JP2011130156A - ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム - Google Patents

ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム Download PDF

Info

Publication number
JP2011130156A
JP2011130156A JP2009286343A JP2009286343A JP2011130156A JP 2011130156 A JP2011130156 A JP 2011130156A JP 2009286343 A JP2009286343 A JP 2009286343A JP 2009286343 A JP2009286343 A JP 2009286343A JP 2011130156 A JP2011130156 A JP 2011130156A
Authority
JP
Japan
Prior art keywords
information processing
server
network
client
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009286343A
Other languages
English (en)
Inventor
Masanori Taniguchi
雅則 谷口
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2009286343A priority Critical patent/JP2011130156A/ja
Publication of JP2011130156A publication Critical patent/JP2011130156A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Computer And Data Communications (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

【課題】ドキュメントや担当者のノウハウに頼らず、現実に情報処理装置間でやりとりされている通信パケットを解析して、互いに通信を行っている情報処理装置を特定する。
【解決手段】複数の情報処理装置がネットワークを介して接続されているネットワークシステムを監視するネットワーク監視装置10は、ネットワーク上を流れているパケットを取得するパケット取得部11と、取得したパケットに関するデータを蓄積する蓄積DB21と、蓄積DB21を参照して、複数の情報処理装置の中で互いに通信を行っている第1及び第2の情報処理装置を特定するとともに、第1及び第2の通信装置のうちサーバとして動作しているサーバ装置及びクライアントとして動作しているクライアント装置を特定する集約処理部13と、集約処理結果に基づいて、サーバ装置及びクライアント装置の対応関係を出力する出力処理部17とを備える。
【選択図】図2

