Şirketa AOL serbestberdana pergalek ji bo girtina pakêtên torê, hilanîn û nîşankirin , ku amûrên ji bo nirxandina dîtbarî herikîna trafîkê û lêgerîna agahdariya têkildarî çalakiya torê peyda dike. Kod bi zimanê C (navbera bi Node.js/JavaScript) û lîsansa di bin Apache 2.0. Karê li ser Linux û FreeBSD piştgirî dike. Amade ji bo guhertoyên cuda yên CentOS û Ubuntu amade kirin.
Proje di sala 2012-an de bi mebesta afirandina veguhezek vekirî ji bo platformek pêvajoyek pakêtê ya torê ya bazirganî ya ku dikare bi rêjeyên seyrûsefera AOL-ê vebibe hate afirandin. Pêkanîna pergalek nû di AOL-ê de ev gengaz kir ku ji ber bicihkirina li ser serverên wê bi tevahî kontrola binesaziyê bi dest bixe û lêçûn bi girîng kêm bike - karanîna Moloch da ku bi tevahî seyrûseferê di hemî torên AOL-ê de bigire bi heman qasê lêçûna dema karanîna Berê, ew ji bo girtina seyrûsefera li ser yek torê hate xerc kirin. Pergal dikare ji bo ku seyrûseferê bi leza bi dehan gigabit di saniyeyê de pêvajoyê bike pîvan. Hêjmara daneyên hilanîn tenê ji hêla mezinahiya dîska berdest ve sînorkirî ye.
Metadata danişînê di koma-based motorê de tête navnîş kirin .
Moloch amûrên ji bo girtina seyrûseferê di formata PCAP-a xwemalî de, û hem jî ji bo gihîştina bilez a daneyên pêvekirî vedihewîne. Ji bo analîzkirina agahdariya berhevkirî, navgînek webê tê pêşkêş kirin ku dihêle hûn nimûneyan bigerin, bigerin û derxînin. Her weha pêşkêş kirin , ku destûrê dide te ku hûn daneyên di derheqê pakêtên hatine girtin de bi formata PCAP-ê û danişînên parskirî yên bi formata JSON veguhezînin serîlêdanên partiya sêyemîn. Bikaranîna formata PCAP-ê yekbûna bi analîzkerên trafîkê yên heyî yên wekî Wireshark re pir hêsan dike.
Moloch ji sê hêmanên bingehîn pêk tê:
- Pergala girtina seyrûseferê serîlêdanek C-ya pirzimanî ye ji bo şopandina seyrûseferê, nivîsandina dumpên bi formata PCAP-ê li ser dîskê, parkirina pakêtên hatine girtin û şandina metadaneyên der barê danişînan de (SPI, teftîşa pakêta Stateful) û protokolan ji koma Elasticsearch re. Dibe ku pelên PCAP-ê bi rengek şîfrekirî hilînin.
- Navberek malperê ya ku li ser bingeha platforma Node.js-ê ye, ku li ser her serverek girtina trafîkê dimeşîne û daxwazên têkildarî gihîştina daneyên pêvekirî û veguheztina pelên PCAP-ê bi navgîniya pêvajoyê dike. .
- Hilanîna Metadata li ser bingeha Elasticsearch.
Navbera malperê gelek awayên dîtinê peyda dike - ji statîstîkên gelemperî, nexşeyên girêdanê û grafikên dîtbarî yên bi daneyên li ser guheztinên çalakiya torê bigire heya amûrên ji bo xwendina danişînên kesane, analîzkirina çalakiyê di çarçoveya protokolên têne bikar anîn û parkirina daneyan ji avêtina PCAP-ê.
В :
- Veguheztinek ji bo karanîna formatek bê tîp ji bo îndekskirina di Elasticsearch de hate çêkirin.
- Mînakên fîlterên girtina trafîkê li Lua zêde kirin.
- Piştgiriya ji bo guhertoya 46-pêşnûma ya protokola QUIC hate bicîh kirin.
- Koda ji bo parskirina protokolan ji nû ve hatî xebitandin, ku meriv dikare parseran ji bo protokolên asta Ethernet û IP binivîse.
- Parserên nû ji bo protokolên arp, bgp, igmp, isis, lldp, ospf û pim, û her weha parserên ji bo protokolên nenas unkEthernet û unkIpProtocol hatine pêşniyar kirin.
- Vebijêrkek zêde kir ku parseran bi bijartî neçalak bike (disableParsers).
- Kapasîteya nîşankirina her zeviyek hejmarî li ser nexşeyan, ku li ser rûpela mîhengan hatî danîn, li navrûya tevneyê hate zêdekirin.
- Grafîk û sernav naha dikarin werin cemidandin û dema ku rûpel digerin nelivînin.
- Piraniya barên navîgasyonê ji hêla xwerû ve têne veşartin an hilweşandin.
Source: opennet.ru