WO2010082289A1 - Packet collection device, reproducing device, packet collection program, and recording medium - Google Patents

Packet collection device, reproducing device, packet collection program, and recording medium Download PDF

Info

Publication number
WO2010082289A1
WO2010082289A1 PCT/JP2009/050275 JP2009050275W WO2010082289A1 WO 2010082289 A1 WO2010082289 A1 WO 2010082289A1 JP 2009050275 W JP2009050275 W JP 2009050275W WO 2010082289 A1 WO2010082289 A1 WO 2010082289A1
Authority
WO
WIPO (PCT)
Prior art keywords
packet
data
hash
reproduction
packets
Prior art date
Application number
PCT/JP2009/050275
Other languages
French (fr)
Japanese (ja)
Inventor
樋口 毅
俊介 國分
Original Assignee
三菱電機株式会社
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 三菱電機株式会社 filed Critical 三菱電機株式会社
Priority to JP2010546475A priority Critical patent/JP5014492B2/en
Priority to PCT/JP2009/050275 priority patent/WO2010082289A1/en
Publication of WO2010082289A1 publication Critical patent/WO2010082289A1/en

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/161Implementation details of TCP/IP or UDP/IP stack architecture; Specification of modified or new header fields
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/16Implementation or adaptation of Internet protocol [IP], of transmission control protocol [TCP] or of user datagram protocol [UDP]
    • H04L69/166IP fragmentation; TCP segmentation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L69/00Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
    • H04L69/22Parsing or analysis of headers

Definitions

  • the present invention accumulates a request packet to a server and a response packet from the server, acquires the response packet by transmitting the accumulated request packet to the server and reproduces the operation, and acquires the acquired response packet and the accumulated response packet
  • the present invention relates to a packet collection device and an operation reproduction device that perform reproduction confirmation by comparing with.
  • a server function such as a Web server operates with a network input as a trigger. For this reason, the same phenomenon can be reproduced in the server function by acquiring the network packet information. For example, a reproduction test can be used when a failure of a server application occurs.
  • a large amount of network packet information is assumed, and in order to accumulate for a long time, it is important to reduce the amount of data. It is conceivable to reduce the amount of data in order to reduce the writing process to the disk, and it is conceivable to collect only request packets necessary for reproduction. However, when only request packets are collected, it may not be possible to determine whether or not a failure has been reproduced.
  • the request data when collecting packet information, the request data is stored as it is, but in the case of response data, the data portion is converted into a hash value, the size information of the original data is added, and the header information is changed to a new size.
  • the data portion is converted into a hash value, the size information of the original data is added, and the header information is changed to a new size.
  • the packet collection device of the present invention comprises: A plurality of packets that are transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and that requests predetermined processing from the server device.
  • a packet information collection unit that collects a request packet and a plurality of response packets that are transmitted from the server device and respond to the request packet from the network; For each response packet of the plurality of response packets collected by the packet information collection unit, the data portion is converted into a hash value using a predetermined hash function and the data length of the data portion before the hash value conversion
  • a hash conversion unit that converts each response packet into a hash conversion packet including the hash value and the additional data by adding data length information indicating
  • a packet storage unit that stores the plurality of request packets collected by the packet information collection unit and a plurality of the hash conversion packets converted from the response packets by the hash conversion unit in a storage device that stores information; It is characterized by having.
  • the response packet transmitted from the server device is:
  • the header portion has data length information indicating the entire data length of the header portion and the data portion
  • the packet collection device further includes: The plurality of request packets stored in the storage device are transmitted to the server device via the network, and the plurality of response packets transmitted from the server device are transmitted to the network by responding to the transmitted request packet.
  • a reproduction part that collects as a reproduction packet from Extracting and reproducing the reproduction packet and the hash conversion packet that share the request packet from the plurality of reproduction packets collected by the reproduction unit and the plurality of hash conversion packets stored in the storage device
  • the data size of the data portion of the reproduction packet is derived from the data length information of the reproduced packet, and the derived data size and the data size indicated by the additional data of the extracted hash conversion packet are the same If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet A check unit for checking whether or not the hash value is equal.
  • the hash conversion unit Determining whether the response packet collected by the packet information collection unit is based on a predetermined protocol, and converting only the response packet determined to be based on the predetermined protocol into the hash-converted packet, To do.
  • the hash conversion unit The response packet determined not to be the predetermined protocol is discarded.
  • the response packet transmitted from the server device is:
  • the header portion has data length information indicating the entire data length of the header portion and the data portion
  • the packet collection device further includes: A data length conversion unit that rewrites the data length information of the header portion of the hash conversion packet to the entire data length of the hash conversion packet is provided.
  • the reproduction apparatus of the present invention is A plurality of response packets transmitted from the server device by transmitting the plurality of request packets accumulated by the packet collection device to the server device via the network and responding to the transmitted request packets.
  • a data size of the data portion of the reproduction packet is derived from the data length information of the extracted reproduction packet, and the derived data size and a data size indicated by the additional data of the extracted hash conversion packet are: If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet are converted
  • a confirmation part that checks
  • the response packet transmitted from the server device is: In the case of a divided packet divided from the original packet, it has division information regarding the division in the header part, The confirmation unit When it is determined that the data size is not the same, it is determined whether the reproduction packet and the hash conversion packet are the divided packets, (1) If it is determined that both the reproduction packet and the hash conversion packet are the divided packets, the reproduction packet and the hash conversion having the same division source for each of the reproduction packet and the hash conversion packet All of the packets are identified based on the segmentation information of each of the header portions, the data portions of all of the identified replay packets are combined, and the combined data portions are identified and the corresponding hash transforms Re-divide according to the data size indicated by the additional data of the packet, convert each re-divided data portion into a hash value by the hash function, and the hash value of the hash conversion packet corresponding to the converted hash value And whether they are equal, (2) When it is determined that only the reproduction packet is the divided packet, all the reproduction packets having
  • the packet collection program of this invention On the computer, (1) The packet transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and requests the server device to perform predetermined processing. Collecting a plurality of request packets to be transmitted from the network and a plurality of response packets that are transmitted from the server device and respond to the request packet; (2) For each response packet of the collected response packets, the data portion is converted into a hash value using a predetermined hash function and data indicating the data length of the data portion before the hash value conversion A process of converting each response packet into a hash conversion packet including the hash value and the additional data by adding length information as additional data; (3) A process of storing the collected plurality of request packets and the plurality of hash converted packets converted from the response packets in a storage device that stores information; Is executed.
  • the packet collection device of the present invention it is possible to reduce the amount of data stored when storing packets used for confirmation of failure reproduction. Further, according to the packet collection device of the present invention, the accumulated packets can be analyzed using a packet capture tool or the like. Further, according to the packet collection device of the present invention, the data size of the accumulated response packet and the response packet at the time of reproduction can be matched with respect to the packet division.
  • FIG. 1 shows a configuration of an operation reproduction system 1000 according to the first embodiment.
  • the operation reproduction system 1000 includes an operation reproduction target server device 10 (hereinafter referred to as a target server) that is an operation reproduction target, a packet collection device 20 that collects packets and performs operation reproduction, a hub 30, a communication line 40, a plurality of It is comprised from the terminal device 50 (henceforth a terminal).
  • a target server an operation reproduction target server device 10
  • a packet collection device 20 that collects packets and performs operation reproduction
  • a hub 30, a communication line 40 a plurality of It is comprised from the terminal device 50 (henceforth a terminal).
  • the target server 10 is a server device that provides a service when performing business, and is, for example, a Web server or a DB server.
  • the packet collection device 20 communicates with the “request packet” transmitted to the target server 10 via the communication line 40 and the request packet from the target server 10 in order to reproduce the operation of the target server 10.
  • “Response packet information”, which is a result of response through the line 40, is collected and stored.
  • Each of the request packet and the response packet includes a header portion and a data portion.
  • the request packet and the response packet are, for example, a TCP (Transmission Control Protocol) packet, a UDP (User Datagram Protocol) packet, and an ICMP (Internet Control Message Protocol) packet.
