JP2015115729A - キャプチャデータ解析装置 - Google Patents

キャプチャデータ解析装置 Download PDF

Info

Publication number
JP2015115729A
JP2015115729A JP2013255605A JP2013255605A JP2015115729A JP 2015115729 A JP2015115729 A JP 2015115729A JP 2013255605 A JP2013255605 A JP 2013255605A JP 2013255605 A JP2013255605 A JP 2013255605A JP 2015115729 A JP2015115729 A JP 2015115729A
Authority
JP
Japan
Prior art keywords
capture
session
file
errors
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2013255605A
Other languages
English (en)
Inventor
裕希 築地
Hiroki Tsukiji
裕希 築地
高大 山本
Kota Yamamoto
高大 山本
丸山 健一
Kenichi Maruyama
健一 丸山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Nippon Telegraph and Telephone East Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp, Nippon Telegraph and Telephone East Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2013255605A priority Critical patent/JP2015115729A/ja
Publication of JP2015115729A publication Critical patent/JP2015115729A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

【課題】キャプチャしたパケットからセッション毎のエラー数を集計する。
【解決手段】ファイル操作部12がキャプチャファイルをメモリ上に読み込み、エラー集計部13がメモリ上のキャプチャファイルからパケットデータを取得して、送信元アドレス、送信元ポート、送信先アドレス、送信先ポートの組み合わせが一致するパケットを同一セッションとして管理し、セッション毎にエラーの数を集計し、
出力部15が、集計したエラーの数をセッション毎に出力する。これにより、TCPセッション毎のエラーを集計して管理することが可能となる。
【選択図】図1

