JP2005110037A - Method and device for collecting packet - Google Patents

Method and device for collecting packet Download PDF

Info

Publication number
JP2005110037A
JP2005110037A JP2003342444A JP2003342444A JP2005110037A JP 2005110037 A JP2005110037 A JP 2005110037A JP 2003342444 A JP2003342444 A JP 2003342444A JP 2003342444 A JP2003342444 A JP 2003342444A JP 2005110037 A JP2005110037 A JP 2005110037A
Authority
JP
Japan
Prior art keywords
packet
divided
packets
frame
length
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP2003342444A
Other languages
Japanese (ja)
Inventor
Atsushi Tagami
敦士 田上
Teruyuki Hasegawa
輝之 長谷川
Toru Hasegawa
亨 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP2003342444A priority Critical patent/JP2005110037A/en
Publication of JP2005110037A publication Critical patent/JP2005110037A/en
Withdrawn legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To collect only a required information of packets before divided without accumulating and analyzing all of the data, related to the packets which are divided on a route. <P>SOLUTION: A packet processing part 4 holds IP packets which has been taken in a temporary storage device. The IP packets split from the temporary storage device are sequentially read for searching the border of a frame, and a header information of the IP packets before divided is cut out and stored in the storage device. A packet border searching process part 42 compares the sum of a data length of the IP packets which have been already read and the split IP packet length which is currently processed to the IP packet length of the frame acquired from the IP header information at the top of the frame, for determining whether the frame border is within the split IP packets which are currently processed. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、経路上で分割されたIPパケットから、分割前におけるIPパケットのヘッダ情報を収集する、パケット収集装置およびその方法に関する。   The present invention relates to a packet collection apparatus and method for collecting header information of an IP packet before division from IP packets divided on a route.

従来、バイトストリームに展開されたパケットの境界を検索し、元のパケットを復元する方法としては、パケット境界を逐次全走査(以下、線形走査という)して探す必要があった。
図5、図6に従来のパケット収集方法が示されている。図5に示す例では、PPP(Point to Point Protocol)に基づきA−B間で交換されるIPパケットは、バイトストリーム化され(元パケット)、かつ、途中の経路C−D間で分割されカプセル化されている。ここで、GRE(Generic Routing Encapsulation)等において、C−D間を伝播する分割パケットを収集した場合、元パケットの解析に必用なヘッダ情報を収集、蓄積するためには、図6の(c)、(d)、(e)に示されるように、全ての分割パケットを収集し、データストリームを再構築し、パケット境界を1バイトずつ線形走査して解析(GREパケット処理、PPPフレーム処理)する必要があった。そして、収集されたヘッダのみをディスク(記憶装置)に保存している。 Conventionally, as a method for searching for a boundary of a packet developed in a byte stream and restoring the original packet, it has been necessary to sequentially search the packet boundary through full scanning (hereinafter referred to as linear scanning).
5 and 6 show a conventional packet collecting method. In the example shown in FIG. 5, an IP packet exchanged between A and B based on PPP (Point to Point Protocol) is converted into a byte stream (original packet), and is divided between paths CD in the middle and encapsulated. It has become. Here, in GRE (Generic Routing Encapsulation) or the like, when collecting the divided packets propagating between the CDs, in order to collect and accumulate the header information necessary for the analysis of the original packet, (c) in FIG. As shown in (d) and (e), all the divided packets are collected, the data stream is reconstructed, and the packet boundary is linearly scanned byte by byte and analyzed (GRE packet processing, PPP frame processing). There was a need. Only the collected headers are stored in a disk (storage device).

