AOL社
このプロジェクトは、AOL トラフィック量に合わせて拡張できる、商用ネットワークのパケット処理プラットフォームに代わるオープンなプラットフォームを作成することを目的として 2012 年に設立されました。 AOL での新しいシステムの実装により、サーバー上での展開によりインフラストラクチャの完全な制御が可能になり、コストが大幅に削減されました。Moloch を使用してすべての AOL ネットワークのトラフィックを完全にキャプチャすると、Moloch を使用した場合と同じ金額のコストがかかります。
セッションメタデータはエンジンベースのクラスターでインデックス付けされます
Moloch には、ネイティブ PCAP 形式でトラフィックをキャプチャおよびインデックス付けするためのツールと、インデックス付けされたデータに迅速にアクセスするためのツールが含まれています。蓄積された情報を分析するために、サンプルの移動、検索、エクスポートを可能にする Web インターフェイスが提供されます。も提供されています
モロクは 3 つの基本コンポーネントで構成されます。
- トラフィック キャプチャ システムは、トラフィックの監視、PCAP 形式でのダンプのディスクへの書き込み、キャプチャされたパケットの解析、セッション (SPI、ステートフル パケット インスペクション) およびプロトコルに関するメタデータの Elasticsearch クラスターへの送信を行うマルチスレッド C アプリケーションです。 PCAP ファイルを暗号化された形式で保存することができます。
- Node.js プラットフォームに基づく Web インターフェイス。各トラフィック キャプチャ サーバー上で実行され、インデックス付きデータへのアクセスと PCAP ファイルの転送に関連するリクエストを処理します。
API . - Elasticsearch に基づくメタデータ ストレージ。
Web インターフェイスは、一般的な統計、接続マップ、ネットワーク アクティビティの変化に関するデータを含む視覚的なグラフから、個々のセッションを調査し、使用されているプロトコルのコンテキストでアクティビティを分析し、PCAP ダンプからのデータを解析するためのツールに至るまで、いくつかの表示モードを提供します。
В
- Elasticsearch でのインデックス作成にタイプレス形式を使用するように移行しました。
- Lua のトラフィック キャプチャ フィルターの例を追加しました。
- QUIC プロトコルの 46 ドラフト バージョンのサポートが実装されました。
- プロトコルを解析するコードが改良され、イーサネットおよび IP レベルのプロトコルのパーサーを作成できるようになりました。
- arp、bgp、igmp、isis、lldp、ospf、および pim プロトコルの新しいパーサーと、未知の unkEthernet および unkIpProtocol プロトコルのパーサーが提案されています。
- パーサーを選択的に無効にするオプション (disableParsers) を追加しました。
- 設定ページで設定されたチャート上に任意の整数フィールドを表示する機能が Web インターフェイスに追加されました。
- グラフとタイトルを固定し、ページをスクロールするときに動かないようにすることができます。
- ほとんどのナビゲーション バーは、デフォルトでは非表示または折りたたまれています。
出所: オープンネット.ru