AOL သည် Moloch 2.3 ကွန်ရက်လမ်းကြောင်း အညွှန်းကိန်းစနစ်ကို ထုတ်ဝေခဲ့သည်။

AOL ကုမ္ပဏီ ဖြန့်ချိခဲ့သည် ကွန်ရက်ပက်ကေ့ဂျ်များကို ဖမ်းယူ၊ သိမ်းဆည်းခြင်းနှင့် ညွှန်းကိန်းပြုလုပ်ခြင်းအတွက် စနစ်တစ်ခု ထုတ်ပြန်ခြင်း။ Moloch ၂.၃အသွားအလာစီးဆင်းမှုများကို အမြင်အာရုံဖြင့် အကဲဖြတ်ရန်နှင့် ကွန်ရက်လုပ်ဆောင်ချက်နှင့် ပတ်သက်သည့် အချက်အလက်ရှာဖွေခြင်းအတွက် ကိရိယာများကို ပံ့ပိုးပေးသည်။ ကုဒ်ကို C ဘာသာစကား (Node.js/JavaScript တွင်) နှင့် ရေးသားထားသည်။ ဖြန့်ဝေသည် Apache 2.0 အောက်တွင် လိုင်စင်ရထားသည်။ Linux နှင့် FreeBSD တွင်အလုပ်လုပ်ရန်ပံ့ပိုးသည်။ အဆင်သင့် packages များ CentOS နှင့် Ubuntu ဗားရှင်းအမျိုးမျိုးအတွက် ပြင်ဆင်ထားသည်။

ပရောဂျက်ကို AOL လမ်းကြောင်းပမာဏအထိ အတိုင်းအတာအထိ ချဲ့ထွင်နိုင်သည့် စီးပွားဖြစ်ကွန်ရက် ပက်ကတ်လုပ်ဆောင်ခြင်း ပလပ်ဖောင်းအတွက် ပွင့်လင်းသော အစားထိုးမှုကို ဖန်တီးရန် ရည်ရွယ်ချက်ဖြင့် ပရောဂျက်ကို 2012 ခုနှစ်တွင် ဖန်တီးခဲ့သည်။ AOL တွင် စနစ်အသစ်ကို အကောင်အထည်ဖော်ခြင်းဖြင့် ၎င်း၏ဆာဗာများပေါ်တွင် ဖြန့်ကျက်ထားခြင်းကြောင့် အခြေခံအဆောက်အအုံအပေါ် အပြည့်အဝထိန်းချုပ်နိုင်စေပြီး ကုန်ကျစရိတ်များကို သိသိသာသာလျှော့ချနိုင်စေသည် - Moloch ကိုအသုံးပြုခြင်းဖြင့် AOL ကွန်ရက်များအားလုံးတွင် လမ်းကြောင်းအားလုံးကို အပြည့်အဝဖမ်းယူနိုင်စေရန်အတွက် အသုံးပြုသည့်ပမာဏနှင့် တူညီပါသည်။ စီးပွားဖြစ်ဖြေရှင်းချက် ယခင်က ကွန်ရက်တစ်ခုတည်းတွင် ယာဉ်အသွားအလာကို ဖမ်းယူရာတွင် အသုံးပြုခဲ့သည်။ စနစ်သည် တစ်စက္ကန့်လျှင် ဆယ်ဂဏန်း ဂစ်ဂါဘစ်နှုန်းဖြင့် အသွားအလာကို လုပ်ဆောင်ရန် အတိုင်းအတာကို လုပ်ဆောင်နိုင်သည်။ သိမ်းဆည်းထားသည့် ဒေတာပမာဏကို ရရှိနိုင်သော disk ခင်းကျင်းမှု အရွယ်အစားဖြင့်သာ ကန့်သတ်ထားသည်။
Session မက်တာဒေတာကို အင်ဂျင်အခြေခံအစုအဝေးတွင် အညွှန်းပြုထားသည်။ Elasticsearch.

Moloch တွင် မူလ PCAP ဖော်မတ်တွင် အသွားအလာကို ဖမ်းယူခြင်းနှင့် အညွှန်းရေးခြင်းအတွက် ကိရိယာများအပြင် ညွှန်းကိန်းပြုလုပ်ထားသော ဒေတာများကို အမြန်ဝင်ရောက်နိုင်စေရန်အတွက် ကိရိယာများ ပါဝင်သည်။ စုဆောင်းထားသော အချက်အလက်များကို ပိုင်းခြားစိတ်ဖြာရန်၊ နမူနာများကို လမ်းညွှန်ရန်၊ ရှာဖွေရန်နှင့် ထုတ်ယူရန် ခွင့်ပြုသည့် ဝဘ်အင်တာဖေ့စ်ကို ကမ်းလှမ်းထားသည်။ လည်း ပေးထားတယ်။ API ကိုPCAP ဖော်မတ်တွင် ဖမ်းယူထားသော ပက်ကေ့ခ်ျများအကြောင်း အချက်အလက်များကို လွှဲပြောင်းရန်နှင့် JSON ဖော်မတ်တွင် ခွဲခြမ်းစိတ်ဖြာထားသော ဆက်ရှင်များကို ပြင်ပကုမ္ပဏီအက်ပ်လီကေးရှင်းများသို့ လွှဲပြောင်းခွင့်ပြုသည်။ PCAP ဖော်မတ်ကို အသုံးပြုခြင်းသည် Wireshark ကဲ့သို့သော လက်ရှိ လမ်းကြောင်းခွဲခြမ်းစိတ်ဖြာသူများနှင့် ပေါင်းစည်းမှုကို အလွန်ရိုးရှင်းစေသည်။

