Ширкати AOL баровардани система барои забт, нигоҳдорӣ ва индексатсияи бастаҳои шабакавӣ , ки асбобҳоро барои баҳодиҳии визуалии ҷараёни трафик ва ҷустуҷӯи иттилооти марбут ба фаъолияти шабака таъмин мекунад. Рамз бо забони C навишта шудааст (интерфейс дар Node.js/JavaScript) ва дар зери Apache 2.0 литсензия шудааст. Корҳоро дар Linux ва FreeBSD дастгирӣ мекунад. Тайёр барои версияҳои гуногуни CentOS ва Ubuntu омода карда шудааст.
Лоиҳа дар соли 2012 бо ҳадафи эҷоди ивазкунандаи кушода барои платформаи коркарди бастаҳои шабакавӣ, ки метавонад ба ҳаҷми трафики AOL васеъ шавад, таъсис дода шудааст. Татбиқи системаи нав дар AOL имкон дод, ки аз ҳисоби ҷойгиркунӣ дар серверҳои он назорати пурраи инфрасохтор ба даст оварда шавад ва хароҷот ба таври назаррас коҳиш дода шавад - бо истифода аз Moloch барои пурра ба даст овардани трафик дар ҳама шабакаҳои AOL ҳамон миқдоре, ки ҳангоми истифода истифода мешавад. Пештар, он барои гирифтани трафик дар танҳо як шабака сарф мешуд. Система метавонад миқёси коркарди трафикро бо суръати даҳҳо гигабит дар як сония афзоиш диҳад. Ҳаҷми маълумоти захирашуда танҳо бо андозаи массиви дискҳои дастрас маҳдуд аст.
Метамаълумоти сессия дар кластери ба муҳаррик асосёфта индексатсия карда мешавад .
Moloch асбобҳоро барои сабт ва индексатсияи трафик дар формати аслии PCAP ва инчунин дастрасии зуд ба маълумоти индексатсияшуда дар бар мегирад. Барои таҳлили иттилооти ҷамъшуда, интерфейси веб пешниҳод карда мешавад, ки ба шумо имкон медиҳад паймоиш, ҷустуҷӯ ва содироти намунаҳоро анҷом диҳед. Инчунин таъмин карда шудааст , ки ба шумо имкон медиҳад, ки маълумотро дар бораи бастаҳои гирифташуда дар формати PCAP ва сессияҳои таҳлилшуда дар формати JSON ба замимаҳои тарафи сеюм интиқол диҳед. Истифодаи формати PCAP ҳамгироиро бо анализаторҳои мавҷудаи трафик ба монанди Wireshark хеле осон мекунад.
Moloch аз се ҷузъи асосӣ иборат аст:
- Системаи сабти трафик як барномаи бисёрсоҳаи C барои мониторинги трафик, навиштани партовҳо дар формати PCAP ба диск, таҳлили бастаҳои гирифташуда ва фиристодани метамаълумот дар бораи сессияҳо (SPI, санҷиши пакети Stateful) ва протоколҳо ба кластери Elasticsearch мебошад. Файлҳои PCAP-ро дар шакли рамзгузорӣ нигоҳ доштан мумкин аст.
- Интерфейси веб дар платформаи Node.js, ки дар ҳар як сервери сабти трафик кор мекунад ва дархостҳои марбут ба дастрасӣ ба додаҳои индексатсияшуда ва интиқоли файлҳои PCAP тавассути .
- Нигоҳдории метамаълумот дар асоси Elasticsearch.
Интерфейси веб якчанд намуди намоишро таъмин мекунад - аз омори умумӣ, харитаҳои пайвастшавӣ ва графикҳои визуалӣ бо маълумот дар бораи тағирот дар фаъолияти шабака то асбобҳо барои омӯзиши сессияҳои инфиродӣ, таҳлили фаъолият дар заминаи протоколҳои истифодашуда ва таҳлили маълумот аз партовҳои PCAP.
В :
- Гузариш ба истифодаи формати бесим барои индексатсия дар Elasticsearch анҷом дода шуд.
- Намунаҳои филтрҳои сабти трафик дар Луа илова карда шуданд.
- Дастгирии версияи 46-лоиҳаи протоколи QUIC амалӣ карда шуд.
- Рамзи таҳлили протоколҳо аз нав кор карда шуд, ки имкон медиҳад, ки таҳлилгарон барои протоколҳои сатҳи Ethernet ва IP навишта шаванд.
- Таҳлилгарони нав барои протоколҳои arp, bgp, igmp, isis, lldp, ospf ва pim, инчунин таҳлилгарон барои протоколҳои номаълуми unkEthernet ва unkIpProtocol пешниҳод карда шуданд.
- Имконият барои ба таври интихобӣ ғайрифаъол кардани таҳлилгарон (disableParsers) илова карда шуд.
- Имконияти намоиши ҳама гуна майдони бутун дар диаграммаҳо, ки дар саҳифаи танзимот муқаррар шудааст, ба интерфейси веб илова карда шудааст.
- Графикҳо ва унвонҳо ҳоло метавонанд яхбандӣ шаванд ва ҳангоми ҳаракат дар саҳифа ҳаракат накунанд.
- Аксари сатрҳои навигатсионӣ ба таври нобаёнӣ пинҳон мешаванд ё фурӯ рехтаанд.
Манбаъ: opennet.ru