Description

本発明は、ネットワークシステム内での情報処理装置同士の通信状況を把握するための技術に関し、特に通信を行っている二つの情報処理装置のいずれがサーバであり、クライアントであるかを特定する技術に関する。
従来、多数の情報処理装置を用いて負荷分散することにより、高いパフォーマンスを得られるように構成したネットワークシステムが実用されている。大規模なシステムになれば、その情報処理装置の台数は数百台から千数百台となることもある。このようなシステムでは、安定したパフォーマンスを担保するために、定期的に情報処理装置のリプレースを行う必要がある。
リプレースを行うと、それに応じて予期しない不具合が生じる可能性がある。例えば、リプレースを行うと、情報処理装置の識別情報(IPアドレス)は変わることが一般的である。したがって、リプレース対象の情報処理装置へリクエストをする情報処理装置では、相手の識別情報が変更に対応しないと、リプレース後の通信に失敗する。
そこで、システムの管理担当者としては、リプレース対象の情報処理装置が通信を行っている相手を予め把握しておくことは極めて重要である。そこで、従来は、情報処理装置間の通信状況を把握するためには、設計書などのドキュメントを参照したり、担当者のノウハウを頼りにしたりしていた。
しかしながら、設計書などのドキュメントの精度が低く、情報処理装置間の通信状況を正確に把握できないことがある。また、対象となっているネットワークシステムがレガシーシステムであるが故にノウハウを持った担当者がいないこともある。このような場合には、リプレース対象の情報処理装置が、どの情報処理装置と通信を行っているかを正確に特定することができない。
特に、データセンター移設など多数の情報処理装置の一括リプレースや、DNS/NTPサーバのように、多数の情報処理装置と通信をしている装置のリプレースの場合、その通信の情報処理装置を正確に特定できないと、移行時に大きなリスクを抱えることとなる。
そこで、本発明の目的は、ドキュメントや担当者のノウハウに頼らず、現実に情報処理装置間でやりとりされている通信パケットを解析して、互いに通信を行っている情報処理装置を特定することである。
本発明の一つの実施態様に従う、複数の情報処理装置がネットワークを介して接続されているネットワークシステムを監視するネットワーク監視装置であって、前記ネットワーク上を流れているパケットを取得するパケット取得手段と、前記パケット取得手段で取得したパケットに関するデータを蓄積する蓄積手段と、前記蓄積手段を参照して前記パケットに関するデータを解析し、前記複数の情報処理装置の中で互いに通信を行っている第1及び第2の情報処理装置を特定するとともに、前記第1及び第2の通信装置のうちサーバとして動作しているサーバ装置及びクライアントとして動作しているクライアント装置を特定する解析手段と、前記解析手段による解析結果を記憶する記憶手段と、前記記憶手段を参照して、前記解析結果を出力する手段と、を備える。
好適な実施形態では、前記第1及び第2の情報処理装置間でTCP通信が行われているとき、前記解析手段は、前記蓄積手段から、前記第1及び第2の情報処理装置間のTCP通信に係るパケットのうちのSYN/ACKパケットに関するデータを抽出し、前記抽出したSYN/ACKパケットに関するデータに基づいて、前記第1及び第2の情報処理装置のうちいずれか一方を前記サーバ装置、他方をクライアント装置と特定するようにしてもよい。
好適な実施形態では、前記第1及び第2の情報処理装置間でTCP通信またはUDP通信が行われているとき、前記解析手段は、前記蓄積手段から、前記第1及び第2の情報処理装置間のTCP通信またはUDP通信に係る複数のパケットに関するデータから、各パケットにおける第1の情報処理装置の第1のポート番号と、第2の情報処理装置の第2のポート番号とをそれぞれ特定し、一組の第1の情報処理装置の第1のポート番号に対して、複数組の第2の情報処理装置の第2のポート番号が対応するとき、前記第1の情報処理装置を前記サーバ装置、前記第2の情報処理装置を前記クライアント装置と特定するようにしてもよい。
本発明の一実施形態に係るネットワーク解析装置が解析対象のネットワークシステムと接続されている様子を示す。 本発明の一実施形態に係るネットワーク監視装置10の機能構成図を示す。 蓄積データベース21のデータ構造の一例を示す。 集約データベース23のデータ構造の一例を示す。 TCP通信においてサーバとなっている情報処理装置3及びクライアントとなっている情報処理装置3を特定する方法に係るフローチャートである。 UDP通信においてサーバとなっている情報処理装置3及びクライアントとなっている情報処理装置3を特定する方法に係るフローチャートである。 UDP通信の蓄積データを集約する処理過程におけるレコードの説明図である。 UDP通信におけるクライアント−サーバ間のIPアドレス及びポート番号の一例である。 結果データベース25のデータ構造の一例を示す。 結果データ生成部15の詳細な処理手順を示すフローチャートである。 一時データベース29のデータ構造の一例を示す。 出力処理部17による結果出力の一例を示す。 出力処理部17による結果出力の一例を示す。
以下、本発明の一実施形態に係るネットワーク解析装置について、図面を参照して説明する。
図1は、本実施形態に係るネットワーク解析装置が解析対象のネットワークシステムと接続されている様子を示す。
