JP2014135719A - Capture data analysis device - Google Patents

Capture data analysis device Download PDF

Info

Publication number
JP2014135719A
JP2014135719A JP2013241804A JP2013241804A JP2014135719A JP 2014135719 A JP2014135719 A JP 2014135719A JP 2013241804 A JP2013241804 A JP 2013241804A JP 2013241804 A JP2013241804 A JP 2013241804A JP 2014135719 A JP2014135719 A JP 2014135719A
Authority
JP
Japan
Prior art keywords
napt
capture
tables
packet data
router
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2013241804A
Other languages
Japanese (ja)
Other versions
JP5870078B2 (en
Inventor
Hiroki Tsukiji
裕希 築地
Kota Yamamoto
高大 山本
Kenichi Maruyama
健一 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013241804A priority Critical patent/JP5870078B2/en
Publication of JP2014135719A publication Critical patent/JP2014135719A/en
Application granted granted Critical
Publication of JP5870078B2 publication Critical patent/JP5870078B2/en
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

PROBLEM TO BE SOLVED: To estimate the number of NAPT table.SOLUTION: The capture data analysis device acquires packet data, adds one number of the NAPT table when the packet data is used for starting a session, and decreases one number of the NAPT table when retention time set to the NAPT table is elapsed, after communication is terminated. Thereby, the number of the NAPT table in a router can be estimated.

Description

本発明は、ネットワーク上を流れるパケットをキャプチャしたキャプチャデータを解析する技術に関する。   The present invention relates to a technique for analyzing capture data obtained by capturing a packet flowing on a network.

ローカルエリアネットワークに接続された端末が外部のネットワークと通信する場合に、ローカルエリアネットワークと外部のネットワークとを接続するルータがローカルエリアネットワーク内の端末から送信されたパケットの送信元アドレスおよびポート番号をルータにプールされたグローバルアドレスおよびポート番号に変換して通信を行うNAPT(Network Address Port Translation)が利用される(非特許文献1参照)。   When a terminal connected to the local area network communicates with an external network, the router that connects the local area network and the external network uses the source address and port number of the packet transmitted from the terminal within the local area network. NAPT (Network Address Port Translation) that performs communication by converting to a global address and port number pooled in a router is used (see Non-Patent Document 1).

“ネットワークアドレス変換”、[online]、[平成24年11月12日検索]、インターネット〈 URL:http://ja.wikipedia.org/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E5%A4%89%E6%8F%9B〉“Network address conversion”, [online], [searched on November 12, 2012], Internet <URL: http://en.wikipedia.org/wiki/%E3%83%8D%E3%83%83% E3% 83% 88% E3% 83% AF% E3% 83% BC% E3% 82% AF% E3% 82% A2% E3% 83% 89% E3% 83% AC% E3% 82% B9% E5% A4% 89% E6% 8F% 9B>

ルータはローカルエリアネットワークの変換前のプライベートIPアドレス及びポート番号と変換後のグローバルIPアドレス及びポート番号の組みをNAPTテーブルとして保持している。NAPTテーブルを保持する数には上限があり、その上限を超える場合はNAPTテーブルが生成できずに通信エラーとなる。   The router holds a combination of the private IP address and port number before conversion of the local area network and the global IP address and port number after conversion as a NAPT table. There is an upper limit to the number of NAPT tables held, and if the upper limit is exceeded, a NAPT table cannot be generated and a communication error occurs.

ネットワーク障害の原因を究明するためにパケットをキャプチャしたキャプチャデータを解析することが有効であるが、NAPTテーブルの数はルータ内に保持されており、キャプチャデータの解析では、NAPTテーブルの数を知ることはできなかった。   Although it is effective to analyze the capture data obtained by capturing the packet in order to investigate the cause of the network failure, the number of NAPT tables is held in the router, and the number of NAPT tables is known in the analysis of the capture data. I couldn't.

本発明は、上記に鑑みてなされたものであり、NAPTテーブルの数を推定することを目的とする。   The present invention has been made in view of the above, and an object thereof is to estimate the number of NAPT tables.

