AOL Company Verëffentlechung vun engem System fir d'Erfaassung, d'Späicheren an d'Indexéiere vun Netzwierkpakete , déi Tools ubitt fir visuell Verkéiersfloss ze bewäerten an no Informatioun ze sichen am Zesummenhang mat Netzwierkaktivitéit. De Code ass an C Sprooch geschriwwe (Interface an Node.js/JavaScript) an lizenzéiert ënner Apache 2.0. Ënnerstëtzt Aarbecht op Linux a FreeBSD. Fäerdeg virbereet fir verschidde Versioune vu CentOS an Ubuntu.
De Projet gouf am 2012 erstallt mam Zil en oppenen Ersatz fir eng kommerziell Netzwierk Paketveraarbechtungsplattform ze kreéieren déi op AOL Trafficvolumen ka skaléieren. D'Ëmsetze vun engem neie System an AOL huet et méiglech gemaach fir komplett Kontroll iwwer d'Infrastruktur z'erreechen wéinst der Deployment op seng Serveren a wesentlech d'Käschte reduzéieren - Moloch benotze fir de Traffic an all AOL Netzwierker komplett z'erreechen kascht deeselwechte Betrag wéi wann Dir benotzt Virdru gouf et verbruecht fir de Traffic op nëmmen engem Netz z'erreechen. De System kann Skala fir Traffic mat Geschwindegkeete vun Zénger vu Gigabit pro Sekonn ze veraarbecht. De Volume vun de gespäicherten Donnéeën ass nëmme limitéiert duerch d'Gréisst vun der verfügbaren Disk Array.
Sessiounsmetadaten ginn am Motor-baséierte Cluster indexéiert .
Moloch enthält Tools fir de Verkéier am gebiertege PCAP-Format z'erfaassen an ze indexéieren, souwéi fir séier Zougang zu indexéierten Donnéeën. Fir déi gesammelt Informatioun ze analyséieren, gëtt e Webinterface ugebueden, deen Iech erlaabt Iech Proben ze navigéieren, ze sichen an ze exportéieren. Och zur Verfügung gestallt , wat Iech erlaabt Daten iwwer gefaange Paketen am PCAP-Format a parséiert Sessiounen am JSON-Format op Drëtt-Partei-Applikatiounen ze transferéieren. D'Benotzung vum PCAP-Format vereinfacht immens d'Integratioun mat existente Trafficanalysatoren wéi Wireshark.
Moloch besteet aus dräi Basiskomponenten:
- De Traffic Capture System ass eng Multi-threaded C Applikatioun fir den Traffic ze iwwerwaachen, Dumps am PCAP Format op Disk ze schreiwen, ageholl Paketen ze analyséieren a Metadaten iwwer Sessiounen (SPI, Stateful Packet Inspection) a Protokoller an den Elasticsearch Cluster ze schécken. Et ass méiglech PCAP Dateien a verschlësselte Form ze späicheren.
- Eng Web-Interface baséiert op der Node.js Plattform, déi op all Traffic Capture Server leeft an Ufroe veraarbecht am Zesummenhang mat Zougang zu indexéierten Donnéeën an Transfert vun PCAP Dateien iwwer .
- Metadatenlagerung baséiert op Elasticsearch.
D'Web-Interface bitt verschidde Gesiichtsmodi - vun allgemenge Statistiken, Verbindungskaarten a visuelle Grafike mat Daten iwwer Ännerungen an der Netzwierkaktivitéit bis Tools fir eenzel Sessiounen ze studéieren, d'Aktivitéit ze analyséieren am Kontext vun de benotzte Protokoller an d'Parséiere vun Daten aus PCAP Dumps.
В :
- En Iwwergank gouf gemaach fir en typelosen Format ze benotzen fir Indexéierung an Elasticsearch.
- Beispiller vu Traffic Capture Filteren a Lua bäigefüügt.
- Ënnerstëtzung fir d'46-Entworf Versioun vum QUIC Protokoll gouf implementéiert.
- De Code fir Parsing Protokoller gouf ëmgeschafft, sou datt et méiglech ass Parser fir Ethernet an IP Niveau Protokoller ze schreiwen.
- Nei Parser goufen fir d'arp, bgp, igmp, isis, lldp, ospf a pim Protokoller proposéiert, souwéi Parser fir déi onbekannt UnkEthernet an unkIpProtocol Protokoller.
- Eng Optioun bäigefüügt fir selektiv Parser auszeschalten (disableParsers).
- D'Kapazitéit fir all ganzt Feld op Charts ze weisen, op der Astellungssäit gesat, gouf op d'Webinterface bäigefüügt.
- Grafiken an Titele kënnen elo gefruer ginn an net réckelen wann Dir d'Säit scrollt.
- Déi meescht Navigatiounsbaren sinn parfault verstoppt oder zesummegeklappt.
Source: opennet.ru