AOL Şirketi ağ paketlerinin yakalanması, saklanması ve indekslenmesi için bir sistemin piyasaya sürülmesi Trafik akışlarını görsel olarak değerlendirmek ve ağ etkinliğiyle ilgili bilgileri aramak için araçlar sağlayan araçlar sağlar. Kod C dilinde yazılmıştır (Node.js/JavaScript'teki arayüz) ve Apache 2.0 altında lisanslanmıştır. Linux ve FreeBSD üzerinde çalışmayı destekler. Hazır CentOS ve Ubuntu'nun farklı sürümleri için hazırlanmıştır.
Proje, AOL trafik hacimlerine ölçeklenebilecek ticari ağ paket işleme platformunun açık bir alternatifini oluşturmak amacıyla 2012 yılında oluşturuldu. AOL'de yeni bir sistemin uygulanması, sunucularındaki dağıtım nedeniyle altyapı üzerinde tam kontrol elde edilmesini ve maliyetleri önemli ölçüde azaltmayı mümkün kıldı - tüm AOL ağlarındaki trafiği tamamen yakalamak için Moloch'u kullanmak, kullanımla aynı tutarda maliyete sahip oldu Daha önce yalnızca tek bir ağdaki trafiği yakalamak için harcanıyordu. Sistem, trafiği saniyede onlarca gigabit hızında işleyecek şekilde ölçeklenebilir. Saklanan verilerin hacmi yalnızca mevcut disk dizisinin boyutuyla sınırlıdır.
Oturum meta verileri motor tabanlı kümede dizine eklenir .
Moloch, trafiği yerel PCAP formatında yakalama ve indekslemenin yanı sıra indekslenmiş verilere hızlı erişim için araçlar içerir. Toplanan bilgileri analiz etmek için numunelerde gezinmenize, aramanıza ve dışa aktarmanıza olanak tanıyan bir web arayüzü sunulur. Ayrıca sağlanan PCAP formatında yakalanan paketler ve JSON formatında ayrıştırılmış oturumlar hakkındaki verileri üçüncü taraf uygulamalara aktarmanıza olanak tanır. PCAP formatının kullanılması, Wireshark gibi mevcut trafik analizörleriyle entegrasyonu büyük ölçüde basitleştirir.
Moloch üç temel bileşenden oluşur:
- Trafik yakalama sistemi, trafiği izlemek, dökümleri PCAP formatında diske yazmak, yakalanan paketleri ayrıştırmak ve oturumlar (SPI, Durum bilgisi olan paket incelemesi) ve protokoller hakkındaki meta verileri Elasticsearch kümesine göndermek için kullanılan çok iş parçacıklı bir C uygulamasıdır. PCAP dosyalarını şifrelenmiş biçimde saklamak mümkündür.
- Her bir trafik yakalama sunucusunda çalışan ve indekslenmiş verilere erişme ve PCAP dosyalarını aktarma ile ilgili istekleri işleyen, Node.js platformunu temel alan bir web arayüzü. .
- Elasticsearch'e dayalı meta veri depolama.
Web arayüzü, genel istatistiklerden, bağlantı haritalarından ve ağ etkinliğindeki değişikliklere ilişkin verileri içeren görsel grafiklerden, bireysel oturumları incelemek, kullanılan protokoller bağlamında etkinliği analiz etmek ve PCAP dökümlerinden verileri ayrıştırmak için araçlara kadar çeşitli görüntüleme modları sağlar.
В :
- Elasticsearch'te indeksleme için tipsiz bir formatın kullanılmasına geçiş yapıldı.
- Lua'ya trafik yakalama filtrelerinin örnekleri eklendi.
- QUIC protokolünün 46 taslaklı versiyonu için destek uygulamaya konuldu.
- Protokolleri ayrıştırma kodu yeniden düzenlendi ve Ethernet ve IP düzeyindeki protokoller için ayrıştırıcıların yazılması mümkün hale getirildi.
- Arp, bgp, igmp, isis, lldp, ospf ve pim protokolleri için yeni ayrıştırıcıların yanı sıra bilinmeyen unkEthernet ve unkIpProtocol protokolleri için ayrıştırıcılar önerildi.
- Ayrıştırıcıları (disableParsers) seçerek devre dışı bırakma seçeneği eklendi.
- Ayarlar sayfasında ayarlanan herhangi bir tam sayı alanını grafiklerde görüntüleme özelliği web arayüzüne eklendi.
- Grafikler ve başlıklar artık dondurulabiliyor ve sayfa kaydırılırken hareket etmiyor.
- Çoğu gezinme çubuğu varsayılan olarak gizlidir veya daraltılmıştır.
Kaynak: opennet.ru