第1の本発明に係るキャプチャデータ解析装置は、ネットワーク上を流れるパケットをキャプチャしたパケットデータからルータが保持するNAPTテーブルの数を推定するキャプチャデータ解析装置であって、パケットデータを取得する取得手段と、前記パケットデータが前記ルータによって中継される新たな通信を開始するパケットデータである場合はNAPTテーブルの数を1つ増加し、前記ルータによって中継される通信を終了するパケットデータである場合あるいはNAPTテーブルに設定された保有時間が経過した場合は前記NAPTテーブルの数を1つ減少する推定手段と、前記推定手段が推定した前記NAPTテーブルの数を出力する出力手段と、を有することを特徴とする。   A capture data analysis apparatus according to a first aspect of the present invention is a capture data analysis apparatus for estimating the number of NAPT tables held by a router from packet data obtained by capturing packets flowing on a network, and acquiring means for acquiring packet data When the packet data is packet data for starting a new communication relayed by the router, the number of NAPT tables is increased by one, and the packet data is a packet data for ending the communication relayed by the router or And an estimation unit that decreases the number of the NAPT tables by one when the holding time set in the NAPT table has elapsed, and an output unit that outputs the number of the NAPT tables estimated by the estimation unit. And

第2の本発明に係るキャプチャデータ解析装置は、ネットワーク上を流れるパケットをキャプチャしたパケットデータからルータが保持するNAPTテーブルの数を推定するキャプチャデータ解析装置であって、パケットデータを取得する取得手段と、前記パケットデータが前記ルータによって中継される新たな通信を開始するパケットデータである場合はNAPTテーブルの数を1つ増加し、前記ルータによって中継される通信が終了したと判断される時から予め設定した保有時間が経過した場合は前記NAPTテーブルの数を1つ減少する推定手段と、前記推定手段が推定した前記NAPTテーブルの数を出力する出力手段と、を有することを特徴とする。   A capture data analysis apparatus according to a second aspect of the present invention is a capture data analysis apparatus for estimating the number of NAPT tables held by a router from packet data obtained by capturing packets flowing on a network, and acquiring means for acquiring packet data When the packet data is packet data for starting a new communication relayed by the router, the number of NAPT tables is increased by one, and it is determined that the communication relayed by the router is completed. An estimation unit that decreases the number of NAPT tables by one when a holding time set in advance elapses and an output unit that outputs the number of NAPT tables estimated by the estimation unit are provided.

上記キャプチャデータ解析装置において、前記出力手段は、前記NAPTテーブルの数を時系列で出力することを特徴とする。   In the capture data analyzing apparatus, the output unit outputs the number of the NAPT tables in time series.

本発明によれば、NAPTテーブルの数を推定することができる。   According to the present invention, the number of NAPT tables can be estimated.

本実施の形態におけるキャプチャデータ解析装置の構成を示す機能ブロック図である。It is a functional block diagram which shows the structure of the capture data analysis apparatus in this Embodiment. 本実施の形態におけるキャプチャデータ解析装置の処理の流れを示すフローチャートである。It is a flowchart which shows the flow of a process of the capture data analysis apparatus in this Embodiment. NAPTテーブルを説明する図である。It is a figure explaining a NAPT table. NAPTテーブルの数の推定結果を示すグラフである。It is a graph which shows the estimation result of the number of NAPT tables. 第1の実施の形態のキャプチャデータ解析装置が推定したテーブル数の変化と実際のテーブル数の変化を示すグラフである。It is a graph which shows the change of the number of tables estimated by the capture data analysis device of a 1st embodiment, and the change of the actual number of tables. 第2の実施の形態のキャプチャデータ解析装置が推定したテーブル数の変化と実際のテーブル数の変化を示すグラフである。It is a graph which shows the change of the number of tables which the capture data analysis apparatus of 2nd Embodiment estimated, and the change of the actual number of tables.

<第1の実施の形態>
以下、本発明の実施の形態について図面を用いて説明する。 <First Embodiment>
Hereinafter, embodiments of the present invention will be described with reference to the drawings.

図1は、本実施の形態におけるキャプチャデータ解析装置の構成を示す機能ブロック図である。同図に示すキャプチャデータ解析装置は、ユーザ宅内のネットワーク上を流れるパケットをキャプチャしたパケットデータを記載したキャプチャファイルをキャプチャファイル蓄積部2から読み出して解析する。キャプチャファイル蓄積部2には、ユーザ宅内でキャプチャされたパケットの数カ月分のキャプチャデータが蓄積される。キャプチャデータを記載したキャプチャファイルは、キャプチャファイルのサイズやキャプチャの期間に応じて複数に分割されてキャプチャファイル蓄積部2に蓄積される。キャプチャファイルには、キャプチャしたパケットデータがキャプチャ時刻とともに時系列順に記載される。また、キャプチャファイル内で一番最初のキャプチャデータのキャプチャ時刻を開始時刻、一番最後のキャプチャデータのキャプチャ時刻を終了時刻としたヘッダーを備える。以下、本実施の形態におけるキャプチャデータ解析装置について説明する。   FIG. 1 is a functional block diagram showing a configuration of a capture data analysis apparatus according to the present embodiment. The capture data analysis apparatus shown in the figure reads out from the capture file storage unit 2 and analyzes a capture file that describes packet data obtained by capturing a packet flowing on the network in the user's home. The capture file storage unit 2 stores capture data for several months of packets captured in the user's home. The capture file in which the capture data is described is divided into a plurality according to the size of the capture file and the capture period, and accumulated in the capture file accumulation unit 2. In the capture file, the captured packet data is described in chronological order together with the capture time. In addition, a header having a capture time of the first capture data in the capture file as a start time and a capture time of the last capture data as an end time is provided. Hereinafter, the capture data analysis apparatus according to the present embodiment will be described.

