AOL компаниясы желілік пакеттерді түсіру, сақтау және индекстеу жүйесін шығару , ол трафик ағындарын визуалды бағалауға және желілік белсенділікке қатысты ақпаратты іздеуге арналған құралдарды ұсынады. Код Си тілінде жазылған (интерфейс Node.js/JavaScript) және Apache 2.0 бойынша лицензияланған. Linux және FreeBSD жүйелеріндегі жұмысты қолдайды. Дайын CentOS және Ubuntu әртүрлі нұсқалары үшін дайындалған.
Жоба 2012 жылы AOL трафик көлеміне дейін масштабтауға болатын коммерциялық желі пакеттерін өңдеу платформасын ашық ауыстыру мақсатымен жасалған. AOL-те жаңа жүйені енгізу оның серверлерінде орналастыру есебінен инфрақұрылымды толық бақылауға қол жеткізуге және шығындарды айтарлықтай азайтуға мүмкіндік берді - барлық AOL желілерінде трафикті толығымен түсіру үшін Moloch-ты пайдалану пайдалану кезіндегідей сомада тұрады. Бұрын ол тек бір желідегі трафикті түсіруге жұмсалды. Жүйе трафикті секундына ондаған гигабит жылдамдықпен өңдеу үшін масштабтай алады. Сақталған деректердің көлемі тек қол жетімді диск массивінің өлшемімен шектеледі.
Сеанс метадеректері қозғалтқышқа негізделген кластерде индекстелген .
Moloch жергілікті PCAP пішіміндегі трафикті түсіруге және индекстеуге, сондай-ақ индекстелген деректерге жылдам қол жеткізуге арналған құралдарды қамтиды. Жинақталған ақпаратты талдау үшін үлгілерді шарлауға, іздеуге және экспорттауға мүмкіндік беретін веб-интерфейс ұсынылады. Сондай-ақ қамтамасыз етілген , бұл PCAP пішіміндегі түсірілген пакеттер және JSON пішіміндегі талданған сеанстар туралы деректерді үшінші тарап қолданбаларына тасымалдауға мүмкіндік береді. PCAP пішімін пайдалану Wireshark сияқты бар трафик анализаторларымен интеграцияны айтарлықтай жеңілдетеді.
Молох үш негізгі компоненттен тұрады:
- Трафикті түсіру жүйесі трафикті бақылауға, дискіге демптерді PCAP пішімінде жазуға, түсірілген пакеттерді талдауға және сеанстар туралы метадеректерді (SPI, Stateful пакеттік тексеру) және Elasticsearch кластеріне хаттамаларды жіберуге арналған көп ағынды C қолданбасы болып табылады. PCAP файлдарын шифрланған түрде сақтауға болады.
- Әрбір трафикті түсіру серверінде жұмыс істейтін және индекстелген деректерге қол жеткізуге және PCAP файлдарын тасымалдауға қатысты сұрауларды өңдейтін Node.js платформасына негізделген веб-интерфейс. .
- Elasticsearch негізіндегі метадеректер қоймасы.
Веб-интерфейс бірнеше қарау режимдерін қамтамасыз етеді - жалпы статистикадан, қосылым карталарынан және желілік белсенділіктің өзгеруі туралы деректері бар визуалды графиктерден жеке сеанстарды зерттеуге, пайдаланылатын хаттамалар контекстіндегі белсенділікті талдауға және PCAP демптерінен деректерді талдауға арналған құралдарға дейін.
В :
- Elasticsearch-те индекстеу үшін типсіз пішімді пайдалануға көшу жасалды.
- Луадағы трафикті түсіру сүзгілерінің мысалдары қосылды.
- QUIC хаттамасының 46 жобалық нұсқасын қолдау жүзеге асырылды.
- Протоколдарды талдауға арналған код қайта өңделді, бұл Ethernet және IP деңгейіндегі хаттамалар үшін талдаушыларды жазуға мүмкіндік береді.
- arp, bgp, igmp, isis, lldp, ospf және pim протоколдары үшін жаңа талдаушылар, сондай-ақ белгісіз unkEthernet және unkIpProtocol протоколдары үшін талдаушылар ұсынылды.
- Талдауыштарды таңдаулы түрде өшіру опциясы қосылды (disableParsers).
- Параметрлер бетінде орнатылған диаграммаларда кез келген бүтін өрісті көрсету мүмкіндігі веб-интерфейске қосылды.
- Графиктер мен тақырыптар енді бетті жылжытқанда қозғалмайды және қатып қалуы мүмкін.
- Көптеген шарлау жолақтары әдепкі бойынша жасырылған немесе жиырылған.
Ақпарат көзі: opennet.ru