一方、従来のトラヒックモニタ・アラナイザ技術としては、以下に列挙する2通りの方法があった。
(1)ネットワーク上のトラフィックを収集すると共に、収集したフレーム中の情報全てを蓄積する。そして、複数のパケットの収集及び蓄積が終了した時点で、各フレームの解析を行う。
(2)高速のハードウェアを用いることによって、パケットの収集と並行して、そのフレーム中の上位層までのプロトコル解析を行い、必要な情報を得る。 On the other hand, there are two methods listed below as the conventional traffic monitor / analyzer technology.
(1) Collect traffic on the network and accumulate all information in the collected frames. Then, when the collection and accumulation of a plurality of packets are completed, each frame is analyzed.
(2) By using high-speed hardware, in parallel with packet collection, protocol analysis up to the upper layer in the frame is performed to obtain necessary information.

更に、LAN(Local Area Network)のトラフィック量測定の為に、フレームの全情報は必要ではないことに着目し、フレーム長を抽出し、記憶していくようにしたものもある。これにより、安価にかつ簡単な構成でトラフィックの測定が出来るようにしている(例えば、特許文献1参照)。
また、同一端末間では同じアプリケーションによるパケットが収集されることに着目し、上位層のプロトコルを予測して解析を行うものもある(例えば、特許文献2参照)。
特開平4−180423号公報 特開平7−231317号公報 Further, there is a technique in which the frame length is extracted and stored by paying attention to the fact that not all frame information is necessary for measuring the traffic volume of a LAN (Local Area Network). This makes it possible to measure traffic with a simple configuration at low cost (see, for example, Patent Document 1).
In addition, there is a technique in which an analysis is performed by predicting an upper layer protocol, focusing on the fact that packets from the same application are collected between the same terminals (for example, see Patent Document 2).
JP-A-4-180423 JP-A-7-231317

しかしながら上記した従来技術によれば、すべての分割パケットを収集し、データストリームを再構築し、パケット境界を1バイトずつ線形走査する必要があった。また、特許文献1に開示された技術によれば、パケットをすべて一旦蓄積し、その後、解析する方法は大量の記憶容量を必要とし、長時間に渡る観測が困難である。また、大量記憶装置は記憶速度が遅いため、パケットの取りこぼしの発生が多い。更に、特許文献2に開示された技術によれば、データ収集と並行してデータストリームを再構築することが必要となり、これには大容量のメモリ装置と高速なハードウェアが必要となる。また、いずれの特許文献においても、分割されカプセル化されたパケットについてはその対応が考慮されていない。   However, according to the above-described prior art, it is necessary to collect all the divided packets, reconstruct the data stream, and linearly scan the packet boundary byte by byte. Further, according to the technique disclosed in Patent Document 1, a method of temporarily accumulating all packets and then analyzing them requires a large amount of storage capacity, and is difficult to observe for a long time. Further, since the mass storage device has a low storage speed, there are many occurrences of packet dropping. Furthermore, according to the technique disclosed in Patent Document 2, it is necessary to reconstruct a data stream in parallel with data collection, which requires a large-capacity memory device and high-speed hardware. In any of the patent documents, the correspondence of divided and encapsulated packets is not considered.

本発明は上記事情に鑑みてなされたものであり、経路上で分割されたパケットにつき、全てのデータを蓄積、解析することなしに、かつ、記憶容量の節約、収集処理の負荷軽減、パケットの取りこぼしの減少をはかりながら、分割される前のパケットの必要な情報のみ収集可能な、パケット収集装置およびその方法を提供することを目的とする。   The present invention has been made in view of the above circumstances, and does not accumulate and analyze all data for packets divided on a route, saves storage capacity, reduces the load of collection processing, It is an object of the present invention to provide a packet collection apparatus and method capable of collecting only necessary information of a packet before being divided while reducing the number of missed packets.