  • TCP Transmission Control Protocol
  • UDP User Datagram Protocol
  • ICMP Internet Control Message Protocol
  • the operation reproduction system 1000 executes processing based on the header information of the header portion of these packets.
  • the packet collection device 20 performs operation reproduction on the target server 10 based on the accumulated packet information.
  • the packet collection device 20 performs packet collection and operation reproduction.
  • the packet collection function and the reproduction function are performed by separate devices. It may be realized.
  • the hub 30 is a hub of the communication line 40 to which the target server 10 and the packet collection device 20 are connected.
  • the hub 30 is a switching hub that holds a mirror port for collecting the network packet information of the target server 10 by the packet collection device 20 or a repeater hub that can acquire all network packet information.
  • the communication line 40 is a network that connects the target server 10 and the terminal 50 that requests a service to the target server 10.
  • the communication line 40 is, for example, an intranet, a LAN (Local Area Network), or the Internet.
  • the terminal 50 requests the target server 10 to provide a service and receives the result.
  • FIG. 2 is a diagram showing an outline of the operation of the operation reproduction system 1000.
  • Each terminal 50 transmits a plurality of request packets for requesting predetermined processing to the target server 10 via the communication line 40.
  • the request packet is indicated by a broken line.
  • the packet collection device 20 collects request packets from the hub 30.
  • the target server 10 receives the request packet, the target server 10 transmits a response packet to the terminal 50 via the communication line 40.
  • the response packet is indicated by a solid line.
  • the packet collection device 20 collects response packets from the hub 30.
  • FIG. 3 shows a response packet.
  • the configuration of the packet collection device 20 will be described with reference to FIGS. 1 and 3.
  • FIG. 3A shows the collected response packet 60.
  • FIG. 3B shows a packet 60a obtained by converting the data portion 62 of the collected response packet 60 into a hash value using a predetermined hash function.
  • FIG. 3C shows a TCP packet 80 as a specific example of the response packet 60 and corresponds to FIG.
  • FIG. 3D shows a TCP packet 80a after conversion in which the TCP data is converted into a hash value and the data length of the TCP data is added, and corresponds to FIG.
  • the packet 60a and the packet 80a are also referred to as a hash conversion packet 60a and a hash conversion packet 80a.
  • the packet information collection unit 21 collects the request packets transmitted from the terminal 50 to the target server 10 from the hub 30, and receives the response packets transmitted from the target server 10 as a response to the request packet. collect.
  • the response data hash value conversion unit 22 (hash conversion unit) converts the data portion of the response packet from the packets collected by the packet information collection unit 21 into a hash value, and converts the original packet into the hash value. Appends the data length. As shown in FIG.
  • the response data hash value conversion unit 22 converts the data portion 62 of the response packet 60 into a hash value 62a using a predetermined hash function, and converts the data length of the response packet 60 before conversion into this hash value.
  • Data length information 63a indicating the length (length of the data portion 62) is added.
  • FIGS. 3C and 3D show examples of TCP packets.
  • the TCP packet is composed of an IP header 81, a TCP header 82, and TCP data 83, as shown in FIG.
  • the response data hash value conversion unit 22 converts the portion of the TCP data 83 into the hash value 83a, and the data length information 84a indicating the data length of the TCP data 83 before conversion into the hash value 83a. It is added as additional information.
  • the data length conversion unit 23 converts the data length information 64 of the header portion 61a of the hash conversion packet 60a converted by the response data hash value conversion unit 22 into data length information 64a (header portion 61a + hash value 62a + after hash conversion). The data length information 63a) is changed.
  • the data length conversion unit 23 rewrites the packet length described in the IP header to “k bytes”, which is the data length of the entire packet after hash conversion shown in FIG. (4)
  • the packet storage unit 24 stores the request packet and the hash converted packet 60a after the hash conversion in the packet information storage unit 27.
  • the operation reproduction unit 25 (reproduction unit) transmits the request packet stored in the packet information storage unit 27 to the target server 10 and executes the operation reproduction.
  • the reproduction confirmation unit 26 (confirmation unit) compares the response packet 60 at the time of reproduction collected when the reproduction is performed by the operation reproduction unit 25 with the response packet (hash conversion packet) of the packet information storage unit 27. Check if it is reproduced correctly.
  • Packet information is stored in the packet information storage unit 27 by the packet storage unit 24.
  • the packet information storage unit 27 is realized as a storage device such as a disk.
  • FIG. 4 is a flowchart of an operation in which the packet collection device 20 collects request packets and response packets.
  • the process of collecting and storing packet information by the packet collection device 20 will be described with reference to FIG.
  • FIG. 4 for example, “(packet information collection unit 21)” in ST101 indicates that the packet information collection unit 21 processes ST101. The other steps are the same.
  • the packet information collection unit 21 collects a request packet to the target server 10 and a response packet from the target server 10 by using a mirror port of the hub 30 or using a promiscuous mode (ST101).
  • the response data hash value conversion unit 22 determines whether the collected packet is a request packet or a response packet. Whether the packet is a request packet or a response packet can be determined based on the network address information described in the header portion of the packet (ST102). If it is a request packet, the process proceeds to ST106, and if it is a response packet, the process proceeds to ST103. If the collected packet is a response packet, the response data hash value conversion unit 22 converts the data portion of the response packet into a hash value as described with reference to FIG. 3 (ST103).
  • the response data hash value conversion unit 22 adds data length information (additional data) indicating the original data length (data length of the data portion of the response packet before the hash value conversion) to the hash value (ST104). Further, the data length conversion unit 23 is a value of data length information indicating the data length of the entire response packet after hash conversion of the data length of the header portion with respect to the response packet hash-converted by the response data hash value conversion unit 22 (ST105).
  • the packet storage unit 24 stores the collected request packets and converted response packets in the packet information storage unit 27 in the pcap format generally used by the packet capture tool or the like (ST106).
  • FIG. 5 is a flowchart showing an operation reproduction process for the target server 10 by the packet collection device 20. The reproduction operation to be executed based on the accumulated packet information will be described with reference to FIG.
  • the operation reproduction unit 25 extracts a request packet to the target server 10 from the packet information stored in the packet information storage unit 27, and sends the request packet to the target server 10 (ST201).
  • the operation reproduction unit 25 collects and accumulates all request packets and response packets for the target server 10, including response packets (also referred to as reproduction packets) obtained from the target server 10 by sending the request packets (ST202).
  • the packet collection device 20 stores the collected response packet (reproduction packet) as it is without hashing.
  • the packet collected at the time of reproduction is stored in the packet information storage unit 27.
  • FIG. 6 is a flowchart showing the confirmation process of the reproduction operation by the packet collection device 20.
  • “at the time of operation” refers to the operation of FIG. 4, and “at the time of reproduction” refers to the operation of FIG.
  • the reproduction confirmation unit 26 reproduces and executes the packet information stored in the packet information storage unit 27 and the operation packet reproduction unit 25 at the time of reproduction, and collects the packet information to respond to the same request packet. Packets are extracted (ST301). Whether or not the response packets are the same request packet can be determined by referring to the information of the header portion of each response packet.
  • the reproduction confirmation unit 26 determines whether or not the response packet has the same size in “when operating” and “when reproduced”, and adds the data length information (additional) added to the “operating” response packet (hash conversion packet).
  • (Data) and data length information stored in the header portion of the response packet (reproduction packet) at the time of reproduction are compared (ST302). Note that the data length indicated by the additional data of the hash conversion packet is the data portion. Therefore, when the data length information of the header portion of the reproduction packet indicates the data length of the entire reproduction packet, the reproduction confirmation unit 26 derives the data size of the data portion of the reproduction packet from the data length information of the header portion of the reproduction packet. Then, it is determined whether the derived data size is the same as the data size indicated by the additional data of the hash conversion packet.
  • FIG. 3A corresponds to a reproduction packet that has not been subjected to hash conversion
  • FIG. 3B illustrates a hash conversion packet.
  • the header portion of the reproduction packet has data length information 64
  • the hash conversion packet has data length information 63a (additional data) indicating the data length before the hash conversion.
