JP5819211B2 - Packet capture device and program - Google Patents
Packet capture device and program Download PDFInfo
- Publication number
- JP5819211B2 JP5819211B2 JP2012027362A JP2012027362A JP5819211B2 JP 5819211 B2 JP5819211 B2 JP 5819211B2 JP 2012027362 A JP2012027362 A JP 2012027362A JP 2012027362 A JP2012027362 A JP 2012027362A JP 5819211 B2 JP5819211 B2 JP 5819211B2
- Authority
- JP
- Japan
- Prior art keywords
- packet
- capture device
- network
- packet capture
- administrator terminal
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、監視対象とするネットワークからパケットを取得(キャプチャ)する装置及び当該装置において実行されるプログラムに関する。 The present invention relates to an apparatus for acquiring (capturing) a packet from a network to be monitored and a program executed in the apparatus.
本明細書では、監視業務に従事する管理者からの操作入力に従い、監視対象であるネットワークからパケットを取得し、管理者に呈示する機能を有するネットワーク装置を「監視装置」という。また、監視装置の動作を制御する目的で、管理者により操作されるネットワーク装置を「管理者端末」という。 In this specification, a network device having a function of acquiring a packet from a network to be monitored and presenting it to the administrator in accordance with an operation input from the administrator engaged in the monitoring work is referred to as a “monitoring device”. A network device operated by an administrator for the purpose of controlling the operation of the monitoring device is referred to as an “administrator terminal”.
既存の監視装置は、主に、以下の2種類に分類される。
(1) 監視装置と管理者端末は、別装置として提供される。ネットワークに接続された監視装置にはストレージ装置が内蔵されており、ネットワークから取得したパケットはストレージ装置に一時的に保存される。一時保存されたパケットは、管理者端末から与えられる指示入力に応じてストレージ装置から読み出され、管理者端末に出力される。
(2) 監視装置と管理者端末は、一つの装置として提供される。ネットワークに接続された管理者端末には、ネットワーク上を流れるパケットを監視するための専用のソフトウェアがインストールされている。管理者端末は、この専用のソフトウェアが提供する機能を通じ、ネットワークからパケットを取得し、管理者端末内のストレージ装置に保存する。
Existing monitoring devices are mainly classified into the following two types.
(1) The monitoring device and administrator terminal are provided as separate devices. The monitoring device connected to the network has a built-in storage device, and packets acquired from the network are temporarily stored in the storage device. The temporarily stored packet is read from the storage device in response to an instruction input given from the administrator terminal, and is output to the administrator terminal.
(2) The monitoring device and the administrator terminal are provided as one device. Dedicated software for monitoring packets flowing on the network is installed in the administrator terminal connected to the network. The administrator terminal acquires a packet from the network through a function provided by the dedicated software, and stores it in a storage device in the administrator terminal.
図1に、分類(1) に対応する接続形態を示す。監視対象とするLAN(Local Area Network)は、ネットワークハブ1と、そのポートに接続された3つのコンピュータ2、3、4で構成されている。図1の場合、ネットワークハブ1は8個のポートを有しており、そのうちの3つがコンピュータ2、3、4との接続に用いられ、そのうちの1つが別のLANとの接続に用いられている。
FIG. 1 shows a connection form corresponding to the classification (1). A LAN (Local Area Network) to be monitored includes a
分類(1) の場合、ネットワークを監視する監視装置5が、LANケーブル経由でネットワークハブ1に接続される。ネットワークハブ1がスイッチング機能を搭載していない場合、監視装置5は未使用である任意のポートに接続することができる。スイッチング機能を搭載しないネットワークハブ1は、1つのポートに入力されたパケットを、他の全てのポートに出力するためである。一方、ネットワークハブ1がスイッチング機能を搭載する場合、監視装置5の接続先は、ネットワークハブ1のミラーポートに限られる。なお、スイッチング機能を有するハブは、スイッチングハブとも呼ばれる。
In the case of classification (1), a monitoring device 5 that monitors the network is connected to the
図1に示すように、監視装置5は、パケット取得部51と、ストレージ装置52と、コントローラ53で構成される。監視装置5には、LANケーブル等を通じ、管理者端末6が接続されている。監視装置5は、パケット取得部51を通じてパケットを取得し、取得したパケットをストレージ52に保存する。この保存は、一般に、パケットの取得が終了するまで継続される。ストレージ装置52に記録されたパケットは、管理者端末6から与えられた読み出し指示に従って読み出され、管理者端末6に提供される。管理者端末6は、例えば提供を受けたパケットをディスプレイ装置の管理者画面に表示する。
As shown in FIG. 1, the monitoring device 5 includes a
しかし、分類(1) の装置構成には、以下に示す問題がある。
(1-1) 監視装置5に、ストレージ装置52とその制御機構を一体的に組み込む必要がある。このため、監視装置5の製造が複雑化し、高コスト化する。また、ストレージ装置52の劣化が監視装置5の故障を引き起こす要因となる。
(1-2) ストレージ装置52の容量により、連続的に記録可能なデータ量の上限が制限される。
(1-3) 管理者端末6は、監視装置5の動作を制御するために、ストレージ装置52に対するパケットの記録開始指示、パケットの記録終了指示、パケットの読み出し指示を与える必要がある。
(1-4) 監視装置5のストレージ装置52に対するパケットの一時保存は、実質的には、監視対象であるパケットの複製と考えられる。通信データの秘匿性保持が要求される場合には、ストレージ装置52に一時保存されたパケットの用途外の不正な読み出しを禁止する機能・機構と、ストレージ装置52に保存されたパケットを確実に抹消する機能・機構が必要となる。
However, the classification (1) device configuration has the following problems.