上記した課題を解決するために本発明は、経路上で分割されたIPパケットから、分割前におけるIPパケットのヘッダ情報を収集するパケット収集装置であって、受信され、もしくは蓄積された前記IPパケットを読み取り、解析に必要なIPパケットを取り込むパケット種別判定部と、前記取り込まれたIPパケットを一時記憶装置に保持し、当該一時記憶装置から分割されたIPパケットを順次読み出してフレームの境界を検索し、前記分割前におけるIPパケットのヘッダ情報を切り出して記憶装置に格納するパケット処理部と、を備えたことを特徴とする。   In order to solve the above-described problem, the present invention provides a packet collection device that collects header information of an IP packet before division from an IP packet divided on a route, and the received or accumulated IP packet A packet type determination unit that captures IP packets necessary for analysis, and holds the captured IP packets in a temporary storage device, and sequentially reads the divided IP packets from the temporary storage device to search for frame boundaries And a packet processing unit that cuts out header information of the IP packet before the division and stores it in a storage device.

また、本発明において、前記パケット処理部は、前記フレーム先頭のIPヘッダ情報から当該フレームのIPパケット長を取得し、前記一時記憶装置から既に読み出されたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、前記取得したIPパケット長との比較を、前記分割されたIPパケット単位で逐次行い、前記フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断するパケット境界検索処理部、を備えることを特徴とする。   In the present invention, the packet processing unit obtains the IP packet length of the frame from the IP header information at the head of the frame, and currently processes the data length of the IP packet already read from the temporary storage device. A comparison of the sum of the divided IP packet lengths and the acquired IP packet length is sequentially performed in units of the divided IP packets, and the frame boundary exists in the divided IP packet currently being processed. A packet boundary search processing unit for determining whether or not.

また、本発明において、前記パケット境界検索処理部は、前記分割されたIPパケットの消失を検出したときに、全てのデータを蓄積しそのデータ列を再構築して解析するために線形走査処理部を起動し、当該線形走査処理部による全走査に切替えることを特徴とする。   Further, in the present invention, the packet boundary search processing unit is configured to store all data and to reconstruct and analyze the data string when detecting the loss of the divided IP packet. And is switched to full scanning by the linear scanning processing unit.

上記した課題を解決するために本発明は、経路上で分割されたIPパケットから、分割前におけるIPパケットのヘッダ情報を収集するパケット収集方法であって、受信され、もしくは蓄積された前記IPパケットを読み取り、解析に必要なIPパケットを取り込む工程と、フレーム先頭のIPヘッダ情報から当該フレームのIPパケット長を取得する工程と、既に読み取られたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、前記取得したIPパケット長との比較を、前記分割されたIPパケット単位で逐次行い、前記フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断する工程と、前記フレーム境界から前記分割前におけるIPパケットのヘッダ情報を切り出し記憶装置に格納する工程と、を有することを特徴とする。   In order to solve the above-described problems, the present invention provides a packet collection method for collecting header information of an IP packet before division from an IP packet divided on a route, and the received or accumulated IP packet , Reading the IP packet necessary for analysis, obtaining the IP packet length of the frame from the IP header information at the head of the frame, and the data length of the already read IP packet and the currently processed division A comparison between the sum of the IP packet lengths and the acquired IP packet length is performed sequentially for each of the divided IP packets, and whether or not the frame boundary exists in the divided IP packet currently being processed. And the header information of the IP packet before the division from the frame boundary is extracted and stored in the storage device And having a that step.

本発明によれば、パケット処理部が、パケット種別判定部により取り込まれたIPパケットを一時記憶装置に保持し、当該一時記憶装置から分割されたIPパケットを順次読み出してフレームの境界を検索し、分割前におけるIPパケットのヘッダ情報を切り出して記憶装置に格納することで、経路上で分割されたパケットについてすべてのデータを蓄積、解析することなしに、分割される前のパケットについて必要な情報を取得することができる。   According to the present invention, the packet processing unit holds the IP packet captured by the packet type determination unit in the temporary storage device, sequentially reads the IP packets divided from the temporary storage device, and searches for the boundary of the frame. By extracting the header information of the IP packet before the division and storing it in the storage device, the necessary information about the packet before the division can be obtained without accumulating and analyzing all the data about the packet divided on the route. Can be acquired.

