út te skeakeljen (disableParsers).
- De mooglikheid om in heule getalfjild te werjaan op diagrammen, ynsteld op 'e ynstellingsside, is tafoege oan' e webynterface.
- Grafiken en titels kinne no beferzen wurde en net ferpleatse by it rôljen fan de side.
- De measte navigaasjebalken binne standert ferburgen of ynstoarten.
Boarne: opennet.ru