(1-1) The
(1-2) The upper limit of the continuously recordable data amount is limited by the capacity of the
(1-3) In order to control the operation of the monitoring device 5, the
(1-4) Temporary storage of a packet in the
一方、分類(2) の場合、ネットワークに接続された管理者端末に専用のソフトウェアを実装し、ネットワークに流れるパケットを監視する必要がある。この場合、管理者端末は、ネットワークからパケットを直接取得し、内部のストレージ装置に記録する。また、管理者端末は、ディスプレイ装置の画面上に取得したパケットの情報を表示し、管理者の閲覧に供する。分類(2) の装置構成は、分類(1) の装置構成のように監視装置5を別途設ける必要がない。しかも、分類(2) の装置構成は、取得したパケットの保存用に、大容量のストレージ装置を使用することができる。このため、分類(1) の装置構成において指摘された問題を、全て解消できるように考えられる。 On the other hand, in the case of classification (2), it is necessary to install dedicated software on the administrator terminal connected to the network and monitor the packets flowing through the network. In this case, the administrator terminal directly acquires the packet from the network and records it in the internal storage device. Further, the administrator terminal displays the acquired packet information on the screen of the display device, and provides the information to the administrator. The device configuration of classification (2) does not require a separate monitoring device 5 unlike the device configuration of classification (1). Moreover, the device configuration of category (2) can use a large-capacity storage device for storing the acquired packets. For this reason, it is considered that all the problems pointed out in the classification (1) device configuration can be solved.
しかし、分類(2) の装置構成には、以下に示す問題がある。
(2-1) 管理者端末に、パケットを取得するための専用のソフトウェアをインストールする必要がある。また、専用のソフトウェアを動作させるための特定の種類の端末装置が必要になる。
(2-2) 管理者端末を、監視対象であるネットワークに直接接続する必要がある。その一方、監視対象であるネットワークと管理者端末の双方に、相互に影響を及ぼさないための対策が必要になる。
(2-3) 複数のネットワークを同時に監視したい場合、管理者端末に、複数のネットワーク・インタフェースを装備する必要がある。しかし、このような管理者端末の入手は困難である。仮に、複数のネットワーク・インタフェースを装備する管理者端末を特注する場合、管理コストが増大する問題がある。
However, the classification (2) device configuration has the following problems.
(2-1) It is necessary to install dedicated software for acquiring packets on the administrator terminal. In addition, a specific type of terminal device for operating dedicated software is required.
(2-2) It is necessary to connect the administrator terminal directly to the network to be monitored. On the other hand, it is necessary to take measures to prevent both the network to be monitored and the administrator terminal from affecting each other.
(2-3) To monitor multiple networks at the same time, it is necessary to equip the administrator terminal with multiple network interfaces. However, it is difficult to obtain such an administrator terminal. If an administrator terminal equipped with a plurality of network interfaces is specially ordered, there is a problem that the management cost increases.
そこで、本発明者は、監視対象とする有線ネットワークからパケットを取得する装置として、監視対象とするネットワークからパケットを取得するパケット取得部と、パケット取得部が取得したパケットの情報を、内部に保存することなく即座に、HTTP(HyperText Transfer Protocol)形式に変換して転送するHTTPサーバを有するものを提案する。すなわち、本発明に係るパケットキャプチャ装置の場合には、ネットワークから取得したパケットを、装置内に一時保存することなく、その情報をHTTP形式により管理者装置に取得順次に出力する。 Accordingly, the present inventors have saved from a wired network to be monitored as a device for acquiring a packet, the packet acquisition unit that acquires a packet from the network to be monitored, the information of the packet that the packet acquisition unit has acquired, within It proposes what has the HTTP server which converts and transfers to a HyperText Transfer Protocol (HTTP) form immediately without doing. That is, in the case of the packet capture device according to the present invention, the packet acquired from the network is acquired and sequentially output to the administrator device in the HTTP format without temporarily storing it in the device.