また、パケット処理部において、パケット境界検索処理部が、一時記憶装置から既に読み出されたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、パケット長取得部でフレーム先頭のIPヘッダ情報から取得した当該フレームのIPパケット長を取得するパケットとの比較を行い、フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断することで、記憶容量の節約、収集処理の負荷軽減、そして、パケットの取りこぼしの減少をはかりながら、分割される前のパケットの必要な情報のみ収集することができる。
更に、パケット境界検索処理部が、分割されたIPパケットの消失を検出したときに、全てのデータを蓄積しそのデータ列を再構築して解析するために線形走査処理部を起動して線形走査処理部による全走査に切替えることで、パケット収集のロスを最小限に抑えることができる。 Further, in the packet processing unit, the packet boundary search processing unit adds the sum of the data length of the IP packet already read from the temporary storage device and the divided IP packet length currently processed, and the packet length acquisition unit A comparison is made with a packet that acquires the IP packet length of the frame acquired from the top IP header information, and a determination is made as to whether or not the frame boundary exists in the divided IP packet currently being processed. Only necessary information of the packet before being divided can be collected while saving the capacity, reducing the load of the collection process, and reducing the loss of the packet.
Furthermore, when the packet boundary search processing unit detects the loss of the divided IP packets, it starts up the linear scanning processing unit to store all data and reconstruct and analyze the data string to perform linear scanning. By switching to full scanning by the processing unit, packet collection loss can be minimized.

図1は、本発明のパケット収集装置の内部構成を示すブロック図である。本発明のパケット収集装置は、ネットワーク(NW)データ受信部1と、記憶装置2と、パケット種別判定部3と、パケット処理部4と、一時記憶装置5と、記憶装置6で構成される。
NWデータ受信部1は、ネットワークを伝播するIPパケットデータを受信してパケット種別判定装置3へ供給する。パケット種別判定装置3には、他にローカルに記憶装置2に蓄積されたIPパケットも供給される。パケット種別判定部3は、受信され、もしくは蓄積されたIPパケットを読み取り、解析に必要なIPパケットを取り込み、パケット処理部4へ供給する。 FIG. 1 is a block diagram showing the internal configuration of the packet collection apparatus of the present invention. The packet collection device of the present invention includes a network (NW) data receiving unit 1, a storage device 2, a packet type determination unit 3, a packet processing unit 4, a temporary storage device 5, and a storage device 6.
The NW data receiving unit 1 receives IP packet data propagating through the network and supplies it to the packet type determination device 3. The packet type determination device 3 is also supplied with IP packets stored locally in the storage device 2. The packet type determination unit 3 reads received or accumulated IP packets, takes in IP packets necessary for analysis, and supplies them to the packet processing unit 4.

パケット処理部4は、取り込まれたIPパケットを一時記憶装置5に保持し、当該一時記憶装置5から分割されたIPパケットを順次読み出してフレームの境界を検索し、分割前におけるIPパケットのヘッダ情報を切り出して記憶装置6に格納する機能を持ち、脱カプセル化処理部41と、パケット境界検索処理部42と、線形走査処理部43で構成される。
脱カプセル化処理部41は、カプセル化されたセッション毎の情報を一時記憶装置5に保持し、その情報と共に、入手したIPパケットをパケット境界検出処理部42に渡す。また、パケット境界検索処理部42は、一時記憶装置5から既に読み出されたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、フレーム先頭のIPヘッダ情報から取得される当該フレームのIPパケット長との比較を行い、フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断する。そして、分割前におけるIPパケットのヘッダ情報を切り出して記憶装置6に格納する。 The packet processing unit 4 holds the captured IP packet in the temporary storage device 5, sequentially reads the IP packets divided from the temporary storage device 5, searches for a frame boundary, and header information of the IP packet before the division And decapsulation processing unit 41, packet boundary search processing unit 42, and linear scan processing unit 43.
The decapsulation processing unit 41 holds the encapsulated information for each session in the temporary storage device 5 and passes the acquired IP packet to the packet boundary detection processing unit 42 together with the information. The packet boundary search processing unit 42 is acquired from the sum of the data length of the IP packet already read from the temporary storage device 5 and the divided IP packet length currently processed, and the IP header information at the head of the frame. The frame is compared with the IP packet length of the frame to determine whether the frame boundary exists in the divided IP packet currently being processed. Then, the header information of the IP packet before the division is cut out and stored in the storage device 6.