図1に示すキャプチャデータ解析装置は、入力部11、ファイル操作部12、推定部13、および出力部14を備える。キャプチャデータ解析装置が備える各部は、演算処理装置、記憶装置等を備えたコンピュータにより構成して、各部の処理がプログラムによって実行されるものとしてもよい。このプログラムはキャプチャデータ解析装置が備える記憶装置に記憶されており、磁気ディスク、光ディスク、半導体メモリ等の記録媒体に記録することも、ネットワークを通して提供することも可能である。   The capture data analysis apparatus shown in FIG. 1 includes an input unit 11, a file operation unit 12, an estimation unit 13, and an output unit 14. Each unit included in the capture data analysis device may be configured by a computer including an arithmetic processing device, a storage device, and the like, and the processing of each unit may be executed by a program. This program is stored in a storage device included in the capture data analysis apparatus, and can be recorded on a recording medium such as a magnetic disk, an optical disk, or a semiconductor memory, or provided through a network.

入力部11は、処理対象のキャプチャファイルの格納場所を入力する。例えば、キャプチャファイル蓄積部2がキャプチャファイルを蓄積しているフォルダを入力し、そのフォルダに存在するキャプチャファイル全てを処理対象とする。あるいは、キャプチャファイルを複数選択して処理対象のキャプチャファイルを指定してもよい。   The input unit 11 inputs the storage location of the capture file to be processed. For example, the capture file storage unit 2 inputs a folder in which capture files are stored, and all capture files existing in the folder are processed. Alternatively, a plurality of capture files may be selected and a capture file to be processed may be designated.

ファイル操作部12は、処理対象のキャプチャファイルを時系列順に取得してキャプチャデータ解析装置が備えるメモリ上に読み込む。複数のキャプチャファイルが指定された場合、処理対象のキャプチャファイルをメモリ上に一度に全部読み込むことはできないので、キャプチャファイルを時系列順に取得してメモリ上に読み込み、メモリ上に読み込んだキャプチャファイルを推定部13が処理した後は、メモリ上のデータを破棄して次のキャプチャファイルを読み込む。キャプチャファイルの時系列順は、キャプチャファイルの先頭に記述されたヘッダーの開始時刻、終了時刻を参照して判定する。あるいは、キャプチャファイルのファイル名が規則的に付けられる場合、例えばファイル名に通し番号が付与される場合、ファイル名に作成された日時を含む場合など、そのファイル名によりキャプチャファイルの時系列順を判定してもよい。キャプチャファイルの時系列順は、例えばキャプチャファイルのファイル名を時系列順に並べてファイル操作部12が保持しておくとよい。   The file operation unit 12 acquires capture files to be processed in chronological order and reads them into a memory included in the capture data analysis apparatus. When multiple capture files are specified, the capture files to be processed cannot be read all at once in the memory, so the capture files are acquired in chronological order and read into the memory. After processing by the estimation unit 13, the data on the memory is discarded and the next capture file is read. The chronological order of the capture file is determined with reference to the start time and end time of the header described at the top of the capture file. Or, when the file name of the capture file is regularly given, for example, when a serial number is given to the file name, or when the file name includes the date and time created, the time series order of the capture file is determined by the file name May be. For the time series order of the capture file, for example, the file operation unit 12 may hold the file names of the capture files in time series order.

推定部13は、ファイル操作部12が読み込んだキャプチャファイルからパケットデータを取得し、ユーザ宅のローカルエリアネットワークを外部のネットワークに接続するルータ内のNAPTテーブルの数を推定する。具体的には、キャプチャファイルには、キャプチャしたパケットデータがキャプチャ時刻とともに時系列順に記載されているので、推定部13は、キャプチャファイルの先頭から順にパケットデータを取得し、確立したTCPセッションの数、送出されたUDPパケットの数、終了したTCPセッションの数、および利用されていないNAPTテーブルの経過時間からNAPTテーブルの数を推定する。メモリ上に読み込まれたキャプチャファイルの最後のキャプチャデータを処理し終えると、そのキャプチャファイルは不要となるのでメモリ上から破棄される。   The estimation unit 13 acquires packet data from the capture file read by the file operation unit 12, and estimates the number of NAPT tables in the router that connects the user's local area network to an external network. Specifically, since the captured packet data is described in chronological order together with the capture time in the capture file, the estimation unit 13 acquires the packet data in order from the top of the capture file, and the number of established TCP sessions. The number of NAPT tables is estimated from the number of sent UDP packets, the number of terminated TCP sessions, and the elapsed time of unused NAPT tables. When the last capture data of the capture file read into the memory is processed, the capture file becomes unnecessary and is discarded from the memory.

