ProHoster > Blog > warta internét > AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

Perusahaan AOL dileupaskeun ngaleupaskeun sistem pikeun nangkep, nyimpen sareng ngindeks pakét jaringan Molok 2.3, nu nyadiakeun parabot pikeun visually assessing aliran lalulintas sarta néangan informasi patali aktivitas jaringan. Kodeu ditulis dina basa C (antarmuka dina Node.js/JavaScript) jeung disebarkeun ku dilisensikeun dina Apache 2.0. Ngarojong gawé dina Linux Ubuntu jeung FreeBSD. Siap bungkusan disiapkeun pikeun versi béda tina CentOS na Ubuntu.

Proyék ieu didamel taun 2012 kalayan tujuan nyiptakeun gaganti kabuka pikeun platform pamrosesan pakét jaringan komérsial anu tiasa skala kana volume lalu lintas AOL. Palaksanaan sistem anyar dina AOL ngamungkinkeun pikeun ngahontal kontrol lengkep dina infrastruktur alatan deployment on server na nyata ngurangan waragad - ngagunakeun Moloch pikeun sakabéhna néwak lalulintas dina sakabéh jaringan AOL hargana sarua jeung nalika ngagunakeun. solusi komérsial Saméméhna, éta spent dina motret lalulintas dina ngan hiji jaringan. Sistem tiasa skala pikeun ngolah lalu lintas dina laju puluhan gigabit per detik. Volume data nu disimpen ngan diwatesan ku ukuran susunan disk sadia.
Metadata sési diindéks dina klaster dumasar-mesin Elasticsearch.

Moloch kalebet alat pikeun nangkep sareng ngindeks lalu lintas dina format PCAP asli, ogé pikeun aksés gancang kana data anu diindeks. Pikeun nganalisis inpormasi akumulasi, antarbeungeut wéb ditawarkeun anu ngamungkinkeun anjeun pikeun nganapigasi, milarian sareng ngékspor conto. Ogé disadiakeun API, nu ngidinan Anjeun pikeun nransper data ngeunaan pakét direbut dina format PCAP tur parsed sesi dina format JSON ka aplikasi pihak katilu. Pamakéan format PCAP pisan nyederhanakeun integrasi sareng analisa lalu lintas anu aya sapertos Wireshark.

Moloch diwangun ku tilu komponén dasar:

  • Sistem newak lalulintas mangrupakeun aplikasi C multi-threaded pikeun ngawas lalulintas, nulis dumps dina format PCAP kana disk, parsing pakét direbut sarta ngirim metadata ngeunaan sesi (SPI, inspeksi pakét Stateful) jeung protokol ka klaster Elasticsearch. Kasebut nyaéta dimungkinkeun pikeun nyimpen file PCAP dina bentuk énkripsi.
  • Antarbeungeut wéb dumasar kana platform Node.js, anu dijalankeun dina unggal server néwak lalu lintas sareng prosés pamundut anu aya hubunganana sareng ngakses data anu diindeks sareng nransferkeun file PCAP via API.
  • Panyimpenan métadata dumasar kana Elasticsearch.

Antarbeungeut wéb nyayogikeun sababaraha modeu tempoan - ti statistik umum, peta sambungan sareng grafik visual kalayan data ngeunaan parobihan dina kagiatan jaringan dugi ka alat pikeun diajar sesi individu, nganalisa kagiatan dina konteks protokol anu dianggo sareng ngémutan data tina dumps PCAP.

AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

AOL nyebarkeun sistem indéks lalu lintas jaringan Moloch 2.3

В masalah anyar:

  • A transisi geus dijieun pikeun ngagunakeun format typeless pikeun indexing di Elasticsearch.
  • Ditambahkeun conto saringan lalu lintas di Lua.
  • Rojongan pikeun versi 46-draf tina protokol QUIC parantos dilaksanakeun.
  • Kodeu pikeun protokol parsing geus reworked, sahingga bisa nulis parsers pikeun Ethernet jeung protokol tingkat IP.
  • Parser anyar pikeun protokol arp, bgp, igmp, isis, lldp, ospf sareng pim, ogé parser pikeun protokol unkEthernet sareng unkIpProtocol anu teu dipikanyaho, parantos diajukeun.
  • Ditambahkeun pilihan pikeun selektif nganonaktipkeun parsers (disableParsers).
  • Kamampuhan pikeun mintonkeun widang integer mana wae dina bagan, disetel dina kaca setelan, geus ditambahkeun kana panganteur web.
  • Grafik sareng judul ayeuna tiasa beku sareng henteu gerak nalika ngagulung halaman.
  • Paling bar navigasi disumputkeun atawa rubuh sacara standar.

sumber: opennet.ru

Tambahkeun komentar