  • the reproduction confirmation unit 26 determines the reproduction packet and the hash conversion packet having the same request packet by comparing the data length information 64 of the reproduction packet and the data length information 63a of the hash conversion packet.
  • the process proceeds to ST303, and if the data length is different, the process proceeds to ST306. If the data lengths are the same, the reproduction confirmation unit 26 converts the data portion of the response packet (reproduction packet) at the time of reproduction into a hash value using a hash function used for the hash conversion packet (ST303). The reproduction confirmation unit 26 compares the hash value of the response packet (reproduction packet) with the hash value of the hash conversion packet (ST304). If they are the same value, the process proceeds to ST305, and if they are different, the process proceeds to ST308. If the values are the same, the reproduction confirmation unit 26 determines that the same phenomenon has occurred (ST305).
  • the reproduction confirmation unit 26 determines whether or not at least one of the reproduction packet and the hash conversion packet is a divided packet (divided packet). A check is made on the basis of division information that can identify the division according to the protocol, such as a flag, a sequence number, or an acknowledgment number (ST306). If the reproduction confirmation unit 26 determines that either the reproduction packet or the hash conversion packet is a divided packet, the process proceeds to ST307, and if it is a single packet, the process proceeds to ST308 (end).
  • the replay confirmation unit 26 determines all of the replay packets for the request packet and all of the hash conversion packets for the request packet. Extract. Specifically, there are the following three patterns of division. That is, (1) Divide both the replay packet and the hash conversion packet. (2) Divide only the replay packet, (3) Only the hash conversion packet is divided, There are three ways.
  • the reproduction confirmation unit 26 performs integration and re-division. That is, the reproduction confirmation unit 26 combines the data portions of all the reproduction packets and re-divides them according to the division size of the hash conversion packet using the data length information of the data portions stored as additional data (ST307). . For example, in the hash conversion packet, the data portion whose data length before division is “60” is divided into data lengths of “20” and “40” (from the additional data of each divided packet, “20” The data length of the reproduction packet is divided into “10”, “20”, and “30”.
  • the reproduction confirmation unit 26 integrates “10”, “20”, and “30” of each reproduction packet into “60”, and re-divides this data portion into “20” and “40”. . That is, when the reproduction confirmation unit 26 determines that both the reproduction packet and the hash conversion packet are divided packets, the reproduction packet and the hash conversion packet having the same division source for each of the reproduction packet and the hash conversion packet Are combined, and the data portions of all the specified replay packets are combined, and the combined data portions are subdivided according to the size of the data portion of the corresponding hash conversion packet that has been specified and repartitioned Each data portion is converted into a hash value by a hash function, and it is confirmed whether the converted hash value is equal to the hash value of the corresponding hash conversion packet.
  • the reproduction confirmation unit 26 performs only integration without re-dividing.
  • the data length stored as the additional data of the hash conversion packet is “60”, and the data length of each reproduction packet is “10”, “20”, “30”.
  • the reproduction confirmation unit 26 only integrates the data portion of each reproduction packet into “60”, and does not perform re-division. That is, when the reproduction confirmation unit 26 determines that only the reproduction packet is a divided packet, the reproduction confirmation unit 26 identifies all the reproduction packets having the same division source with respect to the reproduction packet, and combines the data portions of all the specified reproduction packets. The combined data portion is converted into a hash value by a hash function, and it is confirmed whether the converted hash value is equal to the hash value of the hash conversion packet.
  • the reproduction confirmation unit 26 executes only subdivision. For example, the data length stored as the additional data of each hash conversion packet is “20” and “40”, and the data length of the reproduction packet is “60”. In this case, the reproduction confirmation unit 26 only re-divides the data portion of the reproduction packet into “20” and “40”.
  • the reproduction confirmation unit 26 converts each re-divided data part into a hash value in the case of “(1)” and “(3)”, and in the case of “(2)”, the reproduction data part
  • the hash values corresponding to the reproduction packet and the hash conversion packet are compared with each other to confirm whether or not the values are the same.
  • the reproduction confirmation unit 26 determines that only the hash conversion packet is a divided packet
  • the reproduction confirmation unit 26 specifies all the hash conversion packets having the same division source for the hash conversion packet, specifies the data portion of the reproduction packet,
  • the data is divided in accordance with the size of the data part of the corresponding hash conversion packet, each divided data part is converted into a hash value by a hash function, and the converted hash value and the hash value of the corresponding hash conversion packet are obtained. Check for equality.
  • reproduction confirmation unit 26 determines that the same phenomenon has not been reproduced (ST308). .
  • FIG. 7 is a diagram for supplementarily explaining the operation of FIG. FIG. 7 shows the following situation. That is, in the case of TCP as a specific example, the transmission side determines and transmits a sequence number when establishing a connection. The receiving side returns a number obtained by adding 1 to the sequence number as an acknowledgment number. Therefore, when data is transmitted, information on sequence numbers and confirmation response numbers is used as initial information. The data transmitting side transmits data using the sequence number and the acknowledgment number set as the initial information. In the case of continuous transmission, the transmission side sets a number obtained by adding the transmitted data size to the sequence number, sets the same number as the confirmation response number, and transmits the next data.
  • the receiving side when the receiving side returns ACK, the receiving side sets the number stored in the acknowledgment number of the transmission data to the sequence number, and the acknowledgment number is assigned the number with the received data size. set.
  • the transmission side In the case of continuous data, the transmission side always has a common acknowledgment number and the receiving side has a common sequence number. Using this mechanism, it can be determined that the packet is a divided packet. By using the division information such as the sequence number and the confirmation response number as described above, the processing of ST306 and ST307 shown in FIG. 6 can be performed.
  • the packet collection device 20 adds the original size of the packet as additional data to the packet after hash conversion. For this reason, although the data contents are the same, even if the hash value is different due to a change in the packet segmentation result at the time of reproduction, it is possible to check the total size or use the data part at the time of reproduction. The data can be confirmed by regenerating the hash value divided into data of the same size as that at the time of collection.
  • FIG. 8 is a configuration diagram of the second embodiment.
  • a target server 110 corresponding to the target server 10 and a packet collection device 120 corresponding to the packet collection device 20 are arranged on the virtual computer.
  • the virtual switch 31 in FIG. 8 corresponds to the hub 30 in FIG.
  • Components similar to those in FIG. 1 are denoted by the same reference numerals, and detailed description thereof is omitted.
  • the packet information collection unit 21 can collect the request packet to the target server 110 and the response packet from the target server 110 in the promiscuous mode in the virtual switch 31. The operation is the same as in the first embodiment.
  • FIG. 9 shows a configuration in which the operation reproduction function (operation reproduction unit 25) and the reproduction confirmation function (reproduction confirmation unit 26) of the packet collection device 120 are separated from the packet collection device 120 as a reproduction device 220.
  • the packet collection device 120 collects and stores hash conversion packets that are request packets and response packets.
  • the reproduction device 220 acquires the request packet and the hash conversion packet stored in the packet collection device 120, and executes the operation reproduction and the reproduction confirmation described in the first embodiment.
  • the reproduction device 220 may acquire the request packet and the hash conversion packet online via the communication line 40, or may acquire it offline.
  • the collection and storage operations, and the reproduction and confirmation operations are the same as those in the first embodiment.
  • a hub with a mirror port or the like becomes unnecessary.
  • the amount of data required for storage is reduced, the amount of processing can be reduced with respect to the I / O processing function shared by other virtual machines deployed on the same physical computer. It is possible to collect information while minimizing the impact on the virtual machine.
  • Embodiment 3 FIG.
  • the third embodiment will be described with reference to FIGS.
  • the third embodiment corresponds to “packet collection / accumulation process: operation 1” described in FIG. 4 of the first embodiment.
  • the packet collection device 20 responds to a difference in response packet protocol.
  • the system configuration of the third embodiment is the same as that of the first or second embodiment. In the following description, description will be made assuming the configuration of FIG.
  • FIG. 10 is a processing flow of the packet collection device 20 according to the third embodiment. Step numbers identical to those in FIG. 4 are the same as the step operations in FIG. The operation of collecting and storing packets by the packet collection device 20 according to the third embodiment will be described with reference to FIG.