本発明によれば、パケットキャプチャ装置内にストレージ装置を設ける必要性を無くすことができる。このため、パケットキャプチャ装置の内部構成がシンプルとなり、設計コストや製造コストを、従来装置に比して大幅に低減することができる。また、取り外し装置であるパケットキャプチャ装置にストレージ装置を内蔵しないため、記憶容量に依存する監視時間の上限を事実上無くすことができる。また、パケットキャプチャ装置は、取得開始と取得終了を指示するだけで制御できるため、その指示命令を、従来装置に比して単純化できる。また、パケットキャプチャ装置内に複製パケットが残ることがないため、セキュリティ上の保安・保全作業を不要に出来る。また、本発明に係るパケットキャプチャ装置を用いる場合、管理者端末は、ウェブブラウザとネットワーク・インタフェースを有すれば良く、特殊なハードウェア構成やソフトウェア構成を必要としない。また、同時に複数のネットワークを監視したい場合でも、パケットキャプチャ装置側に複数のネットワーク・インタフェースを装備するだけで対応でき、従来装置のように特殊な管理者端末を必要としない。このため、監視システム全体としてのコストを最小化できる。また、本発明に係るパケットキャプチャ装置を用いる場合、管理者端末を、監視対象とするネットワークから分離することができる。これにより、ネットワークと管理者端末の双方において、互いに及ぼす影響を考慮する必要がない。 According to the present invention, it is possible to eliminate the necessity of providing a storage device in the packet capture device. For this reason, the internal configuration of the packet capture device is simplified, and the design cost and manufacturing cost can be greatly reduced as compared with the conventional device. In addition, since the storage device is not built in the packet capture device which is a removal device, the upper limit of the monitoring time depending on the storage capacity can be virtually eliminated. Further, since the packet capture device can be controlled simply by instructing acquisition start and acquisition end, the instruction command can be simplified as compared with the conventional device. Further, since duplicate packets do not remain in the packet capture device, security security and maintenance work can be eliminated. When the packet capture device according to the present invention is used, the administrator terminal only needs to have a web browser and a network interface, and does not require a special hardware configuration or software configuration. In addition, even if it is desired to monitor a plurality of networks at the same time, it can be handled only by installing a plurality of network interfaces on the packet capture device side, and does not require a special administrator terminal as in the conventional device. For this reason, the cost as the whole monitoring system can be minimized. When the packet capture device according to the present invention is used, the administrator terminal can be separated from the network to be monitored. As a result, it is not necessary to consider the influence of each other on both the network and the administrator terminal.
以下、本発明の実施例を、図面を用いて説明する。なお、後述する実施例は、出願に係る発明を分かりやすく説明する観点から記載している。従って、本発明は、後述する構成に限られず、不図示の構成要素を追加した構成や構成要素の一部を他の構成要素で置換した構成を含んでよい。 Embodiments of the present invention will be described below with reference to the drawings. In addition, the Example mentioned later is described from the viewpoint which demonstrates invention based on an application clearly. Therefore, the present invention is not limited to the configuration described later, and may include a configuration in which components (not shown) are added and a configuration in which some of the components are replaced with other components.
[実施例1]
[システム構成]
図2に、実施例に係るパケットキャプチャ装置を用いた接続形態を示す。なお、図2は、図1との対応部分に同一符号を付して表している。ここでのパケットキャプチャ装置500は監視装置の一種であり、管理者端末600とは別に用意される。図2の場合、管理者端末600には、ハードディスク装置601が外部接続されている。勿論、ハードディスク装置601は、管理者端末600に内蔵されていてもよい。
[Example 1]
[System configuration]
FIG. 2 shows a connection form using the packet capture device according to the embodiment. In FIG. 2, parts corresponding to those in FIG. 1 are denoted by the same reference numerals. The packet capture device 500 here is a kind of monitoring device, and is prepared separately from the
[パケットキャプチャ装置の構成]
パケットキャプチャ装置500は、ハードウェア的には、ネットワーク・インタフェースを備えるマイクロコンピュータとして構成される。すなわち、パケットキャプチャ装置500は、ネットワーク・インタフェース503及び504と、不図示のプロセッサと、作業領域を提供する不図示のRAM(Random Access Memory)と、HTTPサーバソフトウェアとパケット取得ソフトウェアとオペレーションシステムを格納する不図示のROM(Read Only Memory)とで構成される。
[Configuration of packet capture device]
The packet capture device 500 is configured as a microcomputer having a network interface in terms of hardware. That is, the packet capture device 500 stores network interfaces 503 and 504, a processor (not shown), a RAM (Random Access Memory) (not shown) that provides a work area, HTTP server software, packet acquisition software, and an operation system. And a ROM (Read Only Memory) (not shown).
このように、本実施例に係るパケットキャプチャ装置500は、パケットを一時的に記憶するためのストレージ装置を搭載しないことをハードウェア上の特徴の一つとする。なお、ネットワーク・インタフェース503は、ネットワークハブ1との接続用であり、ネットワーク・インタフェース504は、管理者端末600との接続用である。
As described above, one of the hardware features is that the packet capture device 500 according to the present embodiment does not include a storage device for temporarily storing packets. The
図2は、オペレーションシステム上でアプリケーションソフト(HTTPサーバソフトウェアとパケット取得ソフトウェア)が起動した後のパケットキャプチャ装置500のソフトウェア上の構成を表している。 FIG. 2 shows a software configuration of the packet capture device 500 after application software (HTTP server software and packet acquisition software) is started on the operation system.