監視対象のネットワークシステムNは、複数の情報処理装置3,3,・・・(図中、符号は一部のサーバのみ付している)と、情報処理装置3,3,・・・間を接続する一以上のネットワーク装置5,5,・・・とを有している。本実施形態に係るネットワーク監視装置10は、いずれかのネットワーク装置5に接続されている。ネットワーク監視装置10は、接続されているネットワーク装置5からネットワーク上を流れているパケットを取得する。そして、ネットワーク監視装置10は、取得したパケットを解析して、どの二つの情報処理装置3,3間で通信が行われているか、及び、その際にいずれがサービスを提供するサーバであり、いずれがサービスの提供を受けるクライアントであるかを特定する。以下の実施形態で説明するネットワークシステムNでは、IP(Internet Protocol)を用いた通信が行われている。
ネットワーク監視装置10は、例えば汎用的なコンピュータシステムにより構成され、以下に説明するネットワーク監視装置10内の個々の構成要素または機能は、例えば、コンピュータプログラムを実行することにより実現される。このコンピュータプログラムは、コンピュータ読み取り可能な記録媒体に格納可能である。
図2は、ネットワーク監視装置10の機能構成図を示す。ネットワーク監視装置10は、同図に示すように、パケット取得部11と、集約処理部13と、結果データ生成部15と、出力処理部17と、蓄積データベース21と、集約データベース23と、結果データベース25と、アドレス変換テーブル27と、一時データベース29とを備える。
パケット取得部11は、ネットワーク装置5を介して、ネットワーク上を流れているパケットを取得(キャプチャ)する。パケット取得部11は取得したパケットから所定のデータを抽出して、蓄積データベース21に順次記憶する。パケット取得部11は、一つのパケットに対して蓄積データベース21の一レコードを生成する。
蓄積データベース21は、パケット取得部11が取得したパケットから抽出されたデータを保存する。蓄積データベース21は、例えば、図3に示すようなデータ構造を有する。すなわち、蓄積データベース21は、機械番号211と、シーケンス番号213と、時刻215と、プロトコル217と、発信者アドレス219と、発信者ポート番号221と、宛先アドレス223と、宛先ポート番号225と、コードビット227とを、データ項目として有する。
機械番号211は、ネットワーク監視装置10の識別情報である。
シーケンス番号213は、蓄積データベース21に蓄積されている各レコードを識別するための番号である。
時刻215は、パケット取得部11がパケットを取得した時刻、または各レコードが蓄積データベース21に保存された時刻である。
プロトコル217は、パケット取得部11が取得したパケットのIPヘッダに格納されているプロトコルである。従って、トランスポート層のプロトコルにTCP(Transmission Control Protocol)を利用しているパケットの場合は「6」、UDP(User Datagram Protocol)を利用しているパケットの場合は「17」が設定される。
発信者アドレス219は、パケット取得部11が取得したパケットのIPヘッダに格納されている発信者のIPアドレスである。
発信者ポート番号221は、プロトコル217が「6」(TCP)の場合、TCPヘッダの発信者ポート番号が設定され、プロトコル217が「17」(UDP)の場合、UDPヘッダの発信者ポート番号が設定される。
宛先アドレス223は、パケット取得部11が取得したパケットのIPヘッダに格納されている宛先のIPアドレスである。
宛先ポート番号225は、プロトコル217が「6」(TCP)の場合、TCPヘッダの宛先ポート番号が設定され、プロトコル217が「17」(UDP)の場合、UDPヘッダの宛先ポート番号が設定される。
コードビット227は、プロトコル217が「6」(TCP)の場合、TCPヘッダのコードビットが設定される。プロトコル217が「17」(UDP)の場合、ブランクでもよい。
集約処理部13は、所定の項目に着目して、蓄積データベース21に保存されているデータを集約する。例えば、集約処理部13は、蓄積データベース21の全レコードを集約データベース23のキー項目について重複しないように集約する。
アドレス変換テーブル27は、一部のIPアドレスを仮想IPドレスへ変換するためのテーブルである。例えば、クラスタシステムなどのように複数の情報処理装置で分散処理を行うときに、クライアントから見たときに単一の情報処理装置であるように見せるために仮想IPアドレスが採用されることがある。本実施形態では、集約処理部13がアドレス変換テーブル27を参照して、クラスタシステムに係る情報処理装置3のIPアドレスを仮想IPアドレスへ変換する。
集約データベース23は、集約処理部13によって集約されたデータが保存される。集約データベース23は、例えば、図4に示すようなデータ構造を有する。すなわち、集約データベース23は、プロトコル231と、サーバアドレス233と、サーバポート番号235と、クライアントアドレス237と、サーバ不明フラグ239とを、データ項目として有する。
プロトコル231は、蓄積データベース21のプロトコル217に対応する。
サーバアドレス233は、サーバプログラムが稼働し、サーバとして動作する情報処理装置3のIPアドレスである。サーバは、クライアントに対して所定のサービスを提供する情報処理装置3である。