なお、パケット境界検索処理部42は、分割されたIPパケットの消失を検出したときに、全てのデータを蓄積しそのデータ列を再構築して解析する線形走査処理部43を起動して線形走査処理部43による全走査に切替える制御も行う。   When the packet boundary search processing unit 42 detects the loss of the divided IP packet, the packet boundary search processing unit 42 activates the linear scanning processing unit 43 that accumulates all data, reconstructs and analyzes the data string, and performs linear scanning. Control to switch to full scanning by the processing unit 43 is also performed.

図2〜図4は、本発明実施形態の動作を説明するために引用した図であり、動作手順(図2)、本発明により付加される機能(図3)、動作概念(図4)のそれぞれを示す。なお、図2、図4において使用されるステップ番号は共通とする。
以下、図2〜図4を参照しながら、図1に示す本発明実施形態の動作について詳細に説明する。 2 to 4 are diagrams for explaining the operation of the embodiment of the present invention. The operation procedure (FIG. 2), the function added by the present invention (FIG. 3), and the operation concept (FIG. 4) are shown. Each is shown. The step numbers used in FIGS. 2 and 4 are the same.
Hereinafter, the operation of the embodiment of the present invention shown in FIG. 1 will be described in detail with reference to FIGS.

本発明は上記したように、経路上で分割されたパケットについてすべてのデータを蓄積、解析することなく、分割される前のパケットの必要な情報を取得するために、バイトストリームに展開されたIPパケット列から元パケットの長さを取得し、既に読み込んだパケットのデータ長と、現在処理している分割パケット長とを比較することにより、パケット境界が処理中の分割パケット内に存在するか否かを判断し、分割前におけるIPパケットのヘッダ情報を切り出して記憶装置6に格納するものである。また、分割パケットのロス時に、線形走査に切替えることでパケット収集のロスを最小限に抑えるものである。
ここでは、図3に示されるように、収集したパケットのIPヘッダ(2)より各パケットのIPパケット長(2)を収集することができる。また、PPPフレーム内のIPパケットヘッダ(1)からPPPレーム内のIPパケット長(1)が取得可能である。このことにより、パケット境界の位置を予測し、高速な検索を実現することができる。以下に詳細を説明する。 In the present invention, as described above, in order to obtain necessary information of a packet before being divided without accumulating and analyzing all data about the packet divided on the route, the IP expanded in the byte stream is used. Whether or not the packet boundary exists in the processed divided packet by obtaining the length of the original packet from the packet sequence and comparing the data length of the already read packet with the currently processed divided packet length The header information of the IP packet before the division is cut out and stored in the storage device 6. In addition, when packet loss occurs, switching to linear scanning minimizes packet collection loss.
Here, as shown in FIG. 3, the IP packet length (2) of each packet can be collected from the IP header (2) of the collected packet. Further, the IP packet length (1) in the PPP frame can be acquired from the IP packet header (1) in the PPP frame. As a result, the position of the packet boundary can be predicted and high-speed search can be realized. Details will be described below.