出力部14は、推定部13によるNAPTテーブルの数の推定結果を出力する。   The output unit 14 outputs the estimation result of the number of NAPT tables by the estimation unit 13.

次に、本実施の形態におけるキャプチャデータ解析装置の動作について説明する。   Next, the operation of the capture data analysis apparatus in this embodiment will be described.

図2は、本実施の形態におけるキャプチャデータ解析装置の処理の流れを示すフローチャートである。   FIG. 2 is a flowchart showing a process flow of the capture data analysis apparatus according to the present embodiment.

まず、入力部11がキャプチャファイルの格納場所を入力する(ステップS11)。このとき、ログ生成の対象期間を示す抜き出し期間やオフセット時間を入力してもよい。抜き出し期間が指定された場合は、キャプチャファイルすべてからログを生成するのではなく、抜き出し期間内にキャプチャされたパケットデータからログを生成する。オフセット時間が指定された場合は、キャプチャファイルに記録されたパケットのキャプチャ時刻をオフセット時間で補正する。   First, the input unit 11 inputs a capture file storage location (step S11). At this time, an extraction period or an offset time indicating a log generation target period may be input. When the extraction period is designated, a log is not generated from all the capture files, but a log is generated from packet data captured within the extraction period. When the offset time is specified, the capture time of the packet recorded in the capture file is corrected with the offset time.

続いて、ファイル操作部12がキャプチャファイルを時系列順に取得してメモリ上に読み込む(ステップS12)。   Subsequently, the file operation unit 12 acquires the capture files in time series and reads them in the memory (step S12).

そして、推定部13が読み込まれたキャプチャファイルに記載されたパケットデータを取得してNAPTテーブルの数を更新する(ステップS13)。NAPTテーブルの数を推定する処理の詳細については後述する。   Then, the estimation unit 13 obtains packet data described in the read capture file and updates the number of NAPT tables (step S13). Details of the process of estimating the number of NAPT tables will be described later.

読み込んだキャプチャファイルの処理が終了すると、処理対象となるキャプチャファイルを全て処理したか否か判定し(ステップS14)、まだ処理していないキャプチャファイルが存在する場合は(ステップS14のNo)、ステップS12に戻り次のキャプチャファイルを読み込む。このときメモリ上に読み込まれているキャプチャファイルは処理し終えているので破棄する。   When processing of the read capture file is completed, it is determined whether or not all capture files to be processed have been processed (step S14). If there is a capture file that has not been processed yet (No in step S14), step Returning to S12, the next capture file is read. At this time, the capture file read in the memory has been processed and is discarded.

処理対象となるキャプチャファイルを全て処理した場合は(ステップS14のYes)、推定部13が推定したNAPTテーブルの数を出力部14が出力する(ステップS15)。   When all the capture files to be processed are processed (Yes in step S14), the output unit 14 outputs the number of NAPT tables estimated by the estimation unit 13 (step S15).

次に、推定部13によるNAPTテーブルの数を推定する処理について説明する。   Next, processing for estimating the number of NAPT tables by the estimation unit 13 will be described.

図3は、NAPTテーブルを説明する図である。図3に示すユーザ宅内のネットワークには、ルータ3、端末4A,4Bが接続されている。ルータ3は、ユーザ宅のローカルエリアネットワークを外部のネットワーク100に接続する。ルータ3のネットワーク100側のインタフェースにはグローバルIPアドレス(xxx.xxx.xxx.xxx)が付与され、ローカルエリアネットワーク側のインタフェースにはプライベートIPアドレス(10.0.0.1)が付与されている。端末4A,4BそれぞれにはプライベートIPアドレス(10.0.0.2, 10.0.0.3)が付与されている。   FIG. 3 is a diagram illustrating the NAPT table. A router 3 and terminals 4A and 4B are connected to the user home network shown in FIG. The router 3 connects the local area network of the user's home to the external network 100. A global IP address (xxx.xxx.xxx.xxx) is assigned to the interface on the network 100 side of the router 3, and a private IP address (10.0.0.1) is assigned to the interface on the local area network side. Private IP addresses (10.0.0.2, 10.0.0.3) are assigned to the terminals 4A and 4B, respectively.