  • the packet information collection unit 21 collects a request packet to the target server 10 and a response packet from the target server 10 by using a mirror port of the hub 30 or using a promiscuous mode (ST101).
  • the response data hash value conversion unit 22 determines whether the collected packet is a request packet or a response packet. Whether the packet is a request packet or a response packet can be determined based on the network address information described in the header portion of the packet (ST102). If it is a request packet, the process proceeds to ST106, and if it is a response packet, the process proceeds to ST401.
  • the response data hash value conversion unit 22 checks whether the packet is a packet of any protocol of ICMP, TCP, or UDP (an example of a predetermined protocol) with reference to the header information (ST401). If the packet is an ICMP, TCP, or UDP protocol, the process proceeds to ST103. If it is any other packet, the process proceeds to ST101. When the process proceeds to ST101, the packet is not accumulated.
  • the response data hash value conversion unit 22 converts the data portion of the response packet into a hash value as described in FIG. 3 (ST103). Then, the response data hash value conversion unit 22 adds data length information (additional data) indicating the original data length (data length of the data portion of the response packet before the hash value conversion) to the hash value (ST104).
  • the data length conversion unit 23 changes the data length of the IP header portion of the packet to the data length of new data (the entire response packet in which the data portion is converted into a hash value and data length information is added) ( ST402).
  • the data length conversion unit 23 checks whether the packet is a UDP protocol packet with reference to the header portion (ST403). If it is a UDP packet, the process proceeds to ST404, and if it is an ICMP or TCP packet, the process proceeds to ST106.
  • FIG. 11 is a diagram showing a packet structure of the UDP packet 70.
  • FIG. 11A shows a UDP packet 70 which is a response packet.
  • FIG. 11B shows a hash conversion packet 70 a corresponding to the UDP packet 70.
  • the UDP packet 70 includes an IP header 71, a UDP header 72, and UDP data 73.
  • the data length conversion unit 23 changes the data length 75 included in the UDP header 72 to a new data length 75a (the total data length of the hash and additional data) (ST404).
  • the hash value 73a and the additional data 74a are information added and converted by the response data hash value conversion unit 22 in ST103 and ST104.
  • the packet storage unit 24 stores the collected request packet and the converted response packet in the packet information storage unit 27 in the pcap format generally used by the packet capture tool or the like (ST106).
  • the third embodiment it is determined whether or not response packets need to be collected, whether or not conversion to a hash value is performed, and whether or not the header information is changed. For this reason, unnecessary packets are deleted in advance in the confirmation process (“reproduction operation confirmation process: operation 3” in the first embodiment). For this reason, it is possible to further reduce the amount of data during storage. Further, by changing the change process for the header information of the packet for each protocol, the collected packet information (response packet) can be confirmed by a packet capture tool or the like.
  • FIG. 12 is a configuration diagram of the packet collection device 20 according to the fourth embodiment.
  • the packet collection device 20 further includes a packet temporary storage unit 400, a packet storage queue 431, and a packet storage queue 432.
  • the packet temporary storage unit 400 stores the collected packet information in the packet storage buffer 433.
  • the packet storage queue 431 is a queue for storing collected packets in the packet storage buffer 433 provided on the memory.
  • the packet accumulation queue 432 is a queue that accumulates buffers to be accumulated among the packet storage buffers 433 arranged on the memory.
  • the packet storage buffer 433 is a buffer indicating an area for temporarily storing the collected packet information on the memory.
  • FIG. 13 is a flowchart of the operation of the packet temporary storage unit 400 that temporarily stores packets in the memory during packet collection.
  • FIG. 14 is a flowchart showing the operation of the packet storage unit 24 that stores the packet information temporarily stored in the memory in the packet information storage unit 27.
  • the packet temporary accumulation unit 400 takes out the leading packet storage buffer 33 of the packet storage queue 431 (ST501). Packet temporary storage section 400 compares the size of the packet with the free capacity of packet storage buffer 433 (ST502). If the available capacity is larger than the accumulated packet size, the process proceeds to ST503, and if it is smaller, the process proceeds to ST504.
  • the packet temporary storage unit 400 stores the packet in the packet storage buffer 433 (ST503).
  • the free capacity of the packet storage buffer 33 is smaller than the packet size to be accumulated, the taken out packet storage buffer 433 is enqueued in the packet accumulation queue 432 (ST504).
  • the temporary packet storage section 400 takes out the packet storage buffer 433 that is newly at the head from the packet storage queue 431 (ST505).
  • the packet storage unit 24 checks whether or not the packet storage buffer 433 exists in the packet storage queue 432 (ST601). When it exists, it progresses to ST602, and when it does not exist, it progresses to ST601. When the packet storage buffer 433 exists in the packet accumulation queue 432, the packet accumulation unit 24 takes out the leading packet storage buffer 433 of the packet accumulation queue 432 (ST602). The packet storage unit 24 extracts the packet information stored in the extracted packet storage buffer 433, and performs compression (ST603). The packet accumulating unit 24 stores the compressed packet information in the packet information storage unit 27 (ST604).
  • the packet accumulating unit 24 erases the contents of the packet storage buffer 433 that are no longer necessary due to the storage (ST605). In order to make the erased packet storage buffer 433 available for accumulation at the time of collection, the packet accumulation unit 24 enqueues it in the packet storage queue 431 (ST606).
  • packet information is temporarily stored in a memory, and packet information collection and packet information accumulation can be performed in parallel. This makes it possible to collect and store packets without being affected by the time-consuming storage process with respect to the speed of collecting packet information on the network.
  • Embodiment 5 FIG. The fifth embodiment will be described with reference to FIGS. 15 and 16.
  • the fifth embodiment mainly shows a specific embodiment in which the packet collection device 20 or the reproduction device 220 is realized by a computer. Since the packet collection device 20 and the reproduction device 220 can be realized by a computer, the packet collection device 20 will be described.
  • FIG. 15 is a diagram illustrating an example of the external appearance of the packet collection device 20.
  • the packet collection device 20 includes a system unit 830, a display device 813 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 814 (Key / Board: K / B), and a mouse 815.
  • FDD 817 Flexible Disk Drive
  • CDD Compact Disk Drive
  • printer device 819 printer device 819, and the like, which are connected by cables and signal lines.
  • FIG. 16 is a diagram illustrating an example of hardware resources of the packet collection device 20 realized by a computer.
  • the packet collection device 20 includes a CPU 810 (Central Processing Unit) that executes a program.
  • the CPU 810 includes a ROM (Read Only Memory) 811, a RAM (Random Access Memory) 812, a display device 813, a keyboard 814, a mouse 815, a communication board 816, an FDD 817, a CDD 818, a printer device 819, and a magnetic disk device 820 via a bus 825. And control these hardware devices.
  • a storage device such as an optical disk device or a flash memory may be used.
  • the RAM 812 is an example of a volatile memory.
  • Storage media such as the ROM 811, the FDD 817, the CDD 818, and the magnetic disk device 820 are examples of nonvolatile memories. These are examples of a storage device or a storage unit, a storage unit, and a buffer.
  • the communication board 816, the keyboard 814, the FDD 817, and the like are examples of an input unit and an input device.
  • the communication board 816, the display device 813, the printer device 819, and the like are examples of an output unit and an output device.
  • the communication board 816 is connected to a network (such as a LAN).
  • the communication board 816 may be connected not only to the LAN but also to a WAN (wide area network) such as the Internet or ISDN.
  • the magnetic disk device 820 stores an operating system 821 (OS), a window system 822, a program group 823, and a file group 824.
  • the programs in the program group 823 are executed by the CPU 810, the operating system 821, and the window system 822.
  • the program group 823 stores a program for executing the function described as “unit” in the description of the above embodiment.
  • the program is read and executed by the CPU 810.
  • the file group 824 includes data described as “request packet” and “response packet” in the description of the above embodiment, “determination result”, “calculation result”, and “extraction result”.
  • the information described as “results of generation” and “processing results of”, data, signal values, variable values, parameters, and the like are stored as items of “ ⁇ file” and “ ⁇ database”.