パケット処理部4は、まず、一時記憶装置5にテンポラリに保持された分割IPパケットからフレーム開始記号を読み込んだ後(S21)、パラメータ“length”に0を、パラメータ“DATA_LENGTH”に未処理データ長をそれぞれ設定する(S22)。そして、フレーム先頭のIPヘッダからIPパケット長データ(IP_LENGTH)を取得する(S23)。
次に、パケット境界検索処理部42は、一時記憶装置5から既に読み出されたIPパケットのデータ長(DATA_LENGTH)と、現在処理している分割されたIPパケット長(length)の和と、取得したIPパケット長(IP_LENGTH)との比較を行い、フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断する(S24)。 The packet processing unit 4 first reads a frame start symbol from the divided IP packet temporarily stored in the temporary storage device 5 (S21), then sets 0 to the parameter “length” and the unprocessed data length to the parameter “DATA_LENGTH”. Are set respectively (S22). Then, IP packet length data (IP_LENGTH) is acquired from the IP header at the head of the frame (S23).
Next, the packet boundary search processing unit 42 obtains the sum of the data length (DATA_LENGTH) of the IP packet already read from the temporary storage device 5 and the divided IP packet length (length) currently processed. It is compared with the IP packet length (IP_LENGTH), and it is determined whether or not the frame boundary exists in the divided IP packet currently being processed (S24).

ここで、DATA_LENGTH+length<IPパケット長の場合、length=length+DATA_LENGTHとして次のパケット処理へ進み(S25)、DATA_LENGTH+length≧IPパケット長の場合、本パケットの、DATA_LENGTH−length位置からフレーム境界を検索してフレーム境界位置の予測を行う(S26)。ここで、検索がヒットした場合は(S28Yes)、分割前におけるIPパケットのヘッダ情報を切り出して記憶装置6に保持する(S29)。
なお、脱カプセル化処理部41による脱カプセル化処理によりパケットロスが判明した場合(S27Yes)、上記したフレーム境界予測は不可能となるため、パケット境界検索処理部42は、線形走査処理部43を起動して線形走査処理部43の全走査による線形走査処理を行う(S30)。 Here, if DATA_LENGTH + length <IP packet length, the process proceeds to the next packet processing as length = length + DATA_LENGTH (S25). If DATA_LENGTH + length ≧ IP packet length, the frame boundary is searched from the DATA_LENGTH-length position of this packet. The position is predicted (S26). If the search is hit (S28 Yes), the header information of the IP packet before the division is cut out and held in the storage device 6 (S29).
Note that, when the packet loss is found by the decapsulation processing by the decapsulation processing unit 41 (Yes in S27), the above-described frame boundary prediction becomes impossible, so the packet boundary search processing unit 42 sets the linear scan processing unit 43 to The linear scanning processing is started and the linear scanning processing unit 43 performs full scanning (S30).

以上説明のように本発明によれば、カプセル化後のパケット長とフレームのパケット長を用いることで、パケット境界が分割パケット内に存在するか否かを判断することが可能になり、全走査による線形走査を不要とした処理が可能になる。このため、従来、全てのパケットを収集後、解析するしかなかった分割カプセル化されたバイトストリームについて、必要な情報のみを収集することが可能になり、記憶容量の節約、収集処理の負担軽減、パケットの取りこぼし減少に貢献できる。   As described above, according to the present invention, by using the packet length after encapsulation and the packet length of the frame, it is possible to determine whether or not the packet boundary exists in the divided packet, and the entire scan is performed. It becomes possible to perform processing that does not require linear scanning by. For this reason, it has become possible to collect only necessary information for the divided and encapsulated byte stream that had to be analyzed after collecting all the packets in the past, saving storage capacity, reducing the burden of collection processing, Contributes to reducing packet loss.

本発明のパケット収集装置の内部構成を示すブロック図である。It is a block diagram which shows the internal structure of the packet collection apparatus of this invention. 本発明実施形態の動作を説明するために引用したフローチャートである。It is the flowchart quoted in order to demonstrate operation | movement of this invention embodiment. パケット境界位置を予測するために必要なパケット長取得のための操作原理を示す図である。It is a figure which shows the operation principle for packet length acquisition required in order to estimate a packet boundary position. 本発明実施形態の動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate operation | movement of this invention embodiment. 従来のパケット収集方法を説明するために引用した図である。It is the figure quoted in order to demonstrate the conventional packet collection method. 従来のパケット収集方法を説明するために引用した図である。It is the figure quoted in order to demonstrate the conventional packet collection method.