Description

本発明は、ネットワーク上を流れるパケットをキャプチャしたキャプチャデータを解析する技術に関する。
ネットワークのトラブルの原因を追求する方法として、ネットワークに流れるパケットをキャプチャして記憶装置に蓄積し、解析する方法がある。
例えば、特許文献1には、収集されたデータについて、監視対象のプロトコルのパケットが正当な手続きに沿って送受信されているか否か判定する技術が開示されている。
特開2012−205187号公報
多くのユーザが利用するWebサービスは、Webコンテンツをネットワーク上のWebサーバから取得してユーザの端末に表示するサービスである。Webコンテンツは、HTMLファイル、画像あるいは動画などの複数のファイルで構成されていることが多い。ユーザの端末は、これらのファイルそれぞれについて複数のTCPセッションを確立し、Webサーバからファイルを取得する。ユーザの端末にWebコンテンツが表示されるまでの時間が長いとき、ユーザはネットワークが重いと感じる。Webコンテンツを構成するファイルは、別々のサーバ上に置かれることもあり、ある1つのサーバとの間でネットワーク障害が発生した場合でも、Webコンテンツの全てが表示されるまでに時間がかかり、ユーザの体感速度に影響を与える。
ネットワーク障害の原因を探るためにパケットをキャプチャして解析する方法があるが、従来のキャプチャデータの解析装置はキャプチャしたパケットを個別に表示するものであり、使用者がパケットを追って障害に関連するパケットを抽出していた。従来の解析装置では、TCPエラーをセッション毎に集計することは行っていなかった。
本発明は、上記に鑑みてなされたものであり、キャプチャしたパケットからセッション毎のエラー数を集計することを目的とする。
本発明に係るキャプチャデータ解析装置は、ネットワーク上を流れるパケットをキャプチャしたパケットデータを記載したキャプチャデータを解析するキャプチャデータ解析装置であって、前記キャプチャデータを読み込みパケットデータを抽出する読込手段と、前記パケットデータを送信先情報と送信元情報の組み合わせが同じパケットデータを同一のセッションとして管理し、セッション毎にエラーの数を集計する集計手段と、前記集計手段が集計したエラーの数を前記セッション毎に出力する出力手段と、を有することを特徴とする。
本発明によれば、キャプチャしたパケットからセッション毎のエラー数を集計することができる。
本実施の形態におけるキャプチャデータ解析装置の構成を示す機能ブロック図である。 本実施の形態におけるキャプチャデータ解析装置の処理の流れを示すフローチャートである。 エラー集計部の集計結果の出力例を示す図である。
以下、本発明の実施の形態について図面を用いて説明する。
図1は、本実施の形態におけるキャプチャデータ解析装置の構成を示す機能ブロック図である。同図に示すキャプチャデータ解析装置は、ユーザ宅内のネットワーク上を流れるパケットをキャプチャしたパケットデータを記載したキャプチャファイルをキャプチャファイル蓄積部2から読み出して解析する。キャプチャファイル蓄積部2には数ヶ月分のキャプチャファイルが蓄積される。キャプチャデータは、キャプチャファイルのサイズやキャプチャの期間に応じて複数に分割されてキャプチャファイル蓄積部2に蓄積される。キャプチャファイルには、パケットデータがキャプチャ時刻とともに時系列順に記載される。また、キャプチャファイルは、キャプチャファイル内で一番最初のパケットデータのキャプチャ時刻を開始時刻、一番最後のパケットデータのキャプチャ時刻を終了時刻としたヘッダーを備える。以下、キャプチャデータ解析装置について説明する。
本キャプチャデータ解析装置は、入力部11、ファイル操作部12、エラー集計部13、復元部14、および出力部15を備える。キャプチャデータ解析装置が備える各部は、演算処理装置、記憶装置等を備えたコンピュータにより構成して、各部の処理がプログラムによって実行されるものとしてもよい。このプログラムはキャプチャデータ解析装置が備える記憶装置に記憶されており、磁気ディスク、光ディスク、半導体メモリ等の記録媒体に記録することも、ネットワークを通して提供することも可能である。
入力部11は、処理対象のキャプチャファイルの指定、パケットがキャプチャされた時間に対するオフセット時間の設定、パケットデータを抜き出して処理する抜き出し期間の設定、および解析結果の出力先を入力する。
処理対象のキャプチャファイルの指定は、例えば、キャプチャファイル蓄積部2がキャプチャファイルを蓄積しているフォルダを指定し、指定されたフォルダに存在するキャプチャファイル全てを処理対象とする。あるいは、キャプチャファイルを個別に選択して指定してもよい。この場合、複数のキャプチャファイルを指定することも可能である。
オフセット時間とは、キャプチャファイルに記録されたパケットをキャプチャした時刻に対するオフセットを指定する時間である。キャプチャファイルには、パケットデータとパケットをキャプチャしたキャプチャ時刻が記載されるが、パケットをキャプチャするパケットキャプチャ装置内の時計がずれていた場合、そのずれた時刻がキャプチャ時刻として記載される。オフセット時間は、パケットキャプチャ装置内の時計のずれを補正する時間である。
抜き出し期間は、キャプチャファイル蓄積部2に蓄積されたキャプチャファイルにおいて処理対象とする期間である。抜き出し期間が指定された場合、指定された全てのキャプチャファイルを処理対象とするのではなく、抜き出し期間に該当するキャプチャファイルを処理対象とする。