  • the “ ⁇ file” and “ ⁇ database” are stored in a recording medium such as a disk or a memory.
  • Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 810 via a read / write circuit, and extracted, searched, referenced, compared, and calculated.
  • Used for CPU operations such as calculation, processing, output, printing, and display.
  • Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during CPU operations for extraction, search, reference, comparison, calculation, calculation, processing, output, printing, and display. Is remembered.
  • data and signal values are stored in the memory of the RAM 812, the flexible disk of the FDD 817, the compact disk of the CDD 818, the magnetic disk of the magnetic disk device 820, other optical disks, mini disks, and DVDs (Digital).
  • -It records on recording media, such as Versatile and Disk.
  • Data and signals are transmitted on-line via the bus 825, signal lines, cables, and other transmission media.
  • to part may be “to means”, “to circuit”, and “to device”, and “to step”, “to” It may be “procedure” or “processing”. That is, what has been described as “ ⁇ unit” may be realized by firmware stored in the ROM 811. Alternatively, it may be implemented only by software, only hardware such as elements, devices, substrates, wirings, etc., or a combination of software and hardware, and further a combination of firmware.
  • Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD.
  • the program is read by the CPU 810 and executed by the CPU 810. In other words, the program causes the computer to function as the “ ⁇ unit” described above. Alternatively, it causes a computer to execute the procedures and methods of “to part” described above.
  • the apparatus has been described as the packet collection apparatus 20 or the reproduction apparatus 220.
  • the operation of the packet collection apparatus 20 and the reproduction apparatus 220 is executed by a computer. It can also be understood as a packet collection program and an operation reproduction program. Alternatively, it can be grasped as a computer-readable recording medium on which a packet collection program and an operation reproduction program are recorded. Furthermore, it is possible to grasp the operation of the packet collection device 20 or the reproduction device 220 as a packet collection method performed by the packet collection device 20 and a reproduction method performed by the reproduction device 220.
  • Packet information collection means for collecting network packet information of the operation reproduction target server from the hub;
  • Response data hash value conversion means for converting the data part of the response packet output from the operation reproduction target server out of the collected network packet information into a hash value and adding data length information before the conversion to the data part;
  • data length conversion means for converting the data length information of the header portion of the packet into a value based on the data length of the hash value generated by the response data hash value conversion means;
  • the request packet to the operation reproduction target server is stored as it is, and the response packet from the operation reproduction target server is converted into a hash value by the response data hash value conversion means, and data length information is given, Packet storage means for storing packet information obtained by converting the data length of the header portion of the packet by the data length conversion means;
  • operation reproduction means for terminating the accumulation, transmitting the accumulated request packet to the operation reproduction target server, and executing the operation reproduction;
  • the packet collection device includes packet information collection means for collecting network packet information of the target server from the virtual switch. With this configuration, it is possible to operate the target server and the packet collection device in the virtual machine environment.
  • the packet collection device includes data length conversion means for changing the data length information of the IP header portion of the packet when the response packet is a TCP packet. For this reason, confirmation by the packet capture function is possible by changing the data length information of the IP header portion.
  • the packet collection device of the third embodiment described above is When the response packet is a UDP packet, there is provided data length conversion means for changing the data length information of the IP header portion of the packet and the data length information of the UDP header portion. For this reason, confirmation by the packet capture function is possible by changing the data length information.
  • the packet collection device of the third embodiment described above is If the response packet is an ICMP packet, response data hash value conversion means is provided that does not perform hash value conversion. For this reason, the packet at the time of reproduction can be used in life and death confirmation and time stamp information.
  • the packet collection device includes response data hash value conversion means for discarding the collected response packet when the response packet is a protocol other than TCP, UDP, or ICMP. For this reason, packet information that is not necessary for operation confirmation is not accumulated, so that the amount of information written to the disk can be reduced.
  • the packet collection device of the fourth embodiment described above is A plurality of packet storage buffers for temporarily storing collected packets; A packet storage buffer queue that holds a list of available packet storage buffers for temporary storage in memory; A packet storage buffer queue that holds a list of packet storage buffers that are to be written to the disk because the area of the temporarily stored packet storage buffer is full is provided.
  • the packet temporary storage means is a packet storage buffer in which each packet information collected by the packet information collection means and converted by the response data hash value conversion means and the data length conversion means is stored at the head of the packet storage buffer queue.
  • the packet collection device 20 can absorb the difference between the packet collection rate and the packet accumulation rate.
  • the packet collection device 20 includes packet storage means for compressing and writing to the disk when packet information stored in the packet storage buffer is written to the disk. As a result, the amount of information written to the disk can be reduced.
  • FIG. 1 is a configuration diagram of an operation reproduction system 1000 according to Embodiment 1.
  • FIG. FIG. 2 is a diagram showing an outline of the operation of the operation reproduction system 1000 according to the first embodiment.
  • FIG. 3 shows a data format of a response packet according to the first embodiment.
  • 6 is a flowchart of a packet collection operation of the packet collection device 20 according to the first embodiment.
  • 5 is a flowchart showing operation reproduction processing by the packet collection device 20 according to the first embodiment.
  • 6 is a flowchart showing a confirmation process of a reproduction operation by the packet collection device 20 according to the first embodiment.
  • the figure explaining supplementary FIG. FIG. 3 is a configuration diagram of a virtual computer according to a second embodiment. The figure which shows the structure which isolate
  • FIG. 9 is a processing flow of the packet collection device 20 according to the third embodiment.
  • FIG. 10 is a diagram illustrating a packet structure of a UDP packet 70 according to the third embodiment.
  • FIG. 6 is a configuration diagram of a packet collection device 20 according to a fourth embodiment.
  • 10 is a flowchart of the operation of the temporary packet storage unit 400 according to the fourth embodiment.
  • 10 is a flowchart of the operation of the packet storage unit 24 according to the fourth embodiment.
  • FIG. 7 is a diagram illustrating an appearance of a packet collection device 20 according to a fifth embodiment. The figure which shows the hardware resource of the packet collection apparatus 20 of Embodiment 5.
  • FIG. 10 is a diagram illustrating a packet structure of a UDP packet 70 according to the third embodiment.
  • FIG. 6 is a configuration diagram of a packet collection device 20 according to a fourth embodiment.
  • 10 is a flowchart of the operation of the temporary packet storage unit 400 according to the fourth embodiment.
  • 10 is a flowchart of
  • 10 target server 20 packet collection device, 21 packet information collection unit, 22 response data hash value conversion unit, 23 data length conversion unit, 24 packet accumulation unit, 25 operation reproduction unit, 26 reproduction confirmation unit, 27 packet information storage unit, 30 hub, 31 virtual switch, 40 communication line, 50 terminal, 60 response packet, 61, 61a header part, 62 data part, 62a hash value, 63a data length information, 64, 64a data length information, 65 flag, 70 UDP packet , 100 physical computer, 110 target server, 120 packet collection device, 220 reproduction device, 400 packet temporary storage unit, 431 packet storage queue, 432 packet storage queue, 1000 operation reproduction system.

Abstract

Disclosed is a packet collection device for storing the request packets to a server and the response packets from the server, and transmitting a stored request packet to the server to acquire a response packet (reproduced packet), and comparing the acquired response packet (reproduced packet) with the stored response packets (stored packets) to detect an abnormality. The packet collection device converts data portions (62) into hash values (62a) for the respective response packets (60) of a plurality of collected response packets and converts the respective response packets (60) into hash converted packets (60a) including the hash values (62a) and data length information (63a) by adding the data length information (63a) indicating the total data length of header portions (61) and the data portions (62) before the conversion into the hash values as additional data. The packet collection device stores the hash converted packets (60a) converted from the response packets (60).