Moloch တွင် အခြေခံ အစိတ်အပိုင်း သုံးခု ပါဝင်သည်။

• အသွားအလာဖမ်းယူမှုစနစ်သည် အသွားအလာကို စောင့်ကြည့်ရန်၊ PCAP ဖော်မတ်တွင် အမှိုက်များကို disk သို့ စာရေးခြင်း၊ ဖမ်းယူထားသော ပက်ကတ်များကို ခွဲခြမ်းစိပ်ဖြာခြင်းနှင့် စက်ရှင်များ (SPI၊ Stateful packet စစ်ဆေးခြင်း) နှင့် ပရိုတိုကောများအကြောင်း Elasticsearch အစုအဝေးသို့ ပေးပို့ခြင်းအတွက် ဘက်စုံသုံး C အပလီကေးရှင်းတစ်ခုဖြစ်သည်။ PCAP ဖိုင်များကို ကုဒ်ဝှက်ထားသော ပုံစံဖြင့် သိမ်းဆည်းထားနိုင်သည်။
• အသွားအလာဖမ်းယူသည့်ဆာဗာတစ်ခုစီတွင် လုပ်ဆောင်သည့် Node.js ပလပ်ဖောင်းပေါ်တွင် အခြေခံ၍ ဝဘ်အင်တာဖေ့စ်တစ်ခုသည် အညွှန်းကိန်းဒေတာကိုရယူခြင်းနှင့် PCAP ဖိုင်များမှတစ်ဆင့် လွှဲပြောင်းခြင်းဆိုင်ရာ တောင်းဆိုချက်များကို လုပ်ဆောင်ပေးသည်။ API ကို.
• Elasticsearch ကိုအခြေခံ၍ မက်တာဒေတာသိုလှောင်မှု။

ဝဘ်အင်တာဖေ့စ်သည် ကြည့်ရှုခြင်းမုဒ်များစွာကို ပံ့ပိုးပေးသည် - ယေဘုယျစာရင်းဇယားများ၊ ချိတ်ဆက်မှုမြေပုံများနှင့် ကွန်ရက်လှုပ်ရှားမှုများတွင် အပြောင်းအလဲများအတွက် ဒေတာပါသည့် ဂရပ်ဖစ်များအထိ တစ်ဦးချင်းစက်ရှင်များကို လေ့လာရန်၊ အသုံးပြုထားသော ပရိုတိုကောများ၏ ဆက်စပ်လုပ်ဆောင်မှုကို ပိုင်းခြားစိတ်ဖြာခြင်းနှင့် PCAP အမှိုက်ပုံများမှ ဒေတာများကို ခွဲခြမ်းစိတ်ဖြာခြင်း။

В ပြဿနာအသစ်:

• Elasticsearch တွင် အညွှန်းရေးခြင်းအတွက် typeless format ကိုအသုံးပြုခြင်းသို့ ကူးပြောင်းခဲ့ပါသည်။
• Lua တွင် ယာဉ်အသွားအလာ ဖမ်းယူမှု စစ်ထုတ်မှု နမူနာများကို ထည့်သွင်းထားသည်။
• QUIC ပရိုတိုကော၏ 46-မူကြမ်းဗားရှင်းအတွက် ပံ့ပိုးမှုကို အကောင်အထည်ဖော်ခဲ့သည်။
• Ethernet နှင့် IP အဆင့်ပရိုတိုကောများအတွက် ခွဲခြမ်းစိတ်ဖြာမှုများကို ရေးသားရန် ဖြစ်နိုင်ချေရှိသော ပရိုတိုကောများကို ခွဲခြမ်းစိတ်ဖြာခြင်းအတွက် ကုဒ်ကို ပြန်လည်ပြုပြင်ထားပါသည်။
• arp၊ bgp၊ igmp၊ isis၊ lldp၊ ospf နှင့် pim ပရိုတိုကောများအပြင် အမည်မသိ unkEthernet နှင့် unkIpProtocol ပရိုတိုကောများအတွက် ခွဲခြမ်းစိတ်ဖြာမှုအသစ်များကို အဆိုပြုထားပါသည်။
• ခွဲခြမ်းစိတ်ဖြာမှုများကို ရွေးချယ်ပိတ်ရန် (disablePersers) ရွေးချယ်မှုတစ်ခုကို ထည့်သွင်းခဲ့သည်။
• ဇယားများပေါ်တွင် ကိန်းပြည့်အကွက်ကို ပြသနိုင်သည့်စွမ်းရည်၊ ဆက်တင်စာမျက်နှာတွင် သတ်မှတ်ထားသော ဝဘ်အင်တာဖေ့စ်သို့ ပေါင်းထည့်ထားသည်။
• စာမျက်နှာကို လှိမ့်လိုက်သောအခါ ဂရပ်များနှင့် ခေါင်းစဉ်များကို ရပ်တန့်ထားနိုင်ပြီး မရွှေ့နိုင်ပါ။
• လမ်းကြောင်းပြဘားအများစုကို မူရင်းအတိုင်း ဝှက်ထားသည် သို့မဟုတ် ပြိုကျသည်။

source: opennet.ru