ファイル操作部12は、指定された処理対象のキャプチャファイルを時系列順に取得してキャプチャデータ解析装置が備えるメモリ上に読み込む。処理対象のキャプチャファイルが複数存在する場合、全ての処理対象のキャプチャファイルをメモリ上に一度に読み込むことはできないので、処理対象のキャプチャファイルを時系列順に1つずつメモリ上に読み込み、後段のエラー集計部13及び復元部14がメモリ上のキャプチャファイルを処理した後、メモリ上のデータを破棄して次のキャプチャファイルを読み込む。キャプチャファイルの時系列順は、キャプチャファイルのヘッダーに記載された開始時刻、終了時刻を参照して判定する。あるいは、キャプチャファイルのファイル名が時系列順に規則的に付けられる場合、例えばファイル名に通し番号が付与される場合あるいはファイル名に作成日時を含む場合など、キャプチャファイルのファイル名によりキャプチャファイルの時系列順を判定してもよい。ファイル操作部12は、キャプチャファイルのファイル名を時系列順に並べたリストを保持しておく。
エラー集計部13は、メモリ上のキャプチャファイルからパケットデータを取得してセッションに分類し、セッション毎にエラー数をカウントする。
TCPパケットには、セッションを識別するためのセッション識別子が付与されないので、送信元アドレス、送信元ポート、送信先アドレス、送信先ポートの組み合わせ(以下、「送受信アドレス情報」とする)が一致するパケットを同一セッションとして分類する。例えば、セッションをキャプチャデータ解析装置内で一意のセッションIDで管理し、取得したパケットデータの送受信アドレス情報が一致するセッションが存在する場合は、そのセッションのセッションIDをパケットデータに付与し、送受信アドレス情報が一致するセッションが存在しない場合は、その送受信アドレス情報について新たなセッションが確立されたとして、セッションIDを生成してパケットデータに付与する。あるいは、TCPセッションを開始するSYNパケット等が検出されたときに、そのパケットで確立されるセッションを新たなセッションとして管理し、FINパケットが検出されたときに、そのセッションは終了したと判定してもよい。なお、セッションを識別するためのセッション識別子が付与される通信のパケットは、セッション識別子に基づいてセッション毎に分類する。
また、逆方向の通信、つまり送信先アドレス、送信先ポートと送信元アドレス、送信元ポートが入れ替わったパケットについては、同一セッションとしてもよいし、別のセッションとしてもよい。
エラー集計部13が検出するエラーとしては、例えばTCPのセッションについては、SYNACKなし、再送、重複ACK、順序逆転、ウィンドウサイズ低下がある。
復元部14は、ファイル操作部12が読み込んだキャプチャファイルのパケットデータで送受信されるデータ、例えばHTTPのGETメソッドで取得されたデータを復元する。復元したデータは、キャプチャデータ解析装置が備える記憶装置の所定の場所にファイルとして保存する。
出力部15は、エラー集計部13が集計したセッション毎のエラーの数を出力する。
次に、本実施の形態におけるキャプチャデータ解析装置の動作について説明する。
図2は、本実施の形態におけるキャプチャデータ解析装置の処理の流れを示すフローチャートである。
まず、入力部11がキャプチャファイルの格納場所、オフセット時間、および抜き出し期間を入力する(ステップS11〜S13)。なお、オフセット時間と抜き出し期間の入力は任意であり、必要ない場合は入力を省略できる。
続いて、ファイル操作部12がキャプチャファイルを時系列順に取得してメモリ上に読み込む(ステップS14)。ステップS13で抜き出し期間が指定されていない場合は、キャプチャファイルの格納場所で最も古いパケットデータが記載されたキャプチャファイルをメモリ上に読み込む。一方、抜き出し期間が指定されている場合は、抜き出し期間の開始時刻を含むキャプチャファイルをメモリ上に読み込む。
そして、エラー集計部13がメモリ上のキャプチャファイルからパケットデータを取得してセッションに分類し(ステップS15)、セッション毎にエラーを検出してエラーの数をカウントする(ステップS16)。なお、ステップS12でオフセット時間が指定されている場合は、取得したパケットデータのキャプチャ時刻にオフセット時間を加味する。また、キャプチャファイルに復元するデータが存在する場合は、復元部14がパケットデータを取得して復元データを構成する。
メモリ上に読み込んだキャプチャファイルの処理が終了すると、処理対象となるキャプチャファイルを全て処理したか否か判定し(ステップS17)、まだ処理していないキャプチャファイルが存在する場合は(ステップS17のNO)、ステップS14に戻り、次のキャプチャファイルを読み込んで処理を続ける。このとき、メモリ上に読み込まれているキャプチャファイルは処理し終えているのでメモリ上から破棄する。
処理対象となるキャプチャファイルを全て処理した場合は(ステップS17のYES)、エラー集計部13の解析結果を出力部15が出力する(ステップS18)。
図3に、エラー集計部13の集計結果の出力例を示す。同図では、セッション毎に、セッションの開始時刻、終了時刻、送信元のIPアドレスとポート番号、送信先のIPアドレスとポート番号、そのセッションで送受信された総パケット数、およびそのセッションにおけるエラー検出数を出力している。セッションの開始時刻は、エラー集計部13が新たにセッションが確立されたと判定したパケットのキャプチャ時刻、終了時刻は、そのセッションの最後のパケットのキャプチャ時刻である。ACK、FINパケットに基づいてセッションの開始時刻、終了時刻を決めてもよい。
また、セッションの行を選択することで、そのセッションで検出されたエラーの詳細を閲覧できるようにしてもよいし、復元部14が復元した、そのセッションで送受信されたデータを閲覧できるようにしてもよい。
以上説明したように、本実施の形態によれば、ファイル操作部12がキャプチャファイルをメモリ上に読み込み、エラー集計部13がメモリ上のキャプチャファイルからパケットデータを取得して、送信元アドレス、送信元ポート、送信先アドレス、送信先ポートの組み合わせが一致するパケットを同一セッションとして管理し、セッション毎にエラーの数を集計し、出力部15が、集計したエラーの数をセッション毎に出力することにより、TCPセッション毎のエラーを集計して管理することが可能となる。
11…入力部
12…ファイル操作部
13…エラー集計部
14…復元部
15…出力部
2…キャプチャファイル蓄積部

Claims (1)

  1. ネットワーク上を流れるパケットをキャプチャしたパケットデータを記載したキャプチャデータを解析するキャプチャデータ解析装置であって、
    前記キャプチャデータを読み込みパケットデータを抽出する読込手段と、
    前記パケットデータを送信先情報と送信元情報の組み合わせが同じパケットデータを同一のセッションとして管理し、セッション毎にエラーの数を集計する集計手段と、
    前記集計手段が集計したエラーの数を前記セッション毎に出力する出力手段と、
    を有することを特徴とするキャプチャデータ解析装置。
JP2013255605A 2013-12-11 2013-12-11 キャプチャデータ解析装置 Pending JP2015115729A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2013255605A JP2015115729A (ja) 2013-12-11 2013-12-11 キャプチャデータ解析装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2013255605A JP2015115729A (ja) 2013-12-11 2013-12-11 キャプチャデータ解析装置

Publications (1)

Publication Number Publication Date
JP2015115729A true JP2015115729A (ja) 2015-06-22

Family

ID=53529176

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013255605A Pending JP2015115729A (ja) 2013-12-11 2013-12-11 キャプチャデータ解析装置

Country Status (1)

Country Link
JP (1) JP2015115729A (ja)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094220A (ja) * 2004-09-24 2006-04-06 Fuji Xerox Co Ltd ネットワーク解析装置及びネットワーク解析方法
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2011101346A (ja) * 2009-09-22 2011-05-19 Ixia 送信先違いパケットの検出装置および検出方法

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006094220A (ja) * 2004-09-24 2006-04-06 Fuji Xerox Co Ltd ネットワーク解析装置及びネットワーク解析方法
JP2008205954A (ja) * 2007-02-21 2008-09-04 International Network Securitiy Inc 通信情報監査装置、方法及びプログラム
JP2011101346A (ja) * 2009-09-22 2011-05-19 Ixia 送信先違いパケットの検出装置および検出方法

Similar Documents

Publication Publication Date Title
US11936764B1 (en) Generating event streams based on application-layer events captured by remote capture agents
EP2860912A1 (en) A method for correlating network traffic data from distributed systems and computer program thereof
JP3947146B2 (ja) ルーティングループ検出プログラム及びルーティングループ検出方法
US8806189B2 (en) Apparatus for analyzing traffic
CN112039904A (zh) 一种网络流量分析与文件提取系统及方法
Schneider et al. Pitfalls in HTTP traffic measurements and analysis
KR100816503B1 (ko) Ip망에서 플로우를 이용한 트래픽 분석장치 및 그 방법
US9218266B2 (en) Systems and methods for replication of test results in a network environment
JP2017060074A (ja) ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法
JP2017073666A (ja) 中継装置、中継方法、中継プログラム、及び通信システム
JP4519791B2 (ja) トラフィック情報収集システムおよびネットワーク機器
US10749765B2 (en) Method and system for monitoring communication in a network
WO2017196842A1 (en) Monitoring network traffic to determine similar content
CN108076070B (zh) 一种fasp协议阻断方法、装置及分析系统
JP2015115729A (ja) キャプチャデータ解析装置
CN114153807A (zh) 报文处理方法、装置、电子设备和计算机可读存储介质
Manesh et al. An improved approach towards network forensic investigation of HTTP and FTP protocols
JP2014116827A (ja) キャプチャデータ解析装置
CN111163184B (zh) 一种报文特征的提取方法和装置
JP5362769B2 (ja) ネットワーク監視装置及びネットワーク監視方法
JP6228616B2 (ja) 通信監視装置、及び通信監視方法
Toll et al. IoTreeplay: Synchronous Distributed Traffic Replay in IoT Environments
JP6672751B2 (ja) パケット収集方法、パケット収集プログラム及びパケット収集装置
US9306854B2 (en) Method and apparatus for diagnosing interface oversubscription and microbursts
JP5991908B2 (ja) ログ生成装置

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20150319

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20160112

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20160119

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20160802