図2に示すように、パケットキャプチャ装置500は、パケット取得部501とHTTPサーバ502で構成される。
As shown in FIG. 2, the packet capture device 500 includes a
パケット取得部501は、ネットワークハブ1を介して送受されるパケットを、HTTPサーバ502に取り込むか否かを制御する機能部である。ここで、ネットワークハブ1にスイッチ機能が搭載されていない場合、LANケーブルは任意のポートに接続することができる。もっとも、ネットワークハブ1がスイッチ機能を搭載する場合、LANケーブルはネットワークハブ1のミラーポートに接続する。この接続により、パケット取得部501には、ネットワークハブ1のいずれかのポートに入力されたパケットと同じものが入力される。
The
パケットの取得が開始されている場合、パケット取得部501は、ネットワークハブ1から入力されるパケットをHTTPサーバ502に取得順次に出力する。パケットの取得は、取得開始指示が与えられることで開始される。なお、パケットの取得が始まっていない場合又は終了した場合、パケット取得部501は、ネットワークハブ1から入力されるパケットをHTTPサーバ502に与えない。すなわち、パケット取得部501は、パケットの取得と廃棄を切り替えるゲートとして機能する。なお、パケットの取得は、取得終了指示が与えられるとことで終了する。
When packet acquisition is started, the
HTTPサーバ502は、パケット取得部501で取得されたパケットを即座にHTTP(HyperText Transfer Protocol)に準拠したテキスト形式に変換し、管理者端末600に転送する。すなわち、本実施例のパケットキャプチャ装置500は、取得されたパケットをウェブブラウザで閲覧可能な形式に即座に変換し、管理者端末600に転送する。パケットキャプチャ装置500と管理者端末600は、LANケーブル経由で接続されている。
The
管理者端末600は、ハードウェア的には、ネットワーク・インタフェースを備えるコンピュータで構成される。また、管理者端末600は、ソフトウェア的には、少なくともウェブブラウザを使用できるものとする。ウェブブラウザを通じてディスプレイ装置の画面上に表示されるGUI(Graphical User Interface)画面は、パケットキャプチャ装置500に対する指示入力や取得したパケットの閲覧に使用される。
The
図3に、本実施例で使用するGUI画面700の表示例を示す。GUI画面700には、少なくとも取得・閲覧開始ボタン701と、取得・閲覧終了ボタン702と、閲覧ウィンドウ703と、取得・記録開始ボタン704と、取得・記録終了ボタン705が配置される。ボタン操作に応じて発行された指示コマンドは、LANケーブルを経由して管理者端末600からパケットキャプチャ装置500に出力される。
FIG. 3 shows a display example of the
パケットの取得・閲覧ボタン701が操作されると、管理者端末600は、HTTPに準拠したテキスト形式のデータをウェブブラウザに入力し、閲覧ウィンドウに表示する。閲覧ウィンドウには、パケットキャプチャ装置500で取得されたパケットの情報を表すテキスト行が到着順に最終行に追加される。テキスト行の追加は、パケットの取得が終了するまで継続される。なお、パケットの取得と同時にその記録が指示されている場合、管理者端末600は、パケットの情報の表示と並行にしてテキスト行をハードディスク装置601に記録する。
When the packet acquisition /
取得・閲覧開始ボタン701と取得・閲覧終了ボタン702の操作と、取得・記録開始ボタン704と取得・記録終了ボタン705の操作は互いに独立である。従って、取得したパケットの情報の閲覧中にその記録を開始したり、閲覧の中止後もパケットの情報の記録を継続することもできる。
The operations of the acquisition /
記録可能なテキストの行数は、物理的には、ハードディスク装置601の記憶容量に依存する。一般に、ハードディスク装置601の記憶容量はテキスト行の記録には十分である。よって、本実施例の場合、監視対象として取得したパケットの情報を無制限に保存することができる。閲覧ウィンドウの表示内容の更新とテキスト行のハードディスク装置601に対する格納は、パケットキャプチャ装置500によるパケットの取得が終了するまで継続される。
The number of lines of text that can be recorded physically depends on the storage capacity of the
本実施例の場合、管理者端末600は、図2に示すように、パケットキャプチャ装置500に接続され、監視対象とするLANとは物理的に接続されない。すなわち、LANと管理者端末600は、同じネットワークに存在せず、互いのネットワークから独立した関係にある。
In the case of the present embodiment, as shown in FIG. 2, the
[パケットキャプチャ装置の設置からパケットのキャプチャ終了までの動作]
[設置作業]
(1) パケットキャプチャ装置500の監視対象LANへの接続
監視業務に従事する管理者は、管理対象とするLANに、パケットキャプチャ装置500を接続する。具体的には、管理者は、パケットキャプチャ装置500とネットワークハブ1の所定のポートをLANケーブルで接続する。パケットキャプチャ装置500は、パケットをネットワークハブ1から取得だけの目的で使用される。このため、ネットワークハブ1に接続するパケットキャプチャ装置500のネットワーク・インタフェースには、IPアドレスを設定する必要がない。このことは、パケットキャプチャ装置500のLANへの接続が、監視対象とするLAN上のいかなるパケットの流れにも影響を与えないことを意味する。
[Operation from installation of packet capture device to end of packet capture]
[Installation work]
(1) Connection of Packet Capture Device 500 to Monitored LAN A manager engaged in monitoring work connects the packet capture device 500 to a LAN to be managed. Specifically, the administrator connects the packet capture device 500 and a predetermined port of the
(2) パケットキャプチャ装置500と管理者端末600の接続
監視業務に従事する管理者は、パケットキャプチャ装置500に、管理者端末600をLANケーブルで接続する。パケットキャプチャ装置500に管理者端末600を接続すると、管理者端末600は、DHCP(Dynamic Host Configuration Protocol)に基づいて、IPアドレスの自動付与を要求する。この要求を受信したパケットキャプチャ装置500は、IPアドレスを決定し、要求元である管理者端末600に応答する。ここでのIPアドレスは、パケットキャプチャ装置500と管理者端末600との間でだけ有効なアドレスであり、監視対象であるLANとは無関係である。
(2) Connection between Packet Capture Device 500 and
[パケットの閲覧]
(1) 操作用GUI画面の表示
監視業務に従事する管理者は、管理者端末600のウェブブラウザを使用して、パケットキャプチャ装置500のHTTPサーバ502にアクセスし、操作用GUIを表示する。具体的には、以下の手順が実行される。
(1-1) パケットキャプチャ装置500は、操作メニューをHTML(HyperText Markup Language)の形式で管理者端末600のウェブブラウザに配信する。
(1-2) 管理者端末600のウェブブラウザは、操作メニューに対応するGUI画面700(図3)を、ディスプレイ装置の画面上に表示する。
[View Packet]
(1) Display of Operation GUI Screen An administrator who is engaged in monitoring work accesses the