端末4A,4Bがネットワーク100に対して通信を開始すると、ルータ3は、ネットワーク100側へ送出されるパケットの送信元IPアドレスと送信元ポート番号をルータ3のネットワーク側のIPアドレス(xxx.xxx.xxx.xxx)と空いているポート番号に変換してネットワーク100側へ転送するとともに、送信元IPアドレス、送信元ポート番号と変換後のIPアドレス、変換後のポート番号とを対応付けてNAPTテーブルを生成する。ローカルエリアネットワークとネットワーク100との間の1つのTCPセッションにつき1つのNAPTテーブルが追加され、TCPセッションが終了すると追加されたNAPTテーブルは削除される。また、UDPによる通信はセッションの概念がないため、NAPTテーブルの保有時間が設定されて、保有時間経過後にNAPTテーブルが削除される。   When the terminals 4A and 4B start communication with the network 100, the router 3 sets the source IP address and source port number of the packet sent to the network 100 side to the IP address (xxx.xxx on the network side of the router 3). .xxx.xxx) is converted to a free port number and transferred to the network 100 side, and the source IP address, the source port number, the converted IP address, and the converted port number are associated with each other. Generate a table. One NAPT table is added for one TCP session between the local area network and the network 100, and the added NAPT table is deleted when the TCP session ends. Further, since communication by UDP does not have a concept of a session, the holding time of the NAPT table is set, and the NAPT table is deleted after the holding time elapses.

図3に示すNAPTテーブルでは、端末4Aから送出されたパケットの送信元IPアドレス(10.0.0.2)、送信元ポート番号(10000)が、IPアドレス(xxx.xxx.xxx.xxx)、ポート番号(20001)に変換されてネットワーク100側に送出されている。ルータ3は、ネットワーク100側からIPアドレス(xxx.xxx.xxx.xxx)、ポート番号(20001)を宛先とするパケットを受信すると、NAPTテーブルを参照してパケットの宛先をIPアドレス(10.0.0.2)、ポート番号(10000)に書き換えてローカルエリアネットワーク側に転送する。   In the NAPT table shown in FIG. 3, the source IP address (10.0.0.2) and source port number (10000) of the packet sent from the terminal 4A are the IP address (xxx.xxx.xxx.xxx) and port number ( 20001) and sent to the network 100 side. When the router 3 receives a packet having an IP address (xxx.xxx.xxx.xxx) and a port number (20001) as a destination from the network 100 side, the router 3 refers to the NAPT table and determines the destination of the packet as an IP address (10.0.0.2). ), Rewrite the port number (10000) and transfer to the local area network side.

推定部13は、キャプチャファイルから取得したパケットデータがローカルエリアネットワークとネットワーク100との間の新たな通信を開始するパケットデータである場合は、NAPTテーブルの数を1つ増加させ、ローカルエリアネットワークとネットワーク100との間の通信の終了を示すパケットデータを取得したとき、あるいはNAPTテーブルに設定された保有時間が経過したときにNAPTテーブルの数を1つ減少させる。例えば、取得したパケットがローカルエリアネットワークからネットワーク100へ送出されるTCPのSYNパケットであった場合、あるいはローカルエリアネットワークからネットワーク100へ送出されるUDPで送信元IPアドレスと送信元ポート番号の組みがNAPTテーブルに存在しない場合、ルータ3においてNAPTテーブルが追加されたと推定してNAPTテーブルの数を1つ増加させる。UDPはセッションの概念がないため、新たな送信元(IPアドレスとポート番号)からネットワーク100へデータが送信された場合に、ローカルエリアネットワークとネットワーク100との間で新たな通信が開始されるものとして扱う。また、取得したパケットがセッションの終了を示すTCPのFIN/ACKパケットであった場合、あるいはUDPによる通信でNAPTテーブルの保有時間が経過した場合、ルータ3においてNAPTテーブルが削除されたと推定してNAPTテーブルの数を1つ減少させる。なお、NAPTテーブルの保有時間はルータ3の設定によるため、推定部13にルータ3のNAPTテーブルの保有時間を予め設定しておく。   When the packet data acquired from the capture file is packet data for starting a new communication between the local area network and the network 100, the estimation unit 13 increases the number of NAPT tables by one, When packet data indicating the end of communication with the network 100 is acquired, or when the retention time set in the NAPT table has elapsed, the number of NAPT tables is decreased by one. For example, when the acquired packet is a TCP SYN packet sent from the local area network to the network 100, or the combination of the source IP address and the source port number is set in UDP sent from the local area network to the network 100. If it does not exist in the NAPT table, it is estimated that the NAPT table has been added in the router 3, and the number of NAPT tables is increased by one. Since UDP does not have the concept of a session, when data is transmitted from a new transmission source (IP address and port number) to the network 100, a new communication is started between the local area network and the network 100. Treat as. Also, if the acquired packet is a TCP FIN / ACK packet indicating the end of the session, or if the retention time of the NAPT table has elapsed in UDP communication, it is estimated that the NAPT table has been deleted in the router 3 and the NAPT. Decrease the number of tables by one. Since the holding time of the NAPT table depends on the setting of the router 3, the holding time of the NAPT table of the router 3 is set in advance in the estimation unit 13.

