Shirkadda AOL sii daynta nidaamka qabashada, kaydinta iyo tusmaynta xidhmooyinka shabakadaha , kaas oo bixiya qalab muuqaal ah oo lagu qiimeeyo socodka gaadiidka iyo raadinta macluumaadka la xidhiidha dhaqdhaqaaqa shabakada. Nambarku wuxuu ku qoran yahay luqadda C (interface gudaha Node.js/JavaScript) iyo shatiga ku haysta Apache 2.0. Taageeradu waxay ka shaqeeyaan Linux iyo FreeBSD. Diyaar loo diyaariyey noocyada kala duwan ee CentOS iyo Ubuntu.
Mashruuca waxaa la abuuray 2012 iyada oo ujeedadu ahayd in la abuuro beddel furan oo loogu talagalay madal farsamaynta baakadaha shabakad ganacsi taas oo qiyaasi karta tirada gaadiidka AOL. Hirgelinta nidaamka cusub ee AOL waxay suurtogal ka dhigtay in si buuxda loo xakameeyo kaabayaasha sababtoo ah dejinta server-keeda waxayna si weyn u yareysaa kharashyada - iyadoo la adeegsanayo Moloch si ay si buuxda u qabato taraafikada dhammaan shabakadaha AOL waxay ku kacaysaa lacag la mid ah marka la isticmaalayo. Markii hore, waxa lagu kharash gareeyay qabashada taraafikada hal shabakad oo keliya. Nidaamku wuxuu cabbiri karaa si uu u socodsiiyo socodka xawaaraha tobanaan gigabits ilbiriqsikii. Mugga xogta la kaydiyay waxay ku xaddidan tahay oo keliya cabbirka shaxanka saxanka ee jira.
Xogta badan ee fadhiga waxa lagu tilmaamay kooxda ku salaysan injiinka .
Moloch waxa ka mid ah agabka lagu qabto laguna tilmaamo taraafikada qaabka PCAP-ga hooyo, iyo sidoo kale helitaanka degdega ah ee xogta la tilmaansaday. Si loo falanqeeyo macluumaadka la ururiyay, interface-ka shabakada ayaa la bixiyaa kaas oo kuu ogolaanaya inaad dhex socoto, raadiso oo dhoofiso muunado. Sidoo kale la bixiyay , kaas oo kuu ogolaanaya inaad ku wareejiso xogta ku saabsan xidhmooyinka la qabtay ee qaabka PCAP iyo fadhiyada la kala saaray ee qaabka JSON una wareejiso codsiyada qolo saddexaad. Isticmaalka qaabka PCAP waxay si weyn u fududaynaysaa is dhexgalka dadka taxliilaya taraafikada sida Wireshark.
Moloch wuxuu ka kooban yahay saddex qaybood oo aasaasi ah:
- Habka qabsashada taraafikada waa codsi C oo badan oo xadhig leh oo loogu talagalay la socodka taraafikada, ku qorista qashinka qaab PCAP ah diskka, kala saarida baakadaha la qabtay iyo u dirida xogta badan ee ku saabsan fadhiyada (SPI, kormeerka baakadka Stateful) iyo borotokoolka kutlada Elasticsearch. Waa suurtogal in lagu kaydiyo faylasha PCAP qaab qarsoodi ah.
- Isku-xidhka shabakadda ee ku salaysan nidaamka Node.js, kaas oo ku shaqeeya server kasta oo qabashada taraafig ah oo socodsiiya codsiyada la xidhiidha helitaanka xogta la tilmaansaday iyo wareejinta faylasha PCAP .
- Kaydinta xogta badan ee ku salaysan Elasticsearch.
Interface-ka shabakadu waxa ay bixisa habab kala duwan oo daawasho ah - laga soo bilaabo tirokoobyada guud, khariidado isku xidhka iyo garaafyada muuqaalka leh ee xogta ku saabsan isbedelada hawlaha shabakada ilaa agabka lagu baranayo kalfadhiyada gaarka ah, falanqaynta dhaqdhaqaaqa macnaha hab-maamuusyada la isticmaalo iyo falanqaynta xogta qashinka PCAP.
Π :
- Waxaa la sameeyay kala-guurka adeegsiga qaab aan nooc lahayn si loogu tilmaamo Elasticsearch.
- Tusaalooyin lagu daray filtarrada qabashada taraafikada ee Lua.
- Taageerada nooca 46-qabyada ah ee borotokoolka QUIC waa la fuliyay.
- Koodhka qawaaniinta borotokoolka dib ayaa loo shaqeeyey, taas oo ka dhigaysa suurtogal in la qoro parsers ee nidaamka Ethernet iyo heerka IP.
- Baarayaal cusub ayaa loo soo jeediyay arp, bgp, igmp, isis, ldp, ospf iyo borotokoolka pim, iyo sidoo kale baarayaasha aan la garanayn unkEthernet iyo borotokoolka unkIpProtocol.
- Waxaa lagu daray ikhtiyaarka ah in si door ah loo joojiyo baarayaasha (disableParsers).
- Awoodda lagu soo bandhigo goob kasta oo isugeyn ah oo ku saabsan jaantusyada, oo lagu dejiyay bogga dejinta, ayaa lagu daray interface-ka shabakadda.
- Garaafyada iyo cinwaanada hadda waa la barafaysan karaa mana dhaqaaqaan marka bogga la wareegayo.
- Inta badan baararka navigation-ka waa la qariyaa ama si aan caadi ahayn u dumay.
Source: opennet.ru