(1-1) The packet capture device 500 distributes the operation menu to the web browser of the
(1-2) The web browser of the
(2) パケットの取得及び閲覧
GUI画面700上で、管理者がパケットの取得・閲覧開始を操作入力すると、GUI画面700上にパケットの内容が逐次表示される。具体的には、以下の手順が実行される。
(2-1) まず、管理者は、GUI画面700の取得・閲覧開始ボタン701をクリック操作する。すると、ウェブブラウザからHTTPサーバ502に宛てて、パケットの取得開始を指示するHTTPリクエストが送信される。
(2-2) HTTPサーバ502は、パケットの取得開始を指示するHTTPリクエストを受信すると、パケットの取得開始をパケット取得部501に指示する。
(2-3) パケット取得部501は、パケットを受信する毎に、取得したパケットをHTTPレスポンスとして管理者端末600のウェブブラウザに送信する。
(2-4) ウェブブラウザは、パケットを受信するたびに、受信したパケットの情報をGUI画面700の閲覧ウィンドウ703に表示する。
(2-5) 管理者は、GUI画面700上で取得・閲覧終了ボタン702をクリック操作する。すると、ウェブブラウザからHTTPサーバ502に対し、パケットの取得終了を指示するHTTPリクエストが送信される。
(2-6) HTTPサーバ502は、パケットの取得終了を指示するHTTPリクエストを受信すると、パケット取得部501にパケットの取得停止を指示し、同時に、ウェブブラウザへのデータの送信を終了する。
(2) Packet Acquisition and Browsing When the administrator inputs a packet acquisition / browsing start operation on the
(2-1) First, the administrator clicks on the acquisition /
(2-2) When the
(2-3) Each time the
(2-4) Each time a web browser receives a packet, the web browser displays information on the received packet in the
(2-5) The administrator clicks the acquisition /
(2-6) When receiving the HTTP request for instructing the end of packet acquisition, the
[パケットの取得・記録]
ここでは、取得したパケットを閲覧することなく、ハードディスク装置601に記録する場合について説明する。もっとも、パケットの情報を閲覧しながら、ハードディスク装置601にパケットを記録することもできる。
(1) 操作用GUI画面の表示
監視業務に従事する管理者は、管理者端末600のウェブブラウザを使用して、パケットキャプチャ装置500のHTTPサーバ502にアクセスし、操作用GUI画面700(図3)を、ディスプレイ装置の画面上に表示する。具体的には、以下の手順が実行される。
(1-1) パケットキャプチャ装置500は、操作メニューをHTML(HyperText Markup Language)の形式で管理者端末600のウェブブラウザに配信する。
(1-2) 管理者端末600のウェブブラウザは、操作メニューに対応するGUI画面700(図3)を、ディスプレイ装置の画面上に表示する。
[Packet acquisition / recording]
Here, a case where the acquired packet is recorded in the
(1) Display of Operation GUI Screen An administrator who is engaged in monitoring work accesses the
(1-1) The packet capture device 500 distributes the operation menu to the web browser of the
(1-2) The web browser of the
(2) パケットの取得及び記録
GUI画面700上で、管理者がパケットの取得・記録開始を操作入力すると、取得されたパケットの情報がウェブブラウザにダウンロードされ、ハードディスク装置601にダウンロードファイルとして保存される。ダウンロードファイルを構成する文書の最終行には、新たにパケットが取得されるたびに、その情報を表すテキスト行が追加される。具体的には、以下の手順が実行される。
(2-1) 管理者は、GUI画面700上で取得・記録ボタン704をクリック操作する。すると、ウェブブラウザからHTTPサーバ502には、パケットの取得開始を指示するHTTPリクエストが送信される。
(2-2) HTTPサーバ502は、パケットの取得開始を指示するHTTPリクエストを受信すると、パケットの取得開始をパケット取得部501に指示する。
(2-3) パケットを取得するプログラムは、パケットを受信する毎に、取得したパケットをHTTPレスポンスとして管理者端末600のウェブブラウザに送信する。
(2-4) ウェブブラウザは、パケットをダウンロードファイルの一部として受信し、受信するたびにハードディスク装置601のファイルに逐次記録する。
(2-5) 管理者は、GUI画面700上で取得・記録終了ボタン705をクリック操作する。すると、ウェブブラウザからHTTPサーバ502に対し、パケットの取得終了を指示するHTTPリクエストが送信される。
(2-6) HTTPサーバ502は、パケットの取得終了を指示するHTTPリクエストを受信すると、パケット取得部501にパケットの取得停止を指示し、同時に、ウェブブラウザへのデータの送信を終了する。
(2) Packet Acquisition and Recording When the administrator inputs a packet acquisition / recording start operation on the
(2-1) The administrator clicks the acquisition /
(2-2) When the
(2-3) Each time a program that acquires a packet receives the packet, the program transmits the acquired packet to the web browser of the
(2-4) The web browser receives the packet as a part of the download file, and sequentially records the packet in a file on the
(2-5) The administrator clicks on the acquisition /
(2-6) When receiving the HTTP request for instructing the end of packet acquisition, the
[実施例の効果]
本実施例で説明するパケットキャプチャ装置500は、既存の装置に比して、以下に示す技術的効果を有している。
(1) パケットキャプチャ装置500は、その装置内に、大容量のストレージ装置やその制御機構を組み込む必要がない。このため、パケットキャプチャ装置500の設計工程や製造工程を単純化できる。そのため、ストレージ装置を内蔵することが必要な従来装置に比して、本実施例に係るパケットキャプチャ装置500は、安価に製造することができる。さらに、従来装置の場合には、ストレージ装置やその制御部の設計不良・製造不良・経年劣化等を原因とする故障の可能性があるが、本実施例に係るパケットキャプチャ装置500にはその心配がない。このため、本実施例に係るパケットキャプチャ装置500は、堅牢性に優れている。
[Effect of Example]
The packet capture device 500 described in the present embodiment has the following technical effects as compared to existing devices.