図4は、NAPTテーブルの数の推定結果を示すグラフである。横軸に時間、縦軸にNAPTテーブルの数をとり、NAPTテーブルの数を時系列で出力し、NAPTテーブルの数の推移を示している。   FIG. 4 is a graph showing the estimation result of the number of NAPT tables. The horizontal axis represents time, the vertical axis represents the number of NAPT tables, the number of NAPT tables is output in time series, and the transition of the number of NAPT tables is shown.

以上説明したように、本実施の形態によれば、パケットデータを取得し、そのパケットデータがセッションを開始するものである場合はNAPTテーブルの数を1つ増加し、セッションを終了するものである場合あるいはNAPTテーブルに設定された保有時間が経過した場合はNAPTテーブルの数を1つ減少することにより、TCPセッションによるNAPTテーブルの数だけでなくUDPによるNAPTテーブルの数も含むルータ内のNAPTテーブルの数を推定することができる。   As described above, according to this embodiment, packet data is acquired, and when the packet data starts a session, the number of NAPT tables is increased by 1, and the session is ended. If the retention time set in the NAPT table elapses, the number of NAPT tables is decreased by one, so that the number of NAPT tables in the TCP session as well as the number of NAPT tables in the UDP is included in the router. Can be estimated.

<第2の実施の形態>
第1の実施の形態のキャプチャデータ解析装置は、TCPについては、セッション終了後(FIN/ACKパケットを検出した時)すぐにNAPTテーブルの数を1つ減少させていた。しかしながら、ルータ3は、セッションの終了後すぐにNAPTテーブルを削除するのではなく、予め設定された保有時間経過後にNAPTテーブルを削除するものが多数である。 <Second Embodiment>
In the capture data analysis apparatus according to the first embodiment, for TCP, the number of NAPT tables is decreased by 1 immediately after the session ends (when a FIN / ACK packet is detected). However, many routers 3 do not delete the NAPT table immediately after the end of the session, but delete the NAPT table after a preset holding time has elapsed.

図5(a)は、第1の実施の形態のキャプチャデータ解析装置が推定したNAPTテーブル数の変化を示すグラフであり、図5(b)は、そのときの実際のNAPTテーブル数の変化を示すグラフである。図5(a)の推定したテーブル数のピークは、図5(b)の実際のテーブル数のピークの3分の1になっており、実際のテーブル数よりもかなり少なく推定されていた。このテーブル数の推定の誤りは、第1の実施の形態では、セッション終了後すぐにNAPTテーブル数を減少させていたことに起因すると考えられる。そこで、第2の実施の形態では、TCPについて、セッション終了後すぐにNAPTテーブル数を減少させず、さらに通信エラーやセッションのリセットを考慮してNAPTテーブル数を推定する。なお、第2の実施の形態のキャプチャデータ解析装置の構成は第1の実施の形態と同様であるので、ここでの説明は省略する。   FIG. 5A is a graph showing a change in the number of NAPT tables estimated by the capture data analysis apparatus according to the first embodiment, and FIG. 5B shows a change in the actual number of NAPT tables at that time. It is a graph to show. The peak of the estimated number of tables in FIG. 5 (a) is one third of the peak of the actual number of tables in FIG. 5 (b), which is estimated to be considerably smaller than the actual number of tables. This error in the estimation of the number of tables can be attributed to the fact that the number of NAPT tables was decreased immediately after the session ended in the first embodiment. Therefore, in the second embodiment, the number of NAPT tables for TCP is not reduced immediately after the session ends, and the number of NAPT tables is estimated in consideration of a communication error and session reset. Note that the configuration of the capture data analysis apparatus according to the second embodiment is the same as that of the first embodiment, and a description thereof will be omitted here.

キャプチャファイルから取得したパケットデータが、ローカルネットワークとネットワーク100との間に新たな通信を開始するパケットデータである場合は、推定するNAPTテーブル数を増加させる。このとき、送信元IPアドレスと送信元ポート番号の組みをNAPTテーブルとして保持する。   When the packet data acquired from the capture file is packet data for starting a new communication between the local network and the network 100, the estimated number of NAPT tables is increased. At this time, a combination of the transmission source IP address and the transmission source port number is held as a NAPT table.

