AOL fyrirtæki útgáfu kerfis til að fanga, geyma og flokka netpakka , sem veitir verkfæri til að meta umferðarflæði sjónrænt og leita upplýsinga sem tengjast netvirkni. Kóðinn er skrifaður á C tungumáli (viðmót í Node.js/JavaScript) og leyfi samkvæmt Apache 2.0. Styður vinnu á Linux og FreeBSD. Tilbúið undirbúin fyrir mismunandi útgáfur af CentOS og Ubuntu.
Verkefnið var stofnað árið 2012 með það að markmiði að búa til opinn staðgengil fyrir pakkavinnsluvettvang fyrir viðskiptanet sem gæti stækkað að AOL umferðarmagni. Innleiðing nýs kerfis í AOL gerði það mögulegt að ná fullkominni stjórn á innviðum vegna uppsetningar á netþjónum þess og draga verulega úr kostnaði - að nota Moloch til að ná fullkomlega umferð í öllum AOL netum kostaði sömu upphæð og þegar notaður var Áður var það eytt í að fanga umferð á aðeins einu neti. Kerfið getur stækkað til að vinna úr umferð á hraða upp á tugi gígabita á sekúndu. Rúmmál geymdra gagna takmarkast aðeins af stærð tiltæks diskafylkis.
Lýsigögn lotu eru verðtryggð í þyrpingunni sem byggir á vél .
Moloch inniheldur verkfæri til að fanga og flokka umferð á innfæddu PCAP sniði, sem og fyrir skjótan aðgang að verðtryggðum gögnum. Til að greina uppsafnaðar upplýsingar er boðið upp á vefviðmót sem gerir þér kleift að fletta, leita og flytja út sýnishorn. Einnig veitt , sem gerir þér kleift að flytja gögn um handtekna pakka á PCAP sniði og flokkaðar lotur á JSON sniði yfir í forrit þriðja aðila. Notkun PCAP sniðsins einfaldar mjög samþættingu við núverandi umferðargreiningartæki eins og Wireshark.
Moloch samanstendur af þremur grunnþáttum:
- Umferðarfangakerfið er fjölþráða C forrit til að fylgjast með umferð, skrifa dumpa á PCAP sniði á disk, þátta handtekna pakka og senda lýsigögn um lotur (SPI, Stateful packet inspection) og samskiptareglur í Elasticsearch klasann. Það er hægt að geyma PCAP skrár á dulkóðuðu formi.
- Vefviðmót byggt á Node.js pallinum, sem keyrir á hverjum umferðarfangaþjóni og vinnur úr beiðnum sem tengjast aðgangi að verðtryggðum gögnum og flutningi PCAP skráa í gegnum .
- Geymsla lýsigagna byggð á Elasticsearch.
Vefviðmótið býður upp á nokkrar skoðunarstillingar - allt frá almennri tölfræði, tengikortum og sjónrænum línuritum með gögnum um breytingar á netvirkni til verkfæra til að rannsaka einstakar lotur, greina virkni í samhengi við samskiptareglur sem notaðar eru og þátta gögn frá PCAP sorphaugum.
В :
- Farið hefur verið yfir í að nota tegundalaust snið fyrir flokkun í Elasticsearch.
- Bætti við dæmum um umferðarfangasíur í Lua.
- Stuðningur við 46 drög að útgáfu QUIC samskiptareglunnar hefur verið innleiddur.
- Kóðinn fyrir þáttun samskiptareglur hefur verið endurunnin, sem gerir það mögulegt að skrifa þáttaforrit fyrir Ethernet og IP-stig samskiptareglur.
- Nýir flokkarar hafa verið lagðir til fyrir arp, bgp, igmp, isis, lldp, ospf og pim samskiptareglur, sem og flokka fyrir óþekkta unkEthernet og unkIpProtocol samskiptareglur.
- Bætti við valkosti til að slökkva á þátttakendum (disableParsers).
- Möguleikinn á að birta hvaða heiltölureit sem er á myndritum, stilltur á stillingasíðunni, hefur verið bætt við vefviðmótið.
- Nú er hægt að frysta línurit og titla og hreyfa sig ekki þegar flett er á síðunni.
- Flestar yfirlitsstikur eru sjálfgefnar faldar eða dregnar saman.
Heimild: opennet.ru