Description

パケット収集装置及び再現装置及びパケット収集プログラム及び記録媒体Packet collection device, reproduction device, packet collection program, and recording medium
 この発明は、サーバへの要求パケットとサーバからの応答パケットを蓄積し、蓄積した要求パケットをサーバに送信して動作を再現させることにより応答パケットを取得し、取得した応答パケットと蓄積した応答パケットとを比較して再現確認を行うパケット収集装置、動作再現装置に関する。 The present invention accumulates a request packet to a server and a response packet from the server, acquires the response packet by transmitting the accumulated request packet to the server and reproduces the operation, and acquires the acquired response packet and the accumulated response packet The present invention relates to a packet collection device and an operation reproduction device that perform reproduction confirmation by comparing with.
 通常、Webサーバなどのサーバ機能は、ネットワークの入力がトリガとなり動作する。このため、ネットワークパケット情報を取得することで、サーバ機能に同じ現象を再現させることができる。例えばサーバアプリケーションの障害が発生した場合に、再現試験を利用できる。ただし、ネットワークパケット情報は大量であることが想定され、長時間蓄積するためには、データ量の削減を実現することが重要である。ディスクへの書き込み処理を減らすためにデータ量を削減することが考えられ、再現に必要な要求パケットのみを収集することが考えられる。しかし、要求パケットのみを収集した場合には、障害が再現しているか否かを判断することが出来ないケースがある。例えば、クライアントの画面でしかわからないようなケースでは、再現時に該当クライアントからリクエストを出して受ける必要があるが、実際には様々なクライアントからリクエストが来ているため、それを模擬することはできない。上記の課題を解決するためには応答パケットの比較を実施する必要があり、応答パケットの収集もあわせて実施しておくことが必要となる。単に応答パケットも収集した場合、HTTPなどのようにリクエストのデータ量は少ないがその結果得られるデータは画像データの場合など大量になるケースが発生し、再現に不要なデータが多量に集まり、そのデータを保持するためのオーバヘッドが大きくなる。
 この課題を解決するために、特許文献1に示されたように応答データに関してパケットのデータ部分をハッシュ値に変換する方式があげられる。
特開2003-264593号公報 Normally, a server function such as a Web server operates with a network input as a trigger. For this reason, the same phenomenon can be reproduced in the server function by acquiring the network packet information. For example, a reproduction test can be used when a failure of a server application occurs. However, a large amount of network packet information is assumed, and in order to accumulate for a long time, it is important to reduce the amount of data. It is conceivable to reduce the amount of data in order to reduce the writing process to the disk, and it is conceivable to collect only request packets necessary for reproduction. However, when only request packets are collected, it may not be possible to determine whether or not a failure has been reproduced. For example, in a case where only the client screen can be understood, it is necessary to issue a request from the client at the time of reproduction. However, since requests are actually received from various clients, it cannot be simulated. In order to solve the above problems, it is necessary to compare response packets, and it is also necessary to collect response packets. If response packets are also collected, the amount of request data is small, such as HTTP, but the resulting data may be large, such as in the case of image data, and a large amount of data unnecessary for reproduction gathers. The overhead for holding data increases.
In order to solve this problem, a method of converting the data portion of the packet with respect to the response data into a hash value as disclosed in Patent Document 1 can be cited.
JP 2003-264593 A
 特許文献1に示されたパケットのデータ部をハッシュ値に変換しただけでは、障害再現確認時に得た情報と比べて確認を行う際に、パケットキャプチャツール等を利用して解析することができなくなってしまう。また、パケットのデータは複数に分割される場合があり、情報収集時と障害再現時にデータは同じであるにもかかわらずネットワーク環境の違い等により、分割されたサイズが異なってしまう可能性があり、その結果、再現時に生成されたハッシュ値と収集時に生成したハッシュ値が異なってしまい、確認ができなくなってしまうなどの課題がある。 By simply converting the data part of the packet shown in Patent Document 1 into a hash value, it is not possible to analyze using a packet capture tool or the like when performing confirmation compared to information obtained at the time of failure reproduction confirmation End up. In addition, packet data may be divided into multiple pieces, and the size may be different due to differences in network environment, etc. even though the data is the same when collecting information and reproducing a failure. As a result, there is a problem that the hash value generated at the time of reproduction and the hash value generated at the time of collection differ from each other, making it impossible to confirm.
 この発明は、パケット情報を収集する際、要求データはそのまま保存するが、応答データの場合にはデータ部分をハッシュ値に変換すると共に、元のデータのサイズ情報を追加し、ヘッダ情報を新しいサイズ情報に変換することにより、障害再現の確認に利用可能でありながら、保存するデータ量の削減を可能とすることを目的とする。 In the present invention, when collecting packet information, the request data is stored as it is, but in the case of response data, the data portion is converted into a hash value, the size information of the original data is added, and the header information is changed to a new size. By converting the information, it is possible to reduce the amount of data to be saved while being usable for confirmation of failure reproduction.
 この発明のパケット収集装置は、
 ヘッダ部分とデータ部分とを含むパケットをネットワークを介して端末装置とやり取りする特定のサーバ装置に対して前記端末装置から送信された前記パケットであって前記サーバ装置に所定の処理を要求する複数の要求パケットと、前記サーバ装置から送信された前記パケットであって前記要求パケットに応答する複数の応答パケットとを、前記ネットワークから収集するパケット情報収集部と、
 前記パケット情報収集部により収集された前記複数の応答パケットの各応答パケットに対して、前記データ部分を所定のハッシュ関数を用いてハッシュ値に変換すると共にハッシュ値変換前の前記データ部分のデータ長を示すデータ長情報を付加データとして付加することにより前記各応答パケットを前記ハッシュ値と前記付加データとを含むハッシュ変換パケットに変換するハッシュ変換部と、
 前記パケット情報収集部により収集された前記複数の要求パケットと、前記ハッシュ変換部により各応答パケットから変換された複数の前記ハッシュ変換パケットとを情報を記憶する記憶装置に蓄積するパケット蓄積部と
を備えたことを特徴とする。 The packet collection device of the present invention comprises:
A plurality of packets that are transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and that requests predetermined processing from the server device. A packet information collection unit that collects a request packet and a plurality of response packets that are transmitted from the server device and respond to the request packet from the network;
For each response packet of the plurality of response packets collected by the packet information collection unit, the data portion is converted into a hash value using a predetermined hash function and the data length of the data portion before the hash value conversion A hash conversion unit that converts each response packet into a hash conversion packet including the hash value and the additional data by adding data length information indicating
A packet storage unit that stores the plurality of request packets collected by the packet information collection unit and a plurality of the hash conversion packets converted from the response packets by the hash conversion unit in a storage device that stores information; It is characterized by having.
 前記サーバ装置から送信される前記応答パケットは、
 前記ヘッダ部分に前記ヘッダ部分と前記データ部分との全体のデータ長を示すデータ長情報を有し、
 前記パケット収集装置は、さらに、
 前記記憶装置に蓄積された前記複数の要求パケットを前記ネットワークを介して前記サーバ装置に送信し、送信された前記要求パケットに応答することによって前記サーバ装置から送信された複数の応答パケットを前記ネットワークから再現パケットとして収集する再現部と、
 前記再現部によって収集された複数の前記再現パケットと、前記記憶装置に蓄積された前記複数のハッシュ変換パケットとのなかから要求パケットを同じくする前記再現パケットと前記ハッシュ変換パケットとを抽出し、抽出された前記再現パケットの前記データ長情報から前記再現パケットの前記データ部分のデータサイズを導出し、導出された前記データサイズと抽出された前記ハッシュ変換パケットの前記付加データの示すデータサイズとが同じかどうかを判定し、データサイズが同じであると判定すると前記再現パケットのデータ部分を前記ハッシュ関数を用いてハッシュ値に変換し、変換された前記再現パケットの前記ハッシュ値と前記ハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する確認部と
を備えたことを特徴とする。 The response packet transmitted from the server device is:
The header portion has data length information indicating the entire data length of the header portion and the data portion,
The packet collection device further includes:
The plurality of request packets stored in the storage device are transmitted to the server device via the network, and the plurality of response packets transmitted from the server device are transmitted to the network by responding to the transmitted request packet. A reproduction part that collects as a reproduction packet from
Extracting and reproducing the reproduction packet and the hash conversion packet that share the request packet from the plurality of reproduction packets collected by the reproduction unit and the plurality of hash conversion packets stored in the storage device The data size of the data portion of the reproduction packet is derived from the data length information of the reproduced packet, and the derived data size and the data size indicated by the additional data of the extracted hash conversion packet are the same If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet A check unit for checking whether or not the hash value is equal. To.