(1) The packet capture device 500 does not need to incorporate a large-capacity storage device or its control mechanism in the device. For this reason, the design process and manufacturing process of the packet capture device 500 can be simplified. Therefore, the packet capture device 500 according to the present embodiment can be manufactured at a lower cost than a conventional device that needs to incorporate a storage device. Further, in the case of the conventional apparatus, there is a possibility of a failure due to a design failure / manufacturing failure / aging deterioration of the storage device and its control unit. However, the packet capture device 500 according to the present embodiment is concerned about this. There is no. For this reason, the packet capture device 500 according to the present embodiment is excellent in robustness.
(2) パケットキャプチャ装置500は、その内部に取得したパケットを一時的にも保存しないため、連続的に閲覧可能な又は記録可能なデータの量に事実上制限がない。このため、長時間かつ大容量の連続記録や閲覧が可能となる。
(3) パケットキャプチャ装置500は、ストレージ装置を有しないため、従来装置のように、内蔵ストレージ装置へのデータの書き込み・読み出しを外部から指示入力する必要がない。このため、パケットキャプチャ装置500に対する指示入力は、基本的に、パケットの取得開始と取得終了の2種類だけでよい。すなわち、パケットキャプチャ装置500に対する指示内容を単純化できる。なお、前述した実施例の説明では、取得したキャプチャの閲覧と記録とで操作ボタンを分けている。しかし、これらのボタンに対応する閲覧処理や記録処理は、管理者端末側で実行される。従って、パケットキャプチャ装置500が対応すべき処理は、あくまでもパケットの取得開始と終了の2種類だけである。
(2) Since the packet capture device 500 does not temporarily store a packet acquired therein, there is virtually no limit on the amount of data that can be continuously browsed or recorded. For this reason, continuous recording and browsing with a large amount of time can be performed.
(3) Since the packet capture device 500 does not have a storage device, unlike the conventional device, there is no need to externally input and write data to and from the internal storage device. For this reason, there are basically only two types of instruction input to the packet capture device 500, that is, packet acquisition start and acquisition end. That is, the instruction content for the packet capture device 500 can be simplified. In the above description of the embodiment, the operation buttons are divided between browsing and recording of the acquired capture. However, the browsing process and the recording process corresponding to these buttons are executed on the administrator terminal side. Accordingly, there are only two types of processing to be supported by the packet capture device 500, that is, start and end of packet acquisition.
(4) 本実施例に係るパケットキャプチャ装置500は、その仕組み上、LANから取得したパケットが装置内で複製されることがない。すなわち、パケットキャプチャ装置500には、LANから取得したパケットの複製データが保持されることがない。このため、秘匿性保持の観点から、パケットキャプチャ装置500の保安・保全を図る必要がなく、その分、管理負担が小さく済む。
(5) 本実施例の場合、パケットキャプチャ装置500と管理者端末600は、互いに独立した別装置として用意される。このため、従来装置のように、管理者端末上に専用のソフトウェアをインストールしたり、特殊なハードウェア構成を採用する必要がない。実際、本実施例に係る管理者端末600に要求される条件は、ネットワーク・インタフェースを有すること、及び、ウェブブラウザの利用が可能であることである。従って、管理者端末600は、一般的なパーソナルコンピュータを用いることができる。
(4) Due to the mechanism of the packet capture device 500 according to the present embodiment, packets acquired from the LAN are not duplicated within the device. That is, the packet capture device 500 does not hold duplicate data of packets acquired from the LAN. For this reason, it is not necessary to secure and maintain the packet capture device 500 from the viewpoint of maintaining confidentiality, and the management burden is reduced accordingly.