サーバポート番号235は、サーバアドレス233のLISTENポートの番号である。
クライアントアドレス237は、クライアントプログラムが稼働し、クライアントとして動作する情報処理装置3のIPアドレスである。クライアントは、サーバから所定のサービスの提供を受ける情報処理装置3である。
サーバ不明フラグ239は、2つの情報処理装置3,3間の通信でいずれがサーバであるかが不明なことを示すフラグである。サーバが不明なときは、「1」が設定され、それ以外のときは「0」が設定される。
ここで、集約処理部13が行う集約処理について詳細に説明する。
まず、TCPを利用して通信を行っている情報処理装置3の特定方法について説明する。図5は、TCP通信においてサーバとなっている情報処理装置3及びクライアントとなっている情報処理装置3を特定する方法に係るフローチャートである。以下、同図に沿って説明する。
集約処理部13は、トランスポート層のプロトコルとしてTCPを利用して通信を行っている情報処理装置3を特定し、且つ、そのTCPを利用した通信におけるサーバ及びクライアントを特定する。そのために、集約処理部13は、蓄積データベース21から、プロトコル217が「6」であり、且つ、コードビット227が“SYN/ACK”を示すレコードを抽出する(S11)。
ここで、プロトコル217が「6」とは、トランスポート層のプロトコルがTCPであるパケットに対応する。
さらに、コードビット227が“SYN/ACK”のレコードは、情報処理装置3,3間でTCPセッションを確立する際にサーバとなる情報処理装置3が送信したSYN/ACKパケットに対応するものである。つまり、コードビット227が“SYN/ACK”のレコードにおける発信者アドレス219の情報処理装置3がサーバであり、宛先アドレス223の情報処理装置3がクライアントであることが特定できる。
次に、集約処理部13は、ステップS11で抽出されたレコードを、プロトコル217、発信者アドレス219、発信者ポート番号221、及び宛先アドレス223により集約する(S13)。つまり、集約処理部13は、“TCP”の“SYN/ACK”パケットに対応するレコードを、プロトコル217、発信者アドレス219、発信者ポート番号221、及び宛先アドレス223に関して、重複しないように1レコードに集約する。
集約処理部13は、ステップS13で得られた集約されたレコードに対して、アドレス変換テーブル27を参照してアドレス変換を行い、その結果、重複することとなるレコードを削除する(S15)。
集約処理部13は、ステップS15により得られたレコードの発信者側がサーバとなるように集約データベース23へ保存する(S17)。すなわち、集約処理部13は、プロトコル217をプロトコル231、発信者アドレス219をサーバアドレス233、発信者ポート番号221をサーバポート番号235及び宛先アドレス223をクライアントアドレス237にそれぞれ格納する。なお、サーバ不明フラグ239には「0」を設定する。
これにより、TCP通信を行っているサーバ及びクライアントを特定して、その対応関係を集約データベース23に保存できる。
次に、UDPを利用して通信を行っている情報処理装置の特定方法について説明する。UDPの場合、TCPと異なり、単にパケットの内容を参照するだけでは、互いに通信を行っている情報処理装置のいずれがサーバ、またはクライアントであるかを特定することができない。そこで、UDP通信の場合、以下のような通信の特性を利用して、サーバ及びクライアントを判定する。
クライアント−サーバ間で通信を行う場合、TCPまたはUDPのいずれを用いたときでも、サーバとなる情報処理装置では、サーバプログラムごとにポート番号が予め固定されているという特徴がある。例えば、クライアント側は、セッションが異なればその度に任意のポート番号を使用して通信するので、クライアントのポート番号は様々な値をとり得る。これに対して、サーバ側では同じサーバプログラムであれば同じポート番号が使用されるという特性がある。本実施形態では、この特性を利用して、以下に説明するようにサーバ及びクライアントを判定する。なお、このUDP通信に適用可能な情報処理装置の特定方法は、TCP通信に対しても適用可能である。
図6は、UDP通信においてサーバ及びクライアントとなっている情報処理装置を特定する方法に係るフローチャートである。以下、同図に沿って説明する。
集約処理部13は、まず、トランスポート層のプロトコルとしてUDPを利用して通信を行っている情報処理装置3を特定する。すなわち、集約処理部13は、蓄積データベース21から、プロトコル217が「17」であるレコードを抽出する(S31)。プロトコル217が「17」のレコードとは、トランスポート層のプロトコルがUDPであるパケットに対応する。従って、このレコードの発信者アドレス219の情報処理装置3と宛先アドレス223の情報処理装置3とが通信を行ったことがわかる。
次に、集約処理部13は、ステップS31で抽出されたレコードを、プロトコル217、発信者アドレス219、発信者ポート番号221、宛先アドレス223及び宛先ポート番号225により集約する(S33)。つまり、集約処理部13は、プロトコル217、発信者アドレス219、発信者ポート番号221、宛先アドレス223及び宛先ポート番号225に関して、重複するレコードを1レコードに集約する。