 前記ハッシュ変換部は、
 前記パケット情報収集部により収集された前記応答パケットが所定のプロトコルに基づくかどうかを判定し、前記所定のプロトコルに基づくと判定された前記応答パケットのみを前記ハッシュ変換パケットに変換することを特徴とする。 The hash conversion unit
Determining whether the response packet collected by the packet information collection unit is based on a predetermined protocol, and converting only the response packet determined to be based on the predetermined protocol into the hash-converted packet, To do.
 前記ハッシュ変換部は、
 前記所定のプロトコルではないと判定された前記応答パケットを破棄することを特徴とする。 The hash conversion unit
The response packet determined not to be the predetermined protocol is discarded.
 前記サーバ装置から送信される前記応答パケットは、
 前記ヘッダ部分に前記ヘッダ部分と前記データ部分との全体のデータ長を示すデータ長情報を有し、
 前記パケット収集装置は、さらに、
 前記ハッシュ変換パケットの前記ヘッダ部分の前記データ長情報を、前記ハッシュ変換パケットの全体のデータ長に書き換えるデータ長変換部
を備えたことを特徴とする。 The response packet transmitted from the server device is:
The header portion has data length information indicating the entire data length of the header portion and the data portion,
The packet collection device further includes:
A data length conversion unit that rewrites the data length information of the header portion of the hash conversion packet to the entire data length of the hash conversion packet is provided.
 この発明の再現装置は、
 前記パケット収集装置によって蓄積された前記複数の要求パケットを前記ネットワークを介して前記サーバ装置に送信し、送信された前記要求パケットに応答することによって前記サーバ装置から送信された複数の応答パケットであってヘッダ部分に前記ヘッダ部分とデータ部分との全体のデータ長を示すデータ長情報を有する複数の応答パケットを前記ネットワークから再現パケットとして収集する再現部と、
 前記再現部によって収集された前記複数の再現パケットと、前記パケット収集装置によって蓄積された前記複数のハッシュ変換パケットとのなかから要求パケットを同じくする前記再現パケットと前記ハッシュ変換パケットとを抽出し、抽出された前記再現パケットの前記データ長情報から前記再現パケットの前記データ部分のデータサイズを導出し、導出された前記データサイズと抽出された前記ハッシュ変換パケットの前記付加データの示すデータサイズとが同じかどうかを判定し、データサイズが同じであると判定すると前記再現パケットのデータ部分を前記ハッシュ関数を用いてハッシュ値に変換し、変換された前記再現パケットの前記ハッシュ値と前記ハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する確認部と
を備えたことを特徴とする。 The reproduction apparatus of the present invention is
A plurality of response packets transmitted from the server device by transmitting the plurality of request packets accumulated by the packet collection device to the server device via the network and responding to the transmitted request packets. A reproduction unit for collecting a plurality of response packets having data length information indicating the entire data length of the header part and the data part in the header part as a reproduction packet from the network;
Extracting the reproduction packet and the hash conversion packet that share the request packet from the plurality of reproduction packets collected by the reproduction unit and the plurality of hash conversion packets accumulated by the packet collection device, A data size of the data portion of the reproduction packet is derived from the data length information of the extracted reproduction packet, and the derived data size and a data size indicated by the additional data of the extracted hash conversion packet are: If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet are converted A confirmation part that checks whether the hash value of And said that there were pictures.
 前記サーバ装置から送信される前記応答パケットは、
 元となるパケットから分割された分割パケットである場合には、分割に関する分割情報を前記ヘッダ部分に有し、
 前記確認部は、
 データサイズが同じではないと判定すると前記再現パケットと前記ハッシュ変換パケットとが前記分割パケットかどうかを判定し、
(1)前記再現パケットと前記ハッシュ変換パケットとのいずれも前記分割パケットであると判定すると、前記再現パケットと前記ハッシュ変換パケットとのそれぞれについて分割元を同じくするそれぞれの前記再現パケットと前記ハッシュ変換パケットとをそれぞれの前記ヘッダ部分の前記分割情報に基づきすべて特定し、特定されたすべての前記再現パケットのデータ部分を結合し、結合されたデータ部分を、特定され、かつ、対応する前記ハッシュ変換パケットの前記付加データの示すデータサーズに合わせて再分割し、再分割された各データ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応する前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認し、
(2)前記再現パケットのみが前記分割パケットであると判定すると、前記再現パケットについて分割元を同じくするそれぞれの前記再現パケットを前記再現パケットの前記ヘッダ部分の前記分割情報に基づきすべて特定し、特定されたすべての前記再現パケットのデータ部分を結合し、結合されたデータ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認し、
(3)前記ハッシュ変換パケットのみが前記分割パケットであると判定すると、前記ハッシュ変換パケットについて分割元を同じくするそれぞれの前記ハッシュ変換パケットを前記ハッシュ変換パケットの前記ヘッダ部分の前記分割情報に基づきすべて特定し、前記再現パケットの前記データ部分を、特定され、かつ、対応する前記ハッシュ変換パケットの前記付加データの示すデータサーズに合わせて分割し、分割された各データ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応する前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認する
ことを特徴とする。 The response packet transmitted from the server device is:
In the case of a divided packet divided from the original packet, it has division information regarding the division in the header part,
The confirmation unit
When it is determined that the data size is not the same, it is determined whether the reproduction packet and the hash conversion packet are the divided packets,
(1) If it is determined that both the reproduction packet and the hash conversion packet are the divided packets, the reproduction packet and the hash conversion having the same division source for each of the reproduction packet and the hash conversion packet All of the packets are identified based on the segmentation information of each of the header portions, the data portions of all of the identified replay packets are combined, and the combined data portions are identified and the corresponding hash transforms Re-divide according to the data size indicated by the additional data of the packet, convert each re-divided data portion into a hash value by the hash function, and the hash value of the hash conversion packet corresponding to the converted hash value And whether they are equal,
(2) When it is determined that only the reproduction packet is the divided packet, all the reproduction packets having the same division source as the reproduction packet are specified based on the division information in the header portion of the reproduction packet, and specified. Combining the data portions of all the reproduced packets that have been combined, converting the combined data portions into hash values by the hash function, and determining whether the converted hash value and the hash value of the hash-converted packet are equal Confirmed,
(3) When it is determined that only the hash conversion packet is the divided packet, all the hash conversion packets having the same division source with respect to the hash conversion packet are all based on the division information of the header portion of the hash conversion packet. Identify and divide the data portion of the reproduction packet according to the data size specified and indicated by the additional data of the corresponding hash conversion packet, and use the hash function to hash each divided data portion. And whether or not the converted hash value is equal to the hash value of the corresponding hash converted packet.
 この発明のパケット収集プログラムは、
 コンピュータに、
(1)ヘッダ部分とデータ部分とを含むパケットをネットワークを介して端末装置とやり取りする特定のサーバ装置に対して前記端末装置から送信された前記パケットであって前記サーバ装置に所定の処理を要求する複数の要求パケットと、前記サーバ装置から送信された前記パケットであって前記要求パケットに応答する複数の応答パケットとを、前記ネットワークから収集する処理、
(2)収集された前記複数の応答パケットの各応答パケットに対して、前記データ部分を所定のハッシュ関数を用いてハッシュ値に変換すると共にハッシュ値変換前の前記データ部分のデータ長を示すデータ長情報を付加データとして付加することにより前記各応答パケットを前記ハッシュ値と前記付加データとを含むハッシュ変換パケットに変換する処理、
(3)収集された前記複数の要求パケットと、各応答パケットから変換された複数の前記ハッシュ変換パケットとを情報を記憶する記憶装置に蓄積する処理、
を実行させることを特徴とする。 The packet collection program of this invention
On the computer,
(1) The packet transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and requests the server device to perform predetermined processing. Collecting a plurality of request packets to be transmitted from the network and a plurality of response packets that are transmitted from the server device and respond to the request packet;
(2) For each response packet of the collected response packets, the data portion is converted into a hash value using a predetermined hash function and data indicating the data length of the data portion before the hash value conversion A process of converting each response packet into a hash conversion packet including the hash value and the additional data by adding length information as additional data;
(3) A process of storing the collected plurality of request packets and the plurality of hash converted packets converted from the response packets in a storage device that stores information;
Is executed.
