AOL社 ネットワークパケットをキャプチャ、保存、インデックス付けするシステムのリリース 、トラフィック フローを視覚的に評価し、ネットワーク アクティビティに関連する情報を検索するためのツールを提供します。コードは C 言語 (Node.js/JavaScript のインターフェース) で書かれており、 Apache 2.0 に基づいてライセンスされています。 Linux および FreeBSD での作業をサポートします。準備ができて CentOS と Ubuntu のさまざまなバージョン用に用意されています。
このプロジェクトは、AOL トラフィック量に合わせて拡張できる、商用ネットワークのパケット処理プラットフォームに代わるオープンなプラットフォームを作成することを目的として 2012 年に設立されました。 AOL での新しいシステムの実装により、サーバー上での展開によりインフラストラクチャの完全な制御が可能になり、コストが大幅に削減されました。Moloch を使用してすべての AOL ネットワークのトラフィックを完全にキャプチャすると、Moloch を使用した場合と同じ金額のコストがかかります。 以前は、1 つのネットワークのみのトラフィックをキャプチャするために費やされていました。このシステムは、毎秒数十ギガビットの速度でトラフィックを処理するように拡張できます。保存されるデータの量は、利用可能なディスク アレイのサイズによってのみ制限されます。
セッションメタデータはエンジンベースのクラスターでインデックス付けされます .
Moloch には、ネイティブ PCAP 形式でトラフィックをキャプチャおよびインデックス付けするためのツールと、インデックス付けされたデータに迅速にアクセスするためのツールが含まれています。蓄積された情報を分析するために、サンプルの移動、検索、エクスポートを可能にする Web インターフェイスが提供されます。も提供されています これにより、PCAP 形式でキャプチャされたパケットおよび JSON 形式で解析されたセッションに関するデータをサードパーティ アプリケーションに転送できます。 PCAP 形式を使用すると、Wireshark などの既存のトラフィック アナライザーとの統合が大幅に簡素化されます。
モロクは 3 つの基本コンポーネントで構成されます。
- トラフィック キャプチャ システムは、トラフィックの監視、PCAP 形式でのダンプのディスクへの書き込み、キャプチャされたパケットの解析、セッション (SPI、ステートフル パケット インスペクション) およびプロトコルに関するメタデータの Elasticsearch クラスターへの送信を行うマルチスレッド C アプリケーションです。 PCAP ファイルを暗号化された形式で保存することができます。
- Node.js プラットフォームに基づく Web インターフェイス。各トラフィック キャプチャ サーバー上で実行され、インデックス付きデータへのアクセスと PCAP ファイルの転送に関連するリクエストを処理します。 .
- Elasticsearch に基づくメタデータ ストレージ。
Web インターフェイスは、一般的な統計、接続マップ、ネットワーク アクティビティの変化に関するデータを含む視覚的なグラフから、個々のセッションを調査し、使用されているプロトコルのコンテキストでアクティビティを分析し、PCAP ダンプからのデータを解析するためのツールに至るまで、いくつかの表示モードを提供します。
В :
- Elasticsearch でのインデックス作成にタイプレス形式を使用するように移行しました。
- Lua のトラフィック キャプチャ フィルターの例を追加しました。
- QUIC プロトコルの 46 ドラフト バージョンのサポートが実装されました。
- プロトコルを解析するコードが改良され、イーサネットおよび IP レベルのプロトコルのパーサーを作成できるようになりました。
- arp、bgp、igmp、isis、lldp、ospf、および pim プロトコルの新しいパーサーと、未知の unkEthernet および unkIpProtocol プロトコルのパーサーが提案されています。
- パーサーを選択的に無効にするオプション (disableParsers) を追加しました。
- 設定ページで設定されたチャート上に任意の整数フィールドを表示する機能が Web インターフェイスに追加されました。
- グラフとタイトルを固定し、ページをスクロールするときに動かないようにすることができます。
- ほとんどのナビゲーション バーは、デフォルトでは非表示または折りたたまれています。
出所: オープンネット.ru