(5) In this embodiment, the packet capture device 500 and the
(6) 本実施例の場合、同時に複数のLANを監視したい場合には、パケットキャプチャ装置500に複数のネットワーク・インタフェースを装備するだけでよく、特殊な管理者端末を用意する必要がない。なお、複数のネットワーク・インタフェースの一端側は、1つのパケット取得部501に接続する又は個別に用意されたパケット取得部501に接続すればよい。
(7) 本実施例の場合、監視対象であるLANと管理者端末600とは、同じネットワーク上に存在しない。このため、管理者端末600とLANが双方に及ぼす影響を考慮する必要がない。
(6) In the case of this embodiment, if it is desired to monitor a plurality of LANs at the same time, the packet capture device 500 need only be equipped with a plurality of network interfaces, and there is no need to prepare a special administrator terminal. Note that one end side of the plurality of network interfaces may be connected to one
(7) In this embodiment, the LAN to be monitored and the
[実施例2]
前述の実施例1に係るパケットキャプチャ装置500は、ネットワークハブ1への接続を前提とし、ネットワークハブ1に接続された端末装置間の通信を監視する場合を想定した。しかし、図4(a)に示すように、ネットワークハブ1とLANケーブルを介して接続される特定のコンピュータ4との通信を監視する使用形態も考えられる。
[Example 2]
The packet capture device 500 according to the first embodiment is assumed to be connected to the
この場合、図4(b)に示すように、タップ装置800をネットワークハブ1とコンピュータ4の間に接続し、タップ装置800の監視用ポート801に、図2に示す内部構造を有するパケットキャプチャ装置500を接続すれば、実施例1と同様にパケットの取得と閲覧・記録を実現することができる。
In this case, as shown in FIG. 4B, the
もっとも、図4(c)に示すように、タップ装置800は、パケットキャプチャ装置900に内蔵してもよい。図4(c)は、タップ装置800と同様の通信動作を提供するパケット中継器903として表している。パケットキャプチャ装置900は、パケット監査用の3つのネットワーク・インタフェース910、911、912と、パケット中継器903と、パケット取得部501と、HTTPサーバ502で構成される。ネットワーク・インタフェース910はコンピュータ4との接続用であり、ネットワーク・インタフェース911はネットワークハブ1との接続用である。また、ネットワーク・インタフェース912は管理者端末600との接続用である。
However, as illustrated in FIG. 4C, the
パケット中継器903は、2つのネットワーク・インタフェースの中間に接続され、ネットワークハブ1とコンピュータ4の間で送受されるパケットを双方向に中継する。また、パケット中継器903には監視用ポート904が設けられている。監視用ポート904からは、ネットワークハブ1とコンピュータ4の間で送受されるパケットの複製パケットが出力される。この監視用ポート904に、パケット取得部501を接続する。このような装置構成の場合にも、実施例1と全く同様の手法にて、パケットの取得・閲覧・記録を実現することができる。
The
[他の実施例]
前述の実施例の説明では、LANに接続される端末装置としてコンピュータを例示したが、端末装置はONU(Optical Network Unit)、ルータ、IP電話機、アダプタ等でもよい。また、ネットワーク・インタフェースを備える装置であれば、いわゆる白物家電も含む。
[Other embodiments]
In the above description of the embodiment, a computer is exemplified as a terminal device connected to the LAN, but the terminal device may be an ONU (Optical Network Unit), a router, an IP telephone, an adapter, or the like. In addition, if it is a device having a network interface, so-called white goods are also included.
また、前述の実施例の説明は、物理的に実在する端末装置間で送受されるパケットを監視対象とする場合について説明した。しかしながら、監視対象とするパケットの送受信に関与する少なくとも一方の端末装置は仮想マシンでもよい。すなわち、本実施例に係るパケットキャプチャ装置500は、仮想マシン同士の間で送受されるパケットの監視にも、仮想マシンとホスト端末の間で送受されるパケットの監視にも用いることができる。 Further, in the description of the above-described embodiment, the case where a packet to be transmitted and received between physically existing terminal devices is a monitoring target has been described. However, at least one terminal device involved in transmission / reception of a packet to be monitored may be a virtual machine. That is, the packet capture device 500 according to the present embodiment can be used for monitoring packets transmitted and received between virtual machines and for monitoring packets transmitted and received between virtual machines and host terminals.
1…ネットワークハブ
2、3、4…コンピュータ
5…監視装置
6…管理者端末
51…パケット取得部
52…ストレージ装置
53…コントローラ
500…パケットキャプチャ装置
501…パケット取得部
502…HTTPサーバ
503、504…ネットワーク・インタフェース
600…管理者端末
601…ハードディスク装置
700…GUI画面
701…取得・閲覧開始ボタン
702…取得・閲覧終了ボタン
703…閲覧ウィンドウ
704…取得・記録開始ボタン
705…取得・記録終了ボタン
800…タップ装置
801…監視用ポート
900…パケットキャプチャ装置
903…パケット中継器
904…監視用ポート
910、911、912…ネットワーク・インタフェース
DESCRIPTION OF
Claims (7)
前記パケット取得部が取得したパケットの情報を、内部に保存することなく即座に、HTTP(HyperText Transfer Protocol)形式に変換して転送するHTTPサーバと
を有するパケットキャプチャ装置。 A packet acquisition unit that acquires packets from the network to be monitored;
A packet capture device comprising: an HTTP server that immediately converts the packet information acquired by the packet acquisition unit into an HTTP (HyperText Transfer Protocol) format and transfers the information without storing the packet information therein.
前記HTTPサーバは、前記パケットキャプチャ装置の操作メニューをHTML(HyperText Markup Language)形式で管理者端末に配信する
ことを特徴とするパケットキャプチャ装置。 The packet capture device according to claim 1,
The HTTP server delivers an operation menu of the packet capture device to an administrator terminal in an HTML (HyperText Markup Language) format.