ルータ3が中継する通信が終了したと判断される時から予め設定された保有時間が経過した場合、つまり保有時間以上使われないNAPTテーブルが存在する場合は、推定するNAPTテーブル数を減少させる。TCPについては、セッションの終了を示すFIN/ACKパケットが送受信されると、それ以降、該当するNAPTテーブルを利用した通信は行われなくなる。また、TCPパケットのRSTフラグがセットされてセッションが強制終了された場合や何らかの理由でTCPの通信が行われなくなった場合も、該当するNAPTテーブルを利用した通信は行われなくなる。そこで、第2の実施の形態では、TCPについても第1の実施の形態のUDPと同様に、保有時間以上使われないNAPTテーブルが存在する場合は、ルータ3においてそのNAPTテーブルが削除されたものとしてNAPTテーブル数を減少させる。なお、ルータ3に設定されたNAPTテーブルの保有時間と同じ値をキャプチャデータ解析装置の保有時間として設定しておく。   If the preset retention time has elapsed since it was determined that the communication relayed by the router 3 has ended, that is, if there are NAPT tables that are not used for the retention time or longer, the estimated number of NAPT tables is reduced. For TCP, when a FIN / ACK packet indicating the end of a session is transmitted / received, communication using the corresponding NAPT table is not performed thereafter. In addition, when the RST flag of the TCP packet is set and the session is forcibly terminated or when TCP communication is not performed for some reason, communication using the corresponding NAPT table is not performed. Therefore, in the second embodiment, similarly to the UDP in the first embodiment, when there is a NAPT table that is not used for more than the holding time, the router 3 deletes the NAPT table. The number of NAPT tables is reduced. Note that the same value as the retention time of the NAPT table set in the router 3 is set as the retention time of the capture data analysis device.

図6(a)は、第2の実施の形態のキャプチャデータ解析装置が推定したNAPTテーブル数の変化を示すグラフであり、図6(b)は、そのときの実際のNAPTテーブル数の変化を示すグラフである。図6(a)の推定したテーブル数は、図6(b)の実際のテーブル数と同程度となっており、第1の実施の形態と比べて、テーブル数の推定の誤りがかなり改善されている。   FIG. 6A is a graph showing a change in the number of NAPT tables estimated by the capture data analysis apparatus of the second embodiment, and FIG. 6B shows a change in the actual number of NAPT tables at that time. It is a graph to show. The estimated number of tables in FIG. 6 (a) is about the same as the actual number of tables in FIG. 6 (b), and the error in estimating the number of tables is considerably improved as compared with the first embodiment. ing.

以上説明したように、本実施の形態によれば、パケットデータを取得し、そのパケットデータがセッションを開始するものである場合はNAPTテーブルの数を1つ増加し、保有時間以上使われないNAPTテーブルが存在する場合はNAPTテーブルの数を1つ減少することにより、ルータ内のNAPTテーブルの数をより正確に推定することができる。   As described above, according to the present embodiment, when the packet data is acquired and the packet data starts a session, the number of NAPT tables is increased by 1, and the NAPT that is not used for the holding time or longer is used. If the table exists, the number of NAPT tables in the router can be estimated more accurately by reducing the number of NAPT tables by one.

11…入力部
12…ファイル操作部
13…推定部
14…出力部
2…キャプチャファイル蓄積部
3…ルータ
4A,4B…端末
100…ネットワーク DESCRIPTION OF SYMBOLS 11 ... Input part 12 ... File operation part 13 ... Estimation part 14 ... Output part 2 ... Capture file storage part 3 ... Router 4A, 4B ... Terminal 100 ... Network

Claims (3)

ネットワーク上を流れるパケットをキャプチャしたパケットデータからルータが保持するNAPTテーブルの数を推定するキャプチャデータ解析装置であって、
パケットデータを取得する取得手段と、
前記パケットデータが前記ルータによって中継される新たな通信を開始するパケットデータである場合はNAPTテーブルの数を1つ増加し、前記ルータによって中継される通信を終了するパケットデータである場合あるいはNAPTテーブルに設定された保有時間が経過した場合は前記NAPTテーブルの数を1つ減少する推定手段と、
前記推定手段が推定した前記NAPTテーブルの数を出力する出力手段と、
を有することを特徴とするキャプチャデータ解析装置。 A capture data analysis device for estimating the number of NAPT tables held by a router from packet data obtained by capturing packets flowing on a network,
An acquisition means for acquiring packet data;
When the packet data is packet data for starting a new communication relayed by the router, the number of NAPT tables is increased by 1. When the packet data is packet data for ending the communication relayed by the router, or the NAPT table Estimating means for reducing the number of NAPT tables by 1 when the holding time set to
Output means for outputting the number of NAPT tables estimated by the estimation means;
A capture data analyzing apparatus comprising: ネットワーク上を流れるパケットをキャプチャしたパケットデータからルータが保持するNAPTテーブルの数を推定するキャプチャデータ解析装置であって、
パケットデータを取得する取得手段と、
前記パケットデータが前記ルータによって中継される新たな通信を開始するパケットデータである場合はNAPTテーブルの数を1つ増加し、前記ルータによって中継される通信が終了したと判断される時から予め設定した保有時間が経過した場合は前記NAPTテーブルの数を1つ減少する推定手段と、
前記推定手段が推定した前記NAPTテーブルの数を出力する出力手段と、
を有することを特徴とするキャプチャデータ解析装置。 A capture data analysis device for estimating the number of NAPT tables held by a router from packet data obtained by capturing packets flowing on a network,
An acquisition means for acquiring packet data;
If the packet data is packet data for starting a new communication relayed by the router, the number of NAPT tables is increased by one, and it is set in advance when it is determined that the communication relayed by the router has ended. Estimating means for reducing the number of NAPT tables by one when the holding time has elapsed,
Output means for outputting the number of NAPT tables estimated by the estimation means;
A capture data analyzing apparatus comprising: 前記出力手段は、前記NAPTテーブルの数を時系列で出力することを特徴とする請求項1又は2記載のキャプチャデータ解析装置。   3. The capture data analyzing apparatus according to claim 1, wherein the output unit outputs the number of the NAPT tables in time series.
JP2013241804A 2012-12-11 2013-11-22 Capture data analyzer Active JP5870078B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013241804A JP5870078B2 (en) 2012-12-11 2013-11-22 Capture data analyzer