符号の説明Explanation of symbols

1…NWデータ受信部、2…記憶装置、3…パケット種別判定部、4…パケット処理部、5…一時記憶装置、6…記憶装置、41…脱カプセル化処理部、42…パケット境界検索処理部、43…線形走査処理部

DESCRIPTION OF SYMBOLS 1 ... NW data receiving part, 2 ... Memory | storage device, 3 ... Packet type determination part, 4 ... Packet processing part, 5 ... Temporary memory | storage device, 6 ... Memory | storage device, 41 ... Decapsulation processing part, 42 ... Packet boundary search process Part, 43 ... linear scanning processing part

Claims (4)

経路上で分割されたIPパケットから、分割前におけるIPパケットのヘッダ情報を収集するパケット収集装置であって、
受信され、もしくは蓄積された前記IPパケットを読み取り、解析に必要なIPパケットを取り込むパケット種別判定部と、
前記取り込まれたIPパケットを一時記憶装置に保持し、当該一時記憶装置から分割されたIPパケットを順次読み出してフレームの境界を検索し、前記分割前におけるIPパケットのヘッダ情報を切り出して記憶装置に格納するパケット処理部と、
を備えたことを特徴とするパケット収集装置。 A packet collection device for collecting header information of an IP packet before division from an IP packet divided on a route,
A packet type determination unit that reads the received or accumulated IP packets and takes in the IP packets necessary for analysis;
The captured IP packet is held in a temporary storage device, the IP packets divided from the temporary storage device are sequentially read to search for the boundary of the frame, and the header information of the IP packet before the division is cut out and stored in the storage device A packet processing unit to store;
A packet collection device comprising: 前記パケット処理部は、
前記フレームの先頭にあるIPヘッダ情報から当該フレームのIPパケット長を取得し、前記一時記憶装置から既に読み出されたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、前記取得したIPパケット長との比較を、前記分割されたIPパケット単位で逐次行い、前記フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断するパケット境界検索処理部、
を備えることを特徴とする請求項1に記載のパケット収集装置。 The packet processing unit
The IP packet length of the frame is acquired from the IP header information at the head of the frame, and the sum of the data length of the IP packet already read from the temporary storage device and the divided IP packet length currently processed Packet boundary search processing for sequentially comparing the acquired IP packet length in units of the divided IP packets and determining whether the frame boundary exists in the divided IP packet currently being processed Part,
The packet collection device according to claim 1, further comprising: 前記パケット境界検索処理部は、
前記分割されたIPパケットの消失を検出したときに、全てのデータを蓄積しそのデータ列を再構築して解析するために線形走査処理部を起動し、当該線形走査処理部による全走査に切替えることを特徴とする請求項2に記載のパケット収集装置。 The packet boundary search processing unit
When the loss of the divided IP packet is detected, a linear scan processing unit is activated to accumulate all data, reconstruct and analyze the data string, and switch to full scanning by the linear scan processing unit. The packet collection device according to claim 2, wherein: 経路上で分割されたIPパケットから、分割前におけるIPパケットのヘッダ情報を収集するパケット収集装置のためのパケット収集方法であって、
受信され、もしくは蓄積された前記IPパケットを読み取り、解析に必要なIPパケットを取り込む工程と、
フレーム先頭のIPヘッダ情報から当該フレームのIPパケット長を取得する工程と、
既に読み取られたIPパケットのデータ長と現在処理している分割されたIPパケット長の和と、前記取得したIPパケット長との比較を、前記分割されたIPパケット単位で逐次行い、前記フレーム境界が現在処理中の分割されたIPパケット内に存在するか否かを判断する工程と、
前記フレーム境界から前記分割前におけるIPパケットのヘッダ情報を切り出し記憶装置に格納する工程と、
を有することを特徴とするパケット収集方法。


A packet collection method for a packet collection device for collecting header information of an IP packet before division from an IP packet divided on a route,
Reading the received or accumulated IP packets and capturing the IP packets necessary for analysis;
Obtaining the IP packet length of the frame from the IP header information at the beginning of the frame;
A comparison between the data length of an already read IP packet and the divided IP packet length currently processed and the acquired IP packet length is sequentially performed in units of the divided IP packets, and the frame boundary Determining whether or not exists in the segmented IP packet currently being processed;
Cutting out the header information of the IP packet before the division from the frame boundary and storing it in a storage device;
A packet collection method characterized by comprising:


JP2003342444A 2003-09-30 2003-09-30 Method and device for collecting packet Withdrawn JP2005110037A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003342444A JP2005110037A (en) 2003-09-30 2003-09-30 Method and device for collecting packet

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003342444A JP2005110037A (en) 2003-09-30 2003-09-30 Method and device for collecting packet

Publications (1)

Publication Number Publication Date
JP2005110037A true JP2005110037A (en) 2005-04-21

Family

ID=34536709

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003342444A Withdrawn JP2005110037A (en) 2003-09-30 2003-09-30 Method and device for collecting packet

Country Status (1)

Country Link
JP (1) JP2005110037A (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074258A (en) * 2005-09-06 2007-03-22 Of Networks:Kk Variable length frame buffer apparatus and method for retrieving boundary of variable length frame
JP2019193201A (en) * 2018-04-27 2019-10-31 富士通株式会社 Device, method and program for packet acquisition

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007074258A (en) * 2005-09-06 2007-03-22 Of Networks:Kk Variable length frame buffer apparatus and method for retrieving boundary of variable length frame
JP4674709B2 (en) * 2005-09-06 2011-04-20 株式会社オー・エフ・ネットワークス Variable length frame buffer device and variable length frame boundary search method
JP2019193201A (en) * 2018-04-27 2019-10-31 富士通株式会社 Device, method and program for packet acquisition
JP7035771B2 (en) 2018-04-27 2022-03-15 富士通株式会社 Packet acquisition device, packet acquisition method, and packet acquisition program

Similar Documents

Publication Publication Date Title
US9686157B2 (en) Real-time adaptive processing of network data packets for analysis
KR100804671B1 (en) System and Method for Searching Local Terminal for Removing Response Delay
US8495006B2 (en) System analysis program, system analysis method, and system analysis apparatus
US5787253A (en) Apparatus and method of analyzing internet activity
WO2011060377A1 (en) Method and apparatus for real time identification and recording of artifacts
CN107743228A (en) Video quality detection method, monitoring device and storage medium
CN100583830C (en) Method and apparatus for gathering and analyzing flux
JP4537372B2 (en) Waveform analyzer
US8140671B2 (en) Apparatus and method for sampling security events based on contents of the security events
JP2005110037A (en) Method and device for collecting packet
JP4686559B2 (en) Communication monitoring recording / reproducing apparatus and communication monitoring recording / reproducing system
CN101783817A (en) Web text reduction system and method
KR100440582B1 (en) Apparatus and method for measuring traffic by lsp in mpls based internet
CN114598493A (en) Network flow acquisition method
CN106412661B (en) Method and system for collecting network video playing information of smart television
EP1643764A1 (en) Video reproducing apparatus
US20040093413A1 (en) Selecting and managing time specified segments from a large continuous capture of network data
JP2004201266A (en) Image data reproducing apparatus
CN110990239B (en) System and method for collecting user data in user equipment based on soft sensor
JPH07231317A (en) Traffic collecting and analyzing device
CN113660146B (en) Network boundary traffic acquisition method, device and storage medium
JP2020150335A (en) Packet analysis program, packet analyzer and packet analysis method
JP2019165359A (en) Voice quality degradation point estimation device, method and program
KR20110070067A (en) Moving picture recording/reproducing apparatus and method for recording/reproducing the same
US20040098611A1 (en) Optimizing retrieval of requested data from a remote device

Legal Events

Date Code Title Description
A300 Application deemed to be withdrawn because no request for examination was validly filed

Free format text: JAPANESE INTERMEDIATE CODE: A300

Effective date: 20061205