この時点では、2つの情報処理装置3,3間でのあるセッションについて、一方の情報処理装置3から見た上りのパケットに対応するレコード、及び下りのパケットに対応するレコードの双方が存在する。例えば図7に示すように、アドレスAの情報処理装置Aのポート番号Aと、アドレスBの情報処理装置Bのポート番号Bとの間の通信に関して、情報処理装置A(ポートA)→情報処理装置B(ポートB)のパケットに対応するレコード(ケース#1)と、情報処理装置B(ポートB)→情報処理装置A(ポートA)のパケットに対応するレコード(ケース#2)とが存在する。そして、ここで集約したレコードからは、情報処理装置A,Bのいずれがサーバ、あるいはクライアントであるかを特定することができない。
そこで、集約処理部13は、ステップS33により得られたレコードに対して、一つのアドレス(発信者アドレスまたは宛先アドレス)及び一つのポート番号(発信者ポート番号または宛先ポート番号)を組にして、そのアドレス及びポート番号の組と通信を行っている他のアドレス(発信者アドレスまたは宛先アドレス)及びポート番号(発信者ポート番号または宛先ポート番号)の組が複数あるものを抽出する(S35)。
上述のように、サーバとなる情報処理装置では、特定のポート番号を用いてパケットの送受信を行う。例えば、図8に示すように、ある情報処理装置(アドレス:X.1.1.1)がサーバとして動作するときには、その特定のポート(ポート:80)を繰り返し使用してパケットの送受信を行う。従って、必然的にサーバとなる情報処理装置3のアドレス(X.1.1.1)及びポート番号(80)に対して、クライアントとなる情報処理装置の様々なアドレス及びポート番号との送受信記録が残る。
そこで、集約処理部13は、一つのアドレス(X.1.1.1)及びポート番号(80)の組、つまりサーバ候補のアドレス及びポート番号に対して、複数のアドレス及びポート番号の組が対応するレコードを、ステップS33により得られたレコードから抽出する。サーバ候補のアドレス(X.1.1.1)及びポート番号(80)は、発信者側及び宛先側のいずれでもよい。
集約処理部13は、ステップS35で抽出されたレコードのうち、一つのアドレス(発信者アドレスまたは宛先アドレス)とポート番号(発信者ポート番号または宛先ポート番号)との組を、サーバアドレス233及びサーバポート番号235として集約して、集約データベース23へ保存する(S37)。つまり、集約処理部13は、図8の例で言えば、一つのアドレス(X.1.1.1)及びポート番号(80)をサーバアドレス233及びサーバポート番号235とし、通信相手のアドレスをクライアントアドレス237として、レコードを集約する。
一方、ステップS35で抽出されずに残ったレコードは、情報処理装置Aから情報処理装置Bへのレコード(図7のケース#1)が一つ、情報処理装置Bから情報処理装置Aへのレコード(図7のケース#2)も一つという組み合わせのものである。従って、ケース#1もケース#2もそれぞれ一レコードだけ存在する状態では、いずれがサーバと特定することができない。
そこで、集約処理部13は、ステップS35で抽出されなかったレコードについては、ケース#1及びケース#2のそれぞれについて、発信者アドレス219をサーバアドレス233、発信者ポート番号221をサーバポート番号235、宛先アドレス223をクライアントアドレス237にそれぞれ設定し、かつ、サーバ不明フラグ239に「1」を設定し、集約データベース23へ保存する(S39)。
集約処理部13は、上述の処理で集約データベース23に保存されたレコードに対して、アドレス変換テーブル27を参照してアドレス変換を行い、その結果、重複することとなるレコードを削除する(S41)。
これにより、UDP通信を行っているサーバ及びクライアントを特定して、その対応関係を集約データベース23に保存できる。
改めて図2を参照すると、結果データ生成部15は、蓄積データベース21及び集約データベース23を参照して、結果データを生成する。例えば、結果データ生成部15は、集約データベース23に保存されている集約データの各レコードに、それぞれの通信が行われている時間帯を示すデータを付加して、結果データを生成する。結果データ生成部15が生成した結果データは、結果データベース25に格納される。
結果データベース25は、結果データ生成部15が生成した結果データを格納する。結果データベース25は、例えば、図9に示すようなデータ構造を有する。すなわち、結果データベース25は、プロトコル251と、サーバアドレス253と、サーバポート番号255と、クライアントアドレス257と、サーバ不明フラグ259と、時間帯261とを、データ項目として有する。
プロトコル251〜サーバ不明フラグ259までは、それぞれ、集約データベース23のプロトコル231〜サーバ不明フラグ239に対応する。
時間帯261は、それぞれのレコードに係るサーバ−クライアント間で通信が行われた時間帯を示す。時間帯261は、結果データ生成部15によって付加される。
図10は、結果データ生成部15の詳細な処理手順を示すフローチャートである。以下、同図に沿って説明する。
結果データ生成部15は、蓄積データベース21からレコードを抽出する(S51)。このとき、特に、時刻215、プロトコル217、発信者アドレス219、発信者ポート番号221、宛先アドレス223及び宛先ポート番号225を抽出して一時データベース29に格納する。