前記パケット取得部の入力端に接続される第1のネットワーク・インタフェースと、
前記HTTPサーバの出力端に接続される第2のネットワーク・インタフェースと、
を有することを特徴とするパケットキャプチャ装置。 The packet capture device according to claim 1,
A first network interface connected to an input end of the packet acquisition unit;
A second network interface connected to the output end of the HTTP server;
A packet capture device.
第3のネットワーク・インタフェースと第4のネットワーク・インタフェースの間においてパケットの送受信を中継すると共に、中継されるパケットの複製パケットを監視用ポートに出力するパケット中継器を有し、
前記パケット取得部の入力端に前記監視用ポートを接続し、前記HTTPサーバの出力端に第5のネットワーク・インタフェースを接続する
ことを特徴とするパケットキャプチャ装置。 The packet capture device according to claim 1,
A packet relay that relays packet transmission / reception between the third network interface and the fourth network interface and outputs a duplicate packet of the relayed packet to the monitoring port;
The packet capture device, wherein the monitoring port is connected to an input terminal of the packet acquisition unit, and a fifth network interface is connected to an output terminal of the HTTP server.
前記パケット取得部は、管理者端末からHTTPで接続されている間だけ、前記監視対象とするネットワークからパケットを取得するThe packet acquisition unit acquires a packet from the network to be monitored only while connected by HTTP from an administrator terminal.
ことを特徴とするパケットキャプチャ装置。A packet capture device.
前記パケット取得部は、管理者端末と通信している間だけ、前記監視対象とするネットワークからパケットを取得するThe packet acquisition unit acquires a packet from the network to be monitored only while communicating with the administrator terminal.
ことを特徴とするパケットキャプチャ装置。A packet capture device.
監視対象とするネットワークからパケットを取得する処理と、
前記処理により取得されたパケットの情報を、内部に保存することなく即座に、HTTP形式に変換して転送する処理と
を実行させるプログラム。 In a computer mounted on a packet capture device having at least one port connected to a network to be monitored and a monitoring port for transferring acquired packet information in text format,
Processing to acquire packets from the network to be monitored;
A program that immediately executes the process of converting the packet information obtained by the above processing into the HTTP format and transferring it without storing it inside .
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012027362A JP5819211B2 (en) | 2012-02-10 | 2012-02-10 | Packet capture device and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2012027362A JP5819211B2 (en) | 2012-02-10 | 2012-02-10 | Packet capture device and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013165393A JP2013165393A (en) | 2013-08-22 |
JP5819211B2 true JP5819211B2 (en) | 2015-11-18 |
Family
ID=49176506
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2012027362A Active JP5819211B2 (en) | 2012-02-10 | 2012-02-10 | Packet capture device and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5819211B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP6962476B2 (en) * | 2018-08-06 | 2021-11-05 | 日本電気株式会社 | Communication device, communication method, and communication program |
Family Cites Families (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH11109933A (en) * | 1997-09-30 | 1999-04-23 | Fuji Electric Co Ltd | Monitoring and controlling system |
US7885198B2 (en) * | 2004-01-05 | 2011-02-08 | Jds Uniphase Corporation | Systems and methods for characterizing packet-switching networks |
-
2012
- 2012-02-10 JP JP2012027362A patent/JP5819211B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013165393A (en) | 2013-08-22 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US8606935B2 (en) | Application distribution control system, application distribution control method, information processing apparatus, and client terminal | |
JP4307448B2 (en) | System and method for managing distributed objects as a single representation | |
EP3288269B1 (en) | Method and system for cloud storage of video, and method and system for previewing cloud-stored video | |
US20090282283A1 (en) | Management server in information processing system and cluster management method | |
US20130326047A1 (en) | Router and personal device for monitoring and controlling data transfer rates on a local area network | |
JP2008077325A (en) | Storage device and method for setting storage device | |
US20130014106A1 (en) | Information processing apparatus, computer-readable medium storing information processing program, and management method | |
JP2011210064A (en) | Log information collection system, device, method and program | |
JP2008015616A (en) | Shared gateway computer | |
CN111966465B (en) | Method, system, equipment and medium for modifying host configuration parameters in real time | |
CN109542074A (en) | For the experimental provision control system and method for low-bandwidth remote link | |
CN105871642A (en) | Machine room unattended operation remote equipment management system | |
US8259324B2 (en) | Printer/storage integrate system, controller, control method, and control program for automatic installation of control software | |
JP5819211B2 (en) | Packet capture device and program | |
US20150296051A1 (en) | Methods, remote access systems, client computing devices, and server devices for use in remote access systems | |
JP2005316548A (en) | Computing system having a plurality of type of storage network and information setting method | |
CN108366087A (en) | A kind of ISCSI service implementing methods and device based on distributed file system | |
US20150304237A1 (en) | Methods and systems for managing access to a location indicated by a link in a remote access system | |
JP2008258846A (en) | Ethernet switch and remote capture system | |
JP5532981B2 (en) | Network management device | |
US20130136130A1 (en) | Relay server and relay communication system | |
JP2006344090A (en) | San disaster recovery system | |
KR102072135B1 (en) | System and method for setting detection of network function virtualization | |
KR100852192B1 (en) | Network management apparatus and method thereof, and recoing medium | |
JP5870804B2 (en) | Communication control system, communication control method, and communication control program |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20140827 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150409 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20150421 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20150618 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150908 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150930 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5819211 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |