JP4727747B2 - キャプチャ装置、キャプチャ方法 - Google Patents

キャプチャ装置、キャプチャ方法 Download PDF

Info

Publication number
JP4727747B2
JP4727747B2 JP2009510678A JP2009510678A JP4727747B2 JP 4727747 B2 JP4727747 B2 JP 4727747B2 JP 2009510678 A JP2009510678 A JP 2009510678A JP 2009510678 A JP2009510678 A JP 2009510678A JP 4727747 B2 JP4727747 B2 JP 4727747B2
Authority
JP
Japan
Prior art keywords
data
unit
capture
area
storage
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2009510678A
Other languages
English (en)
Other versions
JPWO2008129641A1 (ja
Inventor
雅一 佐藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Ltd
Original Assignee
Fujitsu Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Ltd filed Critical Fujitsu Ltd
Publication of JPWO2008129641A1 publication Critical patent/JPWO2008129641A1/ja
Application granted granted Critical
Publication of JP4727747B2 publication Critical patent/JP4727747B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/56Provisioning of proxy services
    • H04L67/568Storing data temporarily at an intermediate stage, e.g. caching
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/12Network monitoring probes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L43/00Arrangements for monitoring or testing data switching networks
    • H04L43/16Threshold monitoring
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Communication Control (AREA)
  • Computer And Data Communications (AREA)

Description

本発明は、パケットキャプチャを行うためのキャプチャ装置、キャプチャ方法に関するものである。
近年のセキュリティ意識の高まりに伴い、ネットワーク内の異常を検知し、問題解析のためその通信データを保持したいという要望が高まっている。
このような状況のなかで、更に、ネットワーク中継装置(以下、中継装置)にて特定の通信データを識別し、一時的に保持し、中継装置外の管理装置にて通信データの解析をしたいという要望も高まっている。
中継装置を流れる通信データを保持する方法として、中継装置外に、RMON(Remote network MONitoring)プローブ装置や、LANアナライザ装置などの外部キャプチャ装置を取り付ける方法が一般的に知られている。
外部キャプチャ装置は、ネットワーク間を相互接続している中継装置の各々のネットワークと中継装置との間に取り付けられることで、ネットワーク間に流れるデータを検索し、保持するものである。また外部キャプチャ装置でキャプチャされたデータは、外部キャプチャ装置自体にて解析されたり、外部キャプチャ装置外にある管理装置と呼ばれる装置にアップロードされた後、閲覧、保存され、解析されたりする。
最近では、中継装置内部に外部キャプチャ装置相当の機能を内蔵した中継装置も現れている。このような中継装置は、内部に流れるデータをキャプチャし、キャプチャされたデータをすべて管理装置にアップロードする。この場合のキャプチャされたデータは、外部の管理装置にて本当に必要なデータを再検索された後、解析されることを要する。また、キャプチャデータのうち、本当に必要なデータがキャプチャされず、不必要なキャプチャデータで中継装置内部のキャプチャメモリが一杯となることもあった。
また中継装置が輻輳状態となった場合、キャプチャメモリがフルになりデータが破棄された場合、破棄されたという情報が保持されないため、管理装置にてキャプチャデータを解析する際、ユーザはデータがネットワーク内で破棄されたのか、中継装置で破棄されたのかがわからず、キャプチャデータの解析に支障をきたすこともあった。
なお、本発明の関連ある従来技術として、特定のアドレス、特定のプロトコルなどの条件によってパケットの取捨選択を行うパケットフィルタにおいて、フィルタ条件を複数に分割して保存しておくメモリと、これらの分割したフィルタ条件を前記メモリから読み出し、それぞれにおいて対応するパケットの一部分と比較判定を行うハードウェアにより構成された比較判定機能部と、これらの判定結果を論理和や論理積によって結合し、この結果によってパケットの取捨を決定するハードウェアにより構成された比較結果結合部とを設けることで、複雑な処理が可能で、且つ回路規模の小さい高速なパケットフィルタ機構を提供するパケットフィルタが公知技術として知られている(例えば、特許文献1参照)。
特開2001−69173号公報
しかしながら、特許文献1にて開示されたパケットフィルタは、フィルタ条件によってパケットの取捨選択を行うことができるものの、一旦取得されたパケットのその後の管理は全て同一の扱いとなり、取得する必要はあるがさほど重要でないデータでメモリがフルになり、最重要なデータが取得されない可能性がある。
また、特許文献1にて開示されたパケットフィルタにおいても、メモリがフルになりデータが破棄された場合、破棄されたという情報が保持されない。よってユーザは、パケットが無くなった原因がメモリのフルによる破棄なのか、またはネットワーク上のトラフィックの影響によるデータ破棄なのかを知ることができない。
本発明は上述した問題点を解決するためになされたものであり、グループ単位でキャプチャデータを保持し、アップロードし、さらに破棄した場合の破棄情報を保持することで、キャプチャデータの解析が容易となるキャプチャ装置およびそのキャプチャ方法を提供することを目的とする。
上述した課題を解決するため、本発明は、少なくとも1つの通信経路に接続されることができ、該通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ装置であって、前記記憶媒体に設定された領域の位置情報と該領域に格納する通信データの条件との組を少なくとも1つ保持する保持部と、前記通信経路を通過する通信データのうち、前記保持部に保持された条件に適合する通信データを適合データとして取得する取得部と、前記適合データに適合する条件に対応する領域である格納領域の位置情報を取得し、該格納領域へ前記適合データを格納する格納部とを備えるものである。
また上述した課題を解決するため、本発明は、少なくとも1つの通信経路に接続されることができ、該通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ装置であって、前記通信経路を通過する通信データのうち、設定された条件に適合する通信データを適合データとして取得する取得部と、前記記憶媒体に設定された領域へ前記適合データを格納する格納部と、前記格納部が前記適合データを前記領域へ格納する際、該領域の余地が所定の条件を満たす場合、所定の規則に基づいてデータの破棄を行う破棄部と、前記破棄部により行われた破棄の結果に関する情報を破棄情報として保持する破棄情報保持部とを備えるものである。
また上述した課題を解決するため、本発明は、通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ方法であって、前記記憶媒体に設定された領域の位置情報と該領域に格納する通信データの条件との組を取得する組情報取得ステップと、前記通信経路を通過する通信データのうち、前記組情報取得ステップにて取得された条件に適合する通信データを適合データとして取得する適合データ取得ステップと、前記適合データに適合する条件に対応する領域である格納領域の位置情報を取得し、該格納領域へ前記適合データを格納する格納ステップとを実行するものである。
本実施の形態に係る中継装置の構成の一例を示すブロック図である。 本実施の形態に係るキャプチャ装置の機能の一例を示すブロック図である。 本実施の形態に係る検索条件保持部にて保持される検索条件および検索条件式の一例を示す図である。 本実施の形態に係るキャプチャグループを管理している管理テーブルを示す図である。 本実施の形態に係るデータ保持部の区分領域の比率を示す図である。 本実施の形態に係るリードポインタ、ライトポインタの動きを示す図である。 本実施の形態に係るネットワークインターフェイス部からルーティング部へ流れる通信データに対するキャプチャ処理を示すフローチャートである。 本実施の形態に係るルーティング部からネットワークインターフェイス部へ流れる通信データに対するキャプチャ処理を示すフローチャートである。 本実施の形態に係る外部の管理装置からのアップロード要求をルーティング部が受け付けた場合のアップロード処理を示すフローチャートである。 本実施の形態に係るアップロード部における内部アップロード処理を示すフローチャートである。 本実施の形態に係るアップロード部からルーティング部へのアップロード起動要求処理を示すフローチャートである。 本実施の形態に係る起動要求フラグに基づいたルーティング部側のアップロード処理を示すフローチャートである。 本実施の形態に係る最古のキャプチャデータから順に破棄していく方式を示す図である。 本実施の形態に係る最新のキャプチャデータから順に破棄していく方式を示す図である。