一時データベース29は、例えば、図11に示すように、時刻291、プロトコル292、発信者アドレス293、発信者ポート番号294、宛先アドレス295、宛先ポート番号296及び時間帯297を、データ項目として有する。
結果データ生成部15は、抽出したレコードの時刻291を所定の時間幅を有する時間帯に変換して、時間帯297に格納する(S53)。この時間帯は、例えば、10分、30分、1時間など任意の時間幅でよい。時間帯は、予め固定的に定められていてもよいし、ユーザが指定してもよい。例えば、時間帯の時間幅を1時間とすると、結果データ生成部15は、時刻215がN時台(例えば7時台)とき、すべてN時(7時)に変換してもよい。
結果データ生成部15は、ステップS55で得られた集約されたレコードに対して、アドレス変換テーブル27を参照してアドレス変換を行い、その結果、重複することとなるレコードを削除する(S55)。
結果データ生成部15は、一時データベース29内のレコードのアドレス及びポート番号を入れ替えて、各レコードが示すデータの送信方向を統一する(S57)。つまり、一時データベース29には、一方の情報処理装置から見たときに、上りと下りの双方向のパケットに対応するレコードが含まれているので、これを一方向に統一する。例えば、結果データ生成部15は、発信者アドレス293と宛先アドレス295とを比較して、発信者アドレス293が大きければ発信者アドレス293と宛先アドレス295とを入れ替え、かつ、発信者ポート番号294と宛先ポート番号296とを入れ替える。
ここで、結果データ生成部15は、一時データベース29のレコードを集約して、重複しているものを削除する(S59)。つまり、プロトコル292、発信者アドレス293、発信者ポート番号294、宛先アドレス295、宛先ポート番号296及び時間帯297が重複するレコードを1レコードに集約する。
次に、結果データ生成部15は、集約データベース23の各データに時間帯を付加して、結果データベース25に格納する(S61)。つまり、集約データベース23の各レコードは、複数の情報処理装置3,3,・・・の中で互いにサーバ−クライアントとして通信を行っている情報処理装置3,3を示しているが、それらの情報処理装置3,3間で通信を行っている時間帯に関する情報はない。そこで、集約データベース23の各レコードの情報処理装置3,3間で通信を行っているすべての時間帯を、一時データベースの時間帯297から取得する。従って、例えば、集約データベース23の各レコードの情報処理装置3,3間で通信を行っている時間帯が複数あれば、集約データベース23の1レコードが、結果データベース25ではそれぞれ異なる時間帯の複数レコードに増加する。
例えば、結果データ生成部15は、集約データベース23の各レコードについて、プロトコル231、サーバアドレス233、サーバポート番号235及びクライアントアドレス237が29のプロトコル292〜宛先アドレス295とすべて一致するすべてのレコードを特定し、それらのレコードの297をプロトコル231〜クライアントアドレス237に付加して、結果データベース25のプロトコル251〜時間帯261に格納する。同様に、結果データ生成部15は、集約データベース23の各レコードについて、プロトコル231、サーバアドレス233、サーバポート番号235及びクライアントアドレス237が29のプロトコル292、宛先アドレス295、宛先ポート番号297及び発信者アドレス293とすべて一致するすべてのレコードを特定し、それらのレコードの297をプロトコル231〜クライアントアドレス237に付加して、結果データベース25のプロトコル251〜時間帯261に格納する。
これにより、集約データベース23の各レコードに、現実にパケットの送受信が行われている時間帯を付加することができる。
改めて図2を参照すると、出力処理部17は、結果データベース25を参照して結果データを出力する。例えば、出力処理部17は、図12に示すような、クライアント及びサーバの対応関係一覧表を生成する。これにより、ネットワークシステムN内で、それぞれサーバ及びクライアントとして通信を行っている情報処理装置を特定することができる。
あるいは、出力処理部17は、図13に示すような情報処理装置3,3,・・・間の相関図を生成する。この相関図において、クライアントからサーバへ向けて矢印が描かれている。この相関図を用いると、リプレイス対象となる情報処理装置3を対して処理を依頼している情報処理装置3が一目瞭然である。例えば、hostA〜hostDをリプレイスする場合、hostA〜hostDがサーバとなってサービスを受ける情報処理装置3は、hostM〜Qであることがわかる。
上述した本発明の実施形態は、本発明の説明のための例示であり、本発明の範囲をそれらの実施形態にのみ限定する趣旨ではない。当業者は、本発明の要旨を逸脱することなしに、他の様々な態様で本発明を実施することができる。
例えば、蓄積データベース21に保存されているデータに基づく集約処理以降の処理は、ネットワーク監視装置10とは異なる処理装置において行うようにしてもよい。その際、複数のネットワーク監視装置10のデータをまとめて処理してもよい。
3,3,・・・ 情報処理装置
5,5,・・・ ネットワーク装置
10 ネットワーク監視装置
11 パケット取得部
13 集約処理部
15 結果データ生成部
17 出力処理部
21 蓄積データベース
23 集約データベース
25 結果データベース
27 アドレス変換テーブル