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2012270221 2012-12-11
JP2012270221 2012-12-11
JP2013241804A JP5870078B2 (en) 2012-12-11 2013-11-22 Capture data analyzer

Publications (2)

Publication Number Publication Date
JP2014135719A true JP2014135719A (en) 2014-07-24
JP5870078B2 JP5870078B2 (en) 2016-02-24

Family

ID=51413679

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013241804A Active JP5870078B2 (en) 2012-12-11 2013-11-22 Capture data analyzer

Country Status (1)

Country Link
JP (1) JP5870078B2 (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022501899A (en) * 2019-01-03 2022-01-06 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 Data transmission methods, equipment, computer readable media and electronic devices

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011024093A (en) * 2009-07-17 2011-02-03 Kddi Corp Session log recording method in address conversion device and address conversion table reproducing device
JP2012074988A (en) * 2010-09-29 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> Method, apparatus, and program for estimating the number of address ports in network address translation

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011024093A (en) * 2009-07-17 2011-02-03 Kddi Corp Session log recording method in address conversion device and address conversion table reproducing device
JP2012074988A (en) * 2010-09-29 2012-04-12 Nippon Telegr & Teleph Corp <Ntt> Method, apparatus, and program for estimating the number of address ports in network address translation

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2022501899A (en) * 2019-01-03 2022-01-06 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 Data transmission methods, equipment, computer readable media and electronic devices
JP7154399B2 (en) 2019-01-03 2022-10-17 ▲騰▼▲訊▼科技(深▲セン▼)有限公司 DATA TRANSMISSION METHOD, APPARATUS, COMPUTER-READABLE MEDIUM AND ELECTRONIC DEVICE

Also Published As

Publication number Publication date
JP5870078B2 (en) 2016-02-24

Similar Documents

Publication Publication Date Title
WO2017000878A1 (en) Message processing
JP2017517971A (en) Network packet encapsulation and routing
EP2991319A1 (en) Method and device for router-based networking control
EP2993854A1 (en) Connection recovery method, device and system
US10298653B1 (en) Methods for monitoring streaming video content quality of experience (QOE) and devices thereof
JP2016063425A (en) Communication device, communication system, and communication method
JP5870078B2 (en) Capture data analyzer
US20160353513A1 (en) Communication device, communication system and medium
JP2017073666A (en) Relay device, relay method, relay program, and communication system
WO2017138403A1 (en) Control device, control method, and storage medium for storing program
JP6157189B2 (en) Identification device, identification method, and identification program
WO2017005118A1 (en) Method, device, terminal and server for maintaining communication connection
JP6082623B2 (en) Terminal, communication system and computer program
JP6078455B2 (en) Progressive download type video service quality estimation apparatus and quality estimation method
CN102420833A (en) Network protocol identification method, device and system
Ptácek Analysis and detection of Skype network traffic
JP6605149B2 (en) Method and apparatus for detecting shared terminal
JP6110688B2 (en) Identification device, identification method, and identification program
JP5991908B2 (en) Log generator
JP5820749B2 (en) Identification device, identification method, and identification program
JP2014116827A (en) Capture data analysis device
JP6023738B2 (en) Transmission packet analysis system, transmission packet analysis device, and transmission packet analysis program
WO2017161876A1 (en) Method and device implementing network access
WO2016127583A1 (en) Authentication processing method and apparatus
US11151084B2 (en) Data analysis apparatus, data analysis method, and storage medium

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20151209

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20151216

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20160108

R150 Certificate of patent or registration of utility model

Ref document number: 5870078

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250