以下、本発明の実施の形態について図面を参照しつつ説明する。
まず、本実施の形態に係る中継装置の構成について図1を参照しつつ説明する。
中継装置100は、ルーティング部110、キャプチャ装置1、ネットワークインターフェイス部120から構成されている。ネットワークインターフェイス部120のうち、いずれかのネットワークインターフェイスは、キャプチャされたデータ(適合データ)をユーザが閲覧、解析、保存するための外部の管理装置と接続されている。
ルーティング部110は、転送処理を行うものであり、ネットワークインターフェイス部120にて受信された通信データを、最適な経路を選択して別のネットワークに送信する。また、ルーティング部110は中央演算処理装置であるCPU111、記憶装置であるメモリ112にて構成されている。
ネットワークインターフェイス部120は、通信データの物理的な入出力を行う。
キャプチャ装置1は、ルーティング部110とネットワークインターフェイス部120との間に備えられることで、ルーティング部110とネットワークインターフェイス部120との間を流れる通信データを所定の検索条件および検索条件式に基づきキャプチャする。またキャプチャ装置1は、キャプチャした通信データ(以下、キャプチャデータ)を保持し、外部の管理装置へ保持したキャプチャデータをアップロードする。
尚、本実施の形態に係るキャプチャ装置1は、中継装置内でも、中継装置の外部に備えてもよい。
次に、キャプチャ装置1の機能を図2の機能ブロックを参照しつつ説明する。尚、図2中の実線矢印は通信データ(またはキャプチャデータ)の流れを示し、破線矢印は制御データの流れを示している。
キャプチャ装置1は、データ検索部2、データ管理部3を備える。データ検索部2は、データ管理部3、ルーティング部110、ネットワークインターフェイス部120と接続されており、ルーティング部110やネットワークインターフェイス部120からの通信データを検索する。またデータ検索部2は、検索実行部4、検索条件保持部5を備える。
検索条件保持部5は、キャプチャしたい通信データのビット列を1つの検索条件として複数登録される。また検索条件保持部5は、登録された検索条件を組み合わせることで検索条件式としてグループ化することで検索条件を保持する。
ここで、検索条件保持部5にて保持される検索条件および検索条件式の一例を図3に示す。検索条件式は検索条件番号として管理される。例えば検索条件番号1は、所定のTCPポート番号を検索条件式としたものであり、検索条件番号2は、相手先IP Address、送信元IP Addressおよび相手先の所定のTCPポート番号の各検索条件をAND条件の検索条件式でグループ化したものである。また検索条件番号3は、ネットワークインターフェイスAを検索条件式とし、ネットワークインターフェイスAに流れる全ての通信データをキャプチャ対象と定義するものである。尚、検索条件番号1および検索条件番号3は、1つの検索条件のみであるため、検索条件式と検索条件が一致している。
このように検索条件が複数登録され、さらに検索条件番号2のように検索条件が検索条件式としてグループ化がなされることで、通信データのデータ群ごとの判別が可能となり、更にそれぞれの検索条件を組み合わせた検索が可能となる。上述の検索条件以外にも、ネットワークインターフェイス毎の受信のみ、送信のみを対象とした検索や、実際の通信データの通信内容を識別しての検索が可能である。
検索実行部4は、通信データの中身を検索する能力を有しており、検索条件保持部5で保持されている検索条件式と、通信データを比較することにより、キャプチャすべきデータとそうでないデータを判別し、検索条件式に適合したキャプチャデータ(適合データ)を取得する。またキャプチャデータの採取時間、キャプチャデータのパケットレングス、破棄情報(後述)等の制御情報も同時に取得する。
上述のように、データ検索部2の検索実行部4と検索条件保持部5の機能により、通過する通信データを検索し、検索条件式に適合した通信データをキャプチャデータとして判定し、データ管理部3に通知することが可能となる。
データ管理部3は、ルーティング部110、データ検索部2と接続されており、データ検索部2にてキャプチャされたキャプチャデータを管理する。またデータ管理部3は、保持データ管理部6、データ保持部7、およびアップロード部8を備える。
保持データ管理部6は、検索実行部4によってキャプチャされたキャプチャデータを、データ保持部7に内包されるキャプチャメモリに保持する。また保持データ管理部6は、キャプチャメモリの記憶領域を複数に区分し、区分領域(領域)ごとに管理する。
保持データ管理部6は、更にキャプチャグループというグループを構成することで、キャプチャデータを管理する。ここで、図4にキャプチャグループを管理している管理テーブル(組)を参照し、キャプチャグループについて説明する。キャプチャグループは、キャプチャデータを識別するための識別番号(キャプチャグループ番号)、キャプチャデータを管理するためのキャプチャメモリ上の開始アドレスおよび終了アドレス(位置情報)、および検索条件保持部6に保持された検索条件番号(複数の検索条件番号を登録することが可能で、登録された検索条件番号はOR条件で結合)(条件)を主な項目として構成されている。尚、キャプチャメモリ上の開始アドレスおよび終了アドレスの範囲がキャプチャグループの区分領域となる。
保持データ管理部6は、検索条件番号と区分領域を対応付けたキャプチャグループを管理することで、検索実行部4によって検索されたキャプチャデータを、対応する区分領域に保持することができる。すなわち、検索実行部4による検索時に用いられた検索条件式と検索条件番号との対応関係(図3)および検索条件番号と区分領域との対応関係(図4の管理テーブル)から、検索実行部4による検索時に用いられた検索条件式と区分領域との対応が導かれ、この検索条件式にて検索されたキャプチャデータが、対応する区分領域に保持される。
保持データ管理部6は、各キャプチャグループの開始アドレスおよび終了アドレスの項目が変更されることで、図5に示すようにデータ保持部7に対しキャプチャグループごとの区分領域の比率を変更させることができる。保持データ管理部6は、例えば図5のパターン1のように全キャプチャグループの区分領域を同一の比率にさせることができ、またパターン2のようにキャプチャグループ0は、データの重要度が高くまた通信データ量が多量であるため区分領域の比率を多くすることができる。
このように保持データ管理部6によって、区分領域の比率を条件ごとに変えることができるため、ユーザは保持対象のデータ属性、予想されるデータ量および緊急度に応じたデータの保持が可能となる。
またキャプチャグループは、上述以外に、ルーティング部110が通常の転送処理とキャプチャデータのアップロード処理(送信処理)の方を優先的に実行させるためのフラグ(優先FLG)、キャプチャデータの破棄の方式を決定するフラグ(破棄方式FLG)、キャプチャデータによって区分領域が満たされそうになった場合にアップロード起動要求を発行する場合の閾値(アップロード起動要求閾値)の各項目によって構成されている。これらの項目に関しては後述する。
更に、保持データ管理部6には、制御情報の書き込み機能があり、制御情報をキャプチャデータと1対1で対応させ、書き込む機能を有する。
データ保持部7は、実メモリ(キャプチャメモリ)のことであり、保持データ管理部6の管理に基づきキャプチャデータおよび制御情報が格納される。
アップロード部8は、データ保持部7にて保持されている区分領域毎のキャプチャデータと制御情報を、ルーティング部110により外部の管理装置へ転送させる。また、後述するリードポインタ、ライトポインタの制御も行う。
ここで、保持データ管理部6による各区分領域へのキャプチャデータの入力、およびアップロード部8による各区分領域からのキャプチャデータの出力に関する、区分領域の管理について図6を参照しつつ説明する。
図6は、1つの区分領域におけるキャプチャメモリの3つの使用状態(キャプチャ開始時、キャプチャ通常動作時、キャプチャバッファフル時)を示しており、#0、#1、・・・、#nは、各キャプチャデータおよび制御情報が格納されるアドレスを示している。アップロード部8は、各区分領域に対し、保持データ管理部6による入力、およびアップロード部8による出力をそれぞれライトポインタ(格納位置情報)、リードポインタ(送信位置情報)で管理する。
中継装置100の電源投入直後は、まだデータがキャプチャメモリに存在しないため、ライトポインタ、リードポインタ共に#0の記憶領域を指している(図6の「キャプチャ開始時」参照)。
保持データ管理部6による書込みが行われる場合、ライトポインタが指し示すアドレスにデータが書き込まれ、ライトポインタは1キャプチャデータおよび1制御情報分次のアドレスへ移動する。またアップロード部8による出力が行われる場合、リードポインタが指し示すアドレスのデータが読み込まれ、リードポインタは1キャプチャデータおよび1制御情報分次のアドレスへ移動する。
図6の「キャプチャ通常動作時」の例では、保持データ管理部6は#18のアドレスにデータを書き込み、アップロード部8は#3のアドレスのデータを読み込む。尚、区分領域はそれぞれリングバッファであるため、終了アドレス(#n)へライトポインタ(またはリードポインタ)が到達した場合、次回は開始アドレス(#0)にライトポインタ(またはリードポインタ)は移動し、キャプチャデータおよび制御情報が書き込まれる。
尚、キャプチャデータによって区分領域の容量がフルになった場合、図6の「キャプチャバッファフル時」に示すように、リードポインタとライトポインタは同じアドレスを示すことになる。
また、保持データ管理部6における書き込み完了後のライトポインタのアドレスの位置は、書き込み後ライトポインタを移動させる場合と、ライトポインタを移動させた後書き込む場合とでは、1データ分ずれが生じることに留意する。アップロード部8における読出し処理も同様である。
次に、本実施の形態の処理をフローチャートを参照しつつ説明する。本実施の形態における処理は、キャプチャ処理およびアップロード処理に分けることができる。
まず、キャプチャ処理について説明する。ネットワークインターフェイス部120からルーティング部110へ流れる通信データをキャプチャする処理のフローチャートを図7に示す。
ネットワークインターフェイス部120が外部より通信データを受信する(ステップS1)と、検索実行部4は、検索条件式に基づき通信データを検索する(ステップS2)。ここで、通信データが検索条件式のいずれかに適合した場合(ステップS2、検索適合)、検索実行部4は、適合した検索条件式の検索条件番号とキャプチャされた通信データ(キャプチャデータ)を、保持データ管理部6に出力する。
また検索実行部4は、現在の時間を取得し、キャプチャデータのレングス計算および破棄情報に値をセット(破棄動作ではないので数値“0”がセットされる)し、これらの情報を制御情報として、キャプチャデータと一緒に保持データ管理部6に出力する。
保持データ管理部6は、検索実行部4より取得した検索条件番号と、管理テーブル(図4参照)から対象キャプチャグループを決定し(ステップS3)、対象キャプチャグループに対応する区分領域内のライトポインタが指し示すアドレスに、キャプチャデータおよび制御情報を書き込む。その後、アップロード部8は、書き込まれた区分領域のライトポインタに1キャプチャデータおよび1制御情報分の値を加算し、ライトポインタが指し示すアドレスを1キャプチャデータおよび制御情報のサイズ分移動させる(ステップS4)。
尚、本実施の形態においては、アップロード部8が区分領域のライトポインタに1キャプチャグループ分の値を加算したが、保持データ管理部6が行ってもよい。また、保持データ管理部6によってキャプチャデータが書き込まれた後に、アップロード部8はライトポインタを移動させたが、アップロード部8によってライトポインタが移動された後に、保持データ管理部6がキャプチャデータを書き込こんでもよい。
その後、通信データはルーティング部110に転送され(ステップS5)、従来通りの転送処理がなされる。
一方、検索実行部4による検索が適合しなかった場合(ステップS2、検索不適合)、通信データはそのままルーティング部110に転送され(ステップS5)、従来通りの通信データ中継処理がなされる。
以上の動作を繰り返すことにより、パケットのキャプチャが可能となる。
また、ルーティング部110自らがネットワークパケット(通信データ)を生成し、ルーティング部110自らの情報をネットワークインターフェイス部120を介して外部に送信する場合もあり、そのような通信データもキャプチャ対象とする必要がある。次にルーティング部110からネットワークインターフェイス部120へ流れる通信データをキャプチャする処理のフローチャートを図8に示し、処理内容を説明する。
ルーティング部110は、ネットワークインターフェイス部120に向けた通信データを送信し(ステップS11)、検索実行部4は、検索処理を行う(ステップS12)。検索実行部4による検索が適合した場合(ステップS12、検索適合)、上述の対象キャプチャグループを決定処理、キャプチャデータ書込み処理が行われ(ステップS13、ステップS14)、ネットワークインターフェイス部120に通信データが転送され(ステップS15)、外部に送信される。尚、ステップS12、ステップS13、ステップS14の処理は、それぞれステップS2、ステップS3、ステップS4の処理と同様である。
一方、検索実行部4による検索が適合しなかった場合(ステップS12、検索不適合)、通信データはそのままネットワークインターフェイス部120に転送され(ステップS15)、外部に送信される。
上述の処理によりキャプチャデータがデータ保持部7の区分領域にストックされてくると、区分領域がキャプチャデータでフルになってしまう。よって、キャプチャデータの読み出し(アップロード)処理を行うことで外部の管理装置にキャプチャデータを転送し、区分領域内のキャプチャデータを削除する必要がある。
ここで、アップロード処理の種類について説明する。まず、アップロード処理は、ルーティング部110における外部の管理装置へのアップロード処理(外部アップロード処理)、アップロード部8におけるルーティング部110へのアップロード処理(内部アップロード処理)がある。またアップロード処理は、外部の管理装置からルーティング部110に対しアップロード要求がなされることで開始される場合と、アップロード部8からルーティング部110に対しアップロード要求がなされることで開始される場合とがある。
図9のフローチャートを参照しつつ、外部の管理装置からのアップロード要求をルーティング部110が受け付けた場合のアップロード処理を説明する。またルーティング部110は、必要に応じてアップロードしたいキャプチャデータ数(もしくは全て)を指定することができるが、本実施の形態では、キャプチャグループnに対応する区分領域から、x個のキャプチャデータがアップロードされる例として説明する。尚、図9にて示した処理は、ステップS24以外はルーティング部110上のソフトウェアにより行われるが、アップロード部8にて行われてもよい。
アップロード要求を受け付けたルーティング部110は、データ保持部7のキャプチャグループnに対応する区分領域のライトポインタとリードポインタを確認することで(ステップS21)、アップロード可能なキャプチャデータの有無を判定する(ステップS22)。アップロード可能なキャプチャデータがあった場合(ステップS22、Yes)、ルーティング部110は、xが0かを判定する(ステップS23)。xが0でない場合(ステップS23、No)、アップロード部8に対し内部アップロード処理(後述)を行わせることで、ルーティング部110はキャプチャデータを取得する(ステップS24)。
内部アップロード処理が終了したら、ルーティング部110はxに対し1減算させ(ステップS25)、ステップS23の判定処理に処理を戻す。xが0になるまでステップS24、ステップS25の処理が繰り返される。xが0になった場合(ステップS23、Yes)、ルーティング部110は、ステップS24にて取得されたキャプチャデータおよび制御情報(ともにx個分)をFTPパケット化し(ステップS26)、外部の管理装置に対しFTPプロトコルにてキャプチャデータを送信する(ステップS27、ステップS28)。
外部の管理装置への送信が完了した場合(ステップS28、Yes)、処理は終了する。
また、ステップS22にてアップロード可能なキャプチャデータがなかった場合(ステップS22、No)、ルーティング部110は、外部の管理装置に対し転送するキャプチャデータがない旨を通知する(ステップS29)。
次に、アップロード部8における内部アップロード処理について、図10のフローチャートを参照しつつ説明する。尚、内部アップロード処理は図9のステップS24に対応する。
アップロード部8は、キャプチャグループnに対応する区分領域に格納されたキャプチャデータおよび制御情報を1データ分読み出す(ステップS31)。尚、アップロード部8は、現在のリードポインタにて指し示したアドレスにあるキャプチャデータおよび制御情報を読み出す。その後、アップロード部8は、読み出したキャプチャデータおよび制御情報をルーティング部110に転送し(ステップS32)、データ保持部7のキャプチャグループnに対応する区分領域のリードポインタを1キャプチャデータ分および1制御情報分加算する(ステップS33)。
尚、アップロード部8はデータを読み出してからリードポインタに加算したが、リードポインタに加算してからデータを読み出してもよい。
通常のアップロード処理は、上述のように外部の管理装置からのアップロード要求をルーティング部110が受け付けた場合に実施される。しかしながら、何らかの理由で外部の管理装置からのアップロード要求がこない状態が続き、アップロード部8が管理しているライトポインタとリードポインタの差分がアップロード閾値(図4に示した管理テーブル上にあるアップロード起動要求閾値)を下回った場合、アップロード部8は、対象キャプチャグループに対応した区分領域がフルになるのを防ぐため、ルーティング部110に対しアップロード起動要求を発行する。
このようなアップロード処理は、アップロード部8からのルーティング部110に対するアップロード起動要求処理をトリガとして行われる。ここで、アップロード部8からのルーティング部110へのアップロード起動要求処理を図11に示す。
アップロード部8は、所定のキャプチャグループ(ここでは上述同様キャプチャグループnとする)に対応する区分領域のライトポインタとリードポインタとの差分を確認し、管理テーブル(図4参照)のアップロード起動要求閾値(所定の閾値)以下かどうかを判定する(ステップS41)。ここで、差分がアップロード起動要求閾値以下である場合(ステップS41、Yes)、アップロード部8は、ルーティング部110に対し起動要求フラグをONにすることで起動要求を行う(ステップS42)。また、差分がアップロード起動要求閾値より上である場合(ステップS41、No)、アップロード部8は、ルーティング部110へ起動要求フラグをOFFにすることで起動要求を停止する(ステップS43)。尚、起動要求フラグのONまたはOFFは、本実施の形態ではルーティング部110内で保持され、管理されているものとするが、アップロード部8内部にて保持され、管理されていても構わない。
上述のアップロード部8のルーティング部110へのアップロード起動要求処理は随時行われる。
次に、上述のように起動要求フラグに基づいたルーティング部110のアップロード処理を図12を参照しつつ説明する。ルーティング部110では、ルーティング部110が処理していたタスクをアップロード部8からのアップロード起動要求処理に切り替えることで、アップロード処理が行われる。
ルーティング部110は、起動要求フラグがONであるかを確認する(ステップS51)。ここで、起動要求フラグがONである場合(ステップS51、Yes)、ルーティング部110は、アップロード部8に対し対象キャプチャグループ(キャプチャグループn)に対応する区分領域に対する内部アップロード処理の実施を要求する(ステップS52)。内部アップロード処理の実施の要求を受けたアップロード部8は、内部アップロード処理を実施する(ステップS53)。尚、内部アップロード処理は上述した通りであるため、ここでの説明は省略する(図10参照)。
内部アップロード処理が終了したら、ルーティング部110は、再度起動要求フラグがONであるかを確認する(ステップS51)。このように起動要求フラグがOFFになるまで、ステップS51、ステップS52、ステップS53の処理が繰り返される。
キャプチャグループnの区分領域のライトポインタとリードポインタとの差分がアップロード起動要求閾値より上となり(図11のステップS41、ステップS43)、起動要求フラグがOFFになった場合(ステップS51、No)、ルーティング部110は、キャプチャ装置(アップロード部8)からのキャプチャデータ(起動要求フラグがONであった最中のステップS53処理によってストックされたキャプチャデータ)および制御情報をFTPパケット化し(ステップS54)、外部の管理装置に対しFTPプロトコルにてキャプチャデータを送信する(ステップS55、ステップS56)。
外部の管理装置への送信が完了した場合(ステップS56、Yes)、処理は終了する。
このように、アップロード部8からのルーティング部110に対するアップロード起動要求処理によって、キャプチャデータを区分領域から破棄することなくデータキャプチャが可能となる。
しかしながら、中継装置100内でキャプチャされるべきアップロード対象のパケットが大量に伝送路上に流れた場合、キャプチャデータの保持のためのメモリライトに対し、アップロードのためのメモリリードが間に合わず、メモリライトがメモリリードに追いついてしまう。よって、対象区分領域がフルになり(所定の条件)、対象キャプチャグループのキャプチャデータの破棄が必要となる。
ここで、破棄の方式(所定の規則)について説明する。破棄の方式は、各区分領域に保持されているキャプチャデータや制御情報等のデータのうち、最古のデータから順に破棄していく方式、もしくは最新のデータから順に破棄していく方式のいずれかである。また保持データ管理部6は、キャプチャグループごとにこれら2つの破棄方式のうちいずれを採用するかを、管理テーブルの破棄方式FLG(図4参照)を用いてユーザに選択させることができる。
最古のデータから順に破棄していく方式を図13を参照しつつ説明する。ここでは、区分領域の容量を仮にキャプチャデータおよび制御情報のデータ16セット分とし、また若い番号が最新のデータであるものとして説明する。
図13の「キャプチャデータフル状態」に区分領域がフルになっている状態を示す。この状態で、保持データ管理部6による書込みが発生した場合、保持データ管理部6は最古のデータ(図13の「キャプチャデータフル状態」では「16」のデータ)が格納されたアドレスに、最新のデータを書き込むことで最古のデータを破棄する。そして、アップロード部8は、アップロード部8の内部で管理している破棄カウンタに1加算し、リードポインタを破棄したキャプチャデータおよび制御情報分(すなわち1キャプチャデータおよび1制御情報分)だけ進めておく。
上述の処理が保持データ管理部6による書込みの都度行われる。
図13の「キャプチャデータの書き込み1」に「キャプチャデータフル状態」からデータを1つ破棄した状態を示し、「キャプチャデータの書き込み2」に「キャプチャデータフル状態」からデータを2つ破棄した状態を示す。
そして、中継装置100が輻輳状態を逃れキャプチャデータおよび制御情報のアップロードが開始されると、リードポインタとライトポインタ間に充分余裕ができた状態となる。ここで、保持データ管理部6によるキャプチャデータ等の書き込みが発生した場合は、アップロード部8は、その書き込みが発生したキャプチャデータに対応する制御情報の破棄情報に破棄カウンタで数えた破棄パケット数(本例においては「2」)を書き込み、通常のキャプチャ動作に移行する(図13の「キャプチャデータの書き込み3」参照)。
次に、最新のデータから順に破棄していく方式を図14を参照しつつ説明する。図14は、4つの状態(キャプチャデータフル状態、キャプチャデータの書き込み1、キャプチャデータの書き込み2、キャプチャデータの書き込み3)における動作を示す。上述同様、ここでも区分領域の容量を仮にキャプチャデータおよび制御情報16セット分とし、また若い番号が最新のデータであるものとして説明する。
図14の「キャプチャデータフル状態」に区分領域がキャプチャデータで満たされている状態を示す。この状態である場合、保持データ管理部6は、最新のキャプチャデータおよび制御情報を書き込まない(よって、最新のデータは破棄される)。そして、データが破棄されている間は、アップロード部8は、内部で管理している破棄カウンタを破棄パケット分だけ増加する。
図14の「キャプチャデータの書き込み1」に「キャプチャデータフル状態」からデータを1つ破棄した状態を示し、「キャプチャデータの書き込み2」に「キャプチャデータフル状態」からデータを2つ破棄した状態を示す。
そして、中継装置100が輻輳状態を逃れキャプチャデータおよび制御情報のアップロードが開始されると、区分領域はリードポインタとライトポインタ間に充分余裕ができた状態となる。ここで、区分領域にキャプチャデータおよび制御情報の書き込みが発生した場合には、アップロード部8は、書き込みが発生したキャプチャデータの制御情報の破棄情報に破棄カウンタの数を書き込み、通常のキャプチャ動作に移行する(図14の「キャプチャデータの書き込み3」参照)。
尚、上述の最古のデータから順に破棄していく方式、最新のデータから順に破棄していく方式の両方式とも、破棄カウンタの管理および破棄情報への書き込みはアップロード部8にて行われるが、保持データ管理部6にて管理および書き込みが行われてもよい。
また、本実施の形態においては、上述の破棄方式は区分領域に対して適用しているが、有限である記憶領域を有する記憶媒体であったら如何なるものにも適用することができる。
最古のデータから破棄していく方式、および最新のデータを破棄していく方式のいずれかの方式が採用されても、ユーザは外部の管理装置にてパケットの解析をする際、アップロードされたデータの制御情報の破棄情報に記載があるものを発見することにより、その記載があるキャプチャデータの以前において、キャプチャ装置1内で破棄の処理がなされたことを確認することができる。
また、ユーザはキャプチャグループごとにデータを破棄する方式を選択できるため、キャプチャするデータの特徴に合わせた運用が可能となる。
上述の区分領域がフルの状態になる要因として、更に通常ルーティング部110は、キャプチャデータのアップロード処理より、本来の目的である転送処理を優先するため、区分領域にデータがストックされたままとなることが考えられる。次に、ルーティング部110に対し中継データの転送処理よりもキャプチャデータのアップロード処理を優先させることで、輻輳時にキャプチャしたパケットの破棄を防ぐ方法について説明する。
この方法は、管理テーブルの優先FLG(図4参照)に対し、中継処理よりアップロード処理の優先順位を高く設定するフラグが付与されることで、CPU111は、アップロード処理の要求を受けた場合、中継データの転送処理を中断する方法である。このようにすることで、キャプチャ対象のパケットが大量に伝送路上を流れ、各区分領域へのライト要求が大量に発生した場合であっても、中継装置100はキャプチャデータのアップロード処理を優先して処理し、ライトポインタがリードポインタを追い越すことがなくなる。
これにより、一旦キャプチャしたキャプチャデータを破棄することなく、また中継したデータとキャプチャデータが同一となることを保証する。また、重要なキャプチャグループのアップロード処理を優先して行うことができる。
以上説明したように、本実施の形態における中継装置は、一般的なキャプチャ中継装置と異なり、検索条件を検索条件式としてグループ化でき、そのグループ単位で区分領域への保持およびアップロードが可能なため、外部の管理装置にてキャプチャデータの解析がなされる場合、ユーザは対象のキャプチャデータ群のみを解析することができる。
なお、保持部は、実施の形態における検索条件保持部5、保持データ管理部6に対応し、取得部は、実施の形態における検索実行部4に対応する。さらに格納部は、実施の形態における保持データ管理部6、データ保持部7に対応する。また送信部は、実施の形態におけるアップロード部8に対応する。また破棄部は、実施の形態における保持データ管理部6に対応し、破棄情報保持部は、実施の形態におけるアップロード部8もしくは保持データ管理部6に対応する。
以上のように、本発明によれば、ユーザはキャプチャデータの解析を容易に行うことができる。

Claims (5)

  1. 少なくとも1つの通信経路に接続されることができ、該通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ装置であって、
    前記記憶媒体に設定された領域の位置情報と該領域に格納する通信データの条件との組を少なくとも1つ保持する保持部と、
    前記通信経路を通過する通信データのうち、前記保持部に保持された条件に適合する通信データを適合データとして取得する取得部と、
    前記適合データに適合する条件に対応する領域である格納領域の位置情報を取得し、該格納領域へ前記適合データを格納する格納部と、
    前記領域に格納されているデータを外部へ送信する送信処理を行う送信部と
    を備え
    前記送信部は、領域毎に、前記適合データを格納する位置である格納位置を設定し、前記格納部は該格納位置に適合データを書き込むとともに前記送信部は前記格納部によって書き込まれたサイズ分格納位置を移動させ、さらに前記送信部は、前記適合データを送信する位置である送信位置を設定し、該送信位置に格納されたデータを送信するとともに前記送信位置を送信したサイズ分移動させるキャプチャ装置。
  2. 請求項に記載のキャプチャ装置において、
    前記領域は、リングバッファであり、前記格納位置および前記送信位置は前記リングバッファ上を移動することを特徴とするキャプチャ装置。
  3. 請求項に記載のキャプチャ装置において、
    前記格納位置と前記送信位置との差が所定の閾値以下となった場合、前記送信部は前記適合データを外部へ送信することを特徴とするキャプチャ装置。
  4. 少なくとも1つの通信経路に接続されることができ、該通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ装置であって、
    前記通信経路を通過する通信データのうち、設定された条件に適合する通信データを適合データとして取得する取得部と、
    前記記憶媒体に設定された領域へ前記適合データを格納する格納部と、
    前記格納部が前記適合データを前記領域へ格納する際、該領域の余地が所定の条件を満たす場合、所定の規則に基づいてデータの破棄を行う破棄部と、
    前記破棄部により行われた破棄の結果に関する情報を破棄情報として保持する破棄情報保持部と、
    を備えるキャプチャ装置。
  5. 通信経路を通過する通信データを取得して記憶媒体に格納するキャプチャ方法であって、
    前記記憶媒体に設定された領域の位置情報と該領域に格納する通信データの条件との組を取得する組情報取得ステップと、
    前記通信経路を通過する通信データのうち、前記組情報取得ステップにて取得された条件に適合する通信データを適合データとして取得する適合データ取得ステップと、
    前記適合データに適合する条件に対応する領域である格納領域の位置情報を取得し、該格納領域へ前記適合データを格納する格納ステップと、
    前記領域に格納されているデータを外部へ送信する送信処理を行う送信ステップと
    を備え、
    前記送信ステップは、領域毎に、前記適合データを格納する位置である格納位置を設定し、前記格納ステップは該格納位置に適合データを書き込むとともに前記送信ステップは前記格納ステップによって書き込まれたサイズ分格納位置を移動させ、さらに前記送信ステップは、前記適合データを送信する位置である送信位置を設定し、該送信位置に格納されたデータを送信するとともに前記送信位置を送信したサイズ分移動させること
    を実行するキャプチャ方法。
JP2009510678A 2007-04-13 2007-04-13 キャプチャ装置、キャプチャ方法 Expired - Fee Related JP4727747B2 (ja)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2007/058141 WO2008129641A1 (ja) 2007-04-13 2007-04-13 キャプチャ装置、キャプチャ方法

Publications (2)

Publication Number Publication Date
JPWO2008129641A1 JPWO2008129641A1 (ja) 2010-07-22
JP4727747B2 true JP4727747B2 (ja) 2011-07-20

Family

ID=39875189

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009510678A Expired - Fee Related JP4727747B2 (ja) 2007-04-13 2007-04-13 キャプチャ装置、キャプチャ方法

Country Status (3)

Country Link
US (1) US20100027540A1 (ja)
JP (1) JP4727747B2 (ja)
WO (1) WO2008129641A1 (ja)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9531646B1 (en) 2009-12-07 2016-12-27 Altera Corporation Multi-protocol configurable transceiver including configurable deskew in an integrated circuit
GB2483111A (en) * 2010-08-27 2012-02-29 Zeus Technology Ltd Monitoring connections to servers and memory management
JP5966974B2 (ja) * 2013-03-05 2016-08-10 富士ゼロックス株式会社 中継装置、クライアント装置、システム及びプログラム
JP2020088716A (ja) 2018-11-29 2020-06-04 株式会社デンソー 中継装置
TWI731287B (zh) * 2018-12-22 2021-06-21 威聯通科技股份有限公司 網路應用程式產品及處理應用層協定的方法
WO2020230265A1 (ja) * 2019-05-14 2020-11-19 日本電信電話株式会社 パケットキャプチャ装置および方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001147834A (ja) * 1999-10-01 2001-05-29 Hitachi Ltd 集積回路及びそのトレース情報処理方法
US20050132046A1 (en) * 2003-12-10 2005-06-16 De La Iglesia Erik Method and apparatus for data capture and analysis system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR100533606B1 (ko) * 2000-10-05 2005-12-05 마쓰시타 덴키 산교 가부시끼 가이샤 링형 네트워크 및 데이터 전송 장치
US6934256B1 (en) * 2001-01-25 2005-08-23 Cisco Technology, Inc. Method of detecting non-responsive network flows
US7624436B2 (en) * 2005-06-30 2009-11-24 Intel Corporation Multi-pattern packet content inspection mechanisms employing tagged values
US7689614B2 (en) * 2006-05-22 2010-03-30 Mcafee, Inc. Query generation for a capture system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001147834A (ja) * 1999-10-01 2001-05-29 Hitachi Ltd 集積回路及びそのトレース情報処理方法
US20050132046A1 (en) * 2003-12-10 2005-06-16 De La Iglesia Erik Method and apparatus for data capture and analysis system

Also Published As

Publication number Publication date
WO2008129641A1 (ja) 2008-10-30
US20100027540A1 (en) 2010-02-04
JPWO2008129641A1 (ja) 2010-07-22

Similar Documents

Publication Publication Date Title
US11863458B1 (en) Reflected packets
US11855901B1 (en) Visibility sampling
JP4727747B2 (ja) キャプチャ装置、キャプチャ方法
CN1713617B (zh) 通信统计收集装置
US9614766B2 (en) System and method to analyze congestion in low latency network
JP4526458B2 (ja) パケット処理装置及びパケット処理プログラム
US11245632B2 (en) Automatic flow management
JP2014508454A (ja) データパケットを受信及び転送する装置及び方法
JP2014168283A (ja) 通信システム、ネットワーク監視装置、及びネットワーク監視方法
CN106921665B (zh) 一种报文处理方法及网络设备
JPWO2008108403A1 (ja) ノード装置、ノードシステム、該ノード装置に用いられる統計情報管理テーブルの入替え方法及びプログラム
KR101577926B1 (ko) 통신 노드, 패킷 처리 방법 및 프로그램
WO2020181820A1 (zh) 数据缓存方法、装置、计算机设备和存储介质
JP2017060074A (ja) ネットワーク分析装置、ネットワーク分析システム、及びネットワークの分析方法
US10805206B1 (en) Method for rerouting traffic in software defined networking network and switch thereof
WO2022152230A1 (zh) 信息流识别方法、网络芯片及网络设备
US20150304200A1 (en) Traffic information collection system and collection control node
JP2016208241A (ja) 伝送装置及びパケット制御方法
JP2012023582A (ja) 輻輳制御を備えるパケット中継装置、輻輳制御方法およびネットワークシステム
US20150036688A1 (en) Packet relay device and packet relay method
JP2010177942A (ja) ルータ装置
US20220224585A1 (en) Direct Memory Access (DMA) Engine for Diagnostic Data
JP2018042164A (ja) ネットワーク管理システム、フロー収集装置、ネットワーク管理装置、ネットワーク管理方法、フロー収集方法、ネットワーク管理プログラム及びフロー収集プログラム
US20140226678A1 (en) Communication apparatus and frame processing method
JP3885050B2 (ja) ネットワーク管理方法

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20110125

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20110325

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20110412

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20110413

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140422

Year of fee payment: 3

LAPS Cancellation because of no payment of annual fees