Claims (5)

  1. 複数の情報処理装置がネットワークを介して接続されているネットワークシステムを監視するネットワーク監視装置であって、
    前記ネットワーク上を流れているパケットを取得するパケット取得手段と、
    前記パケット取得手段で取得したパケットに関するデータを蓄積する蓄積手段と、
    前記蓄積手段を参照して前記パケットに関するデータを解析し、前記複数の情報処理装置の中で互いに通信を行っている第1及び第2の情報処理装置を特定するとともに、前記第1及び第2の通信装置のうちサーバとして動作しているサーバ装置及びクライアントとして動作しているクライアント装置を特定する解析手段と、
    前記解析手段による解析結果を記憶する記憶手段と、
    前記記憶手段を参照して、前記解析結果を出力する手段と、を備えるネットワーク監視装置。
  2. 前記第1及び第2の情報処理装置間でTCP通信が行われているとき、
    前記解析手段は、前記蓄積手段から、前記第1及び第2の情報処理装置間のTCP通信に係るパケットのうちのSYN/ACKパケットに関するデータを抽出し、前記抽出したSYN/ACKパケットに関するデータに基づいて、前記第1及び第2の情報処理装置のうちいずれか一方を前記サーバ装置、他方をクライアント装置と特定する、請求項1記載のネットワーク監視装置。
  3. 前記第1及び第2の情報処理装置間でTCP通信またはUDP通信が行われているとき、
    前記解析手段は、前記蓄積手段から、前記第1及び第2の情報処理装置間のTCP通信またはUDP通信に係る複数のパケットに関するデータから、各パケットにおける第1の情報処理装置の第1のポート番号と、第2の情報処理装置の第2のポート番号とをそれぞれ特定し、一組の第1の情報処理装置の第1のポート番号に対して、複数組の第2の情報処理装置の第2のポート番号が対応するとき、前記第1の情報処理装置を前記サーバ装置、前記第2の情報処理装置を前記クライアント装置と特定する、請求項1または2に記載のネットワーク監視装置。
  4. ネットワーク監視装置が、複数の情報処理装置がネットワークを介して接続されているネットワークシステムを監視して、サーバ装置及びクライアント装置を特定する方法であって、
    前記ネットワーク上を流れているパケットを取得するステップと、
    前記取得したパケットに関するデータを蓄積手段に蓄積するステップと、
    前記蓄積手段を参照して前記パケットに関するデータを解析し、前記複数の情報処理装置の中で互いに通信を行っている第1及び第2の情報処理装置を特定するステップと、
    前記第1及び第2の通信装置のうちサーバとして動作しているサーバ装置及びクライアントとして動作しているクライアント装置を特定するステップと、を行う方法。
  5. ネットワーク監視装置が、複数の情報処理装置がネットワークを介して接続されているネットワークシステムを監視して、サーバ装置及びクライアント装置を特定するためのコンピュータプログラムであって、
    前記ネットワーク監視装置に、
    前記ネットワーク上を流れているパケットを取得するステップと、
    前記取得したパケットに関するデータを蓄積手段に蓄積するステップと、
    前記蓄積手段を参照して前記パケットに関するデータを解析し、前記複数の情報処理装置の中で互いに通信を行っている第1及び第2の情報処理装置を特定するステップと、
    前記第1及び第2の通信装置のうちサーバとして動作しているサーバ装置及びクライアントとして動作しているクライアント装置を特定するステップと、を実行させるためのコンピュータプログラム。
JP2009286343A 2009-12-17 2009-12-17 ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム Pending JP2011130156A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2009286343A JP2011130156A (ja) 2009-12-17 2009-12-17 ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009286343A JP2011130156A (ja) 2009-12-17 2009-12-17 ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム

Publications (1)

Publication Number Publication Date
JP2011130156A true JP2011130156A (ja) 2011-06-30

Family

ID=44292262

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009286343A Pending JP2011130156A (ja) 2009-12-17 2009-12-17 ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム

Country Status (1)

Country Link
JP (1) JP2011130156A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080378A (ja) * 2010-10-04 2012-04-19 Nec Commun Syst Ltd プロトコル試験装置、プロトコル試験方法およびプロトコル試験プログラム

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2012080378A (ja) * 2010-10-04 2012-04-19 Nec Commun Syst Ltd プロトコル試験装置、プロトコル試験方法およびプロトコル試験プログラム

Similar Documents

Publication Publication Date Title
EP1722508B1 (en) Distributed traffic analysis
CN102045363B (zh) 网络流量特征识别规则的建立方法、识别控制方法及装置
US20080144655A1 (en) Systems, methods, and computer program products for passively transforming internet protocol (IP) network traffic
US10691748B2 (en) Methods and apparatus to process call packets collected in a communications network
US20070171827A1 (en) Network flow analysis method and system
US9634851B2 (en) System, method, and computer readable medium for measuring network latency from flow records
US8005000B1 (en) Effective measurement/notification of SLA in a service oriented networked environment
GB2425014A (en) Monitoring progress of a signalling message and network monitoring
Laštovička et al. Using TLS fingerprints for OS identification in encrypted traffic
Plonka et al. Assessing performance of Internet services on IPv6
CN102959514B (zh) 在计算机网络中发送数据的方法、系统、服务器、设备、计算机程序和计算机程序产品
JP5154313B2 (ja) Sipメッセージ振分方法およびsipメッセージ振分装置
CN102780591A (zh) 用于在会话级别区分和采样双向网络流量的方法和装置
JP2013529013A (ja) ネットワーク内部のデータ通信を制御するための方法およびシステム
Kang et al. Streaming media and multimedia conferencing traffic analysis using payload examination
CN102480503B (zh) P2p流量识别方法和装置
Zirngibl et al. QUIC Hunter: Finding QUIC Deployments and Identifying Server Libraries Across the Internet
JP2011130156A (ja) ネットワーク監視装置、サーバ装置及びクライアント装置を特定する方法及びプログラム
Manzoor et al. The curious case of parallel connections in http/2
Al Rasyid et al. Implementation MQTT-SN protocol on smart city application based wireless sensor network
Hoefling et al. jOSEF: A Java-Based Open-Source Smart Meter Gateway Experimentation Framework
Bajpai et al. Global measurements: Practice and experience (report on dagstuhl seminar# 16012)
JP2013243534A (ja) 遅延時間評価装置および遅延時間評価方法
Balachandran et al. Volunteer-based distributed traffic data collection system
Gharakheili et al. iTeleScope: Intelligent video telemetry and classification in real-time using software defined networking