 この発明のパケット収集装置によれば、障害再現の確認に利用するパケットを保存するに際して、保存されるデータ量の削減が可能である。また、この発明のパケット収集装置によれば、蓄積されたパケットをパケットキャプチャツール等を利用して解析することができる。また、この発明のパケット収集装置によれば、パケットの分割に関して、蓄積された応答パケットと再現時の応答パケットとのデータサイズを合わせることができる。 According to the packet collection device of the present invention, it is possible to reduce the amount of data stored when storing packets used for confirmation of failure reproduction. Further, according to the packet collection device of the present invention, the accumulated packets can be analyzed using a packet capture tool or the like. Further, according to the packet collection device of the present invention, the data size of the accumulated response packet and the response packet at the time of reproduction can be matched with respect to the packet division.
 実施の形態1.
(システム構成)
 図1は、実施の形態1の動作再現システム1000の構成である。動作再現システム1000は、動作再現の対象である動作再現対象サーバ装置10(以下、対象サーバという)、パケットを収集して動作再現を実行するパケット収集装置20、ハブ30、通信回線40、複数の端末装置50(以下、端末という)から構成される。 Embodiment 1 FIG.
(System configuration)
FIG. 1 shows a configuration of an operation reproduction system 1000 according to the first embodiment. The operation reproduction system 1000 includes an operation reproduction target server device 10 (hereinafter referred to as a target server) that is an operation reproduction target, a packet collection device 20 that collects packets and performs operation reproduction, a hub 30, a communication line 40, a plurality of It is comprised from the terminal device 50 (henceforth a terminal).
(1)対象サーバ10は、業務を実施するにあたりサービスを提供するサーバ装置であり、例えば、WebサーバやDBサーバなどである。
(2)パケット収集装置20は、対象サーバ10の動作を再現させるため、対象サーバ10に対して通信回線40を介して送信されてくる「要求パケット」ならびに対象サーバ10から要求パケットに対して通信回線40を介して応答した結果である「応答パケット情報」を収集して蓄積する。要求パケット、応答パケットは、いずれもヘッダ部分とデータ部分とから構成される。要求パケット、応答パケットとしては、例えば、TCP(Transmission Control Protocol)パケット、UDP(User Datagram Protocol)パケット、ICMP(Internet Control Message Protocol)パケットである。動作再現システム1000は、これらのパケットのヘッダ部分のヘッダ情報に基づき、処理を実行する。パケット収集装置20は、蓄積したパケット情報をもとに、対象サーバ10に対して動作再現を実行する。実施の形態1の図1では、パケット収集装置20がパケットの収集と動作再現とを実行するが、実施の形態1の最後で説明するように、パケット収集機能と再現機能とを別々の装置で実現してもよい。
(3)ハブ30は、対象サーバ10、パケット収集装置20が接続されている通信回線40のハブである。ハブ30は、パケット収集装置20によって対象サーバ10のネットワークパケット情報を収集するためのミラーポートを保持したスイッチングハブやすべてのネットワークパケット情報を取得可能なリピーターハブである。パケット収集装置20によって対象サーバ10のネットワークパケット情報を収集することが出来る機器であれば、ミラーポートを保持したスイッチングハブやリピーターハブに限らない。
(4)通信回線40は、対象サーバ10に対してサービスを要求する端末50と対象サーバ10とを接続するネットワークである。通信回線40、例えばイントラネット、LAN(Local Area Network)、インターネットである。
(5)端末50は、対象サーバ10に対してサービス提供を要求し、その結果を受信する。 (1) The target server 10 is a server device that provides a service when performing business, and is, for example, a Web server or a DB server.
(2) The packet collection device 20 communicates with the “request packet” transmitted to the target server 10 via the communication line 40 and the request packet from the target server 10 in order to reproduce the operation of the target server 10. “Response packet information”, which is a result of response through the line 40, is collected and stored. Each of the request packet and the response packet includes a header portion and a data portion. The request packet and the response packet are, for example, a TCP (Transmission Control Protocol) packet, a UDP (User Datagram Protocol) packet, and an ICMP (Internet Control Message Protocol) packet. The operation reproduction system 1000 executes processing based on the header information of the header portion of these packets. The packet collection device 20 performs operation reproduction on the target server 10 based on the accumulated packet information. In FIG. 1 of the first embodiment, the packet collection device 20 performs packet collection and operation reproduction. However, as will be described at the end of the first embodiment, the packet collection function and the reproduction function are performed by separate devices. It may be realized.
(3) The hub 30 is a hub of the communication line 40 to which the target server 10 and the packet collection device 20 are connected. The hub 30 is a switching hub that holds a mirror port for collecting the network packet information of the target server 10 by the packet collection device 20 or a repeater hub that can acquire all network packet information. Any device capable of collecting the network packet information of the target server 10 by the packet collection device 20 is not limited to a switching hub or a repeater hub having a mirror port.
(4) The communication line 40 is a network that connects the target server 10 and the terminal 50 that requests a service to the target server 10. The communication line 40 is, for example, an intranet, a LAN (Local Area Network), or the Internet.
(5) The terminal 50 requests the target server 10 to provide a service and receives the result.
(動作概要)
 図2は、動作再現システム1000の動作概要を示す図である。それぞれの端末50は、通信回線40を介して対象サーバ10に所定の処理を要求する複数の要求パケットを送信する。図2では要求パケットを破線で示している。パケット収集装置20は、ハブ30から要求パケットを収集する。対象サーバ10は要求パケットを受信すると、通信回線40を介して応答パケットを端末50に送信する。図では応答パケットを実線で示している。パケット収集装置20は、ハブ30から応答パケットを収集する。 (Overview of operation)
FIG. 2 is a diagram showing an outline of the operation of the operation reproduction system 1000. Each terminal 50 transmits a plurality of request packets for requesting predetermined processing to the target server 10 via the communication line 40. In FIG. 2, the request packet is indicated by a broken line. The packet collection device 20 collects request packets from the hub 30. When the target server 10 receives the request packet, the target server 10 transmits a response packet to the terminal 50 via the communication line 40. In the figure, the response packet is indicated by a solid line. The packet collection device 20 collects response packets from the hub 30.
(パケット収集装置20)
 図3は応答パケットを示す図である。図1、図3を参照して、パケット収集装置20の構成を説明する。
 図3(a)は収集された応答パケット60を示す。
 図3(b)は、収集された応答パケット60のデータ部分62を所定のハッシュ関数でハッシュ値に変換したパケット60aを示している。
 図3(c)は、応答パケット60の具体例としてTCPパケット80を示しており図3(a)に対応する。
 図3(d)は、TCPデータがハッシュ値に変換されると共にTCPデータのデータ長が付加された変換後のTCPパケット80aを示しており、図3(b)に対応する。
 パケット60a,パケット80aを以下ではハッシュ変換パケット60a,ハッシュ変換パケット80aともいう。
(1)パケット情報収集部21は、ハブ30から、対象サーバ10に対して端末50から送信された要求パケットを収集し、また、要求パケットへの応答として対象サーバ10から送信された応答パケットを収集する。
(2)応答データハッシュ値変換部22(ハッシュ変換部)は、パケット情報収集部21によって収集されたパケットの中から応答パケットのデータ部分をハッシュ値に変換すると共に、ハッシュ値に元のパケットのデータ長を付加する。図3に示すように、応答データハッシュ値変換部22は、応答パケット60のデータ部分62を所定のハッシュ関数によりハッシュ値62aに変換し、このハッシュ値に変換前の応答パケット60のデータの長さ(データ部分62の長さ)を示すデータ長情報63aを付加する。図3(c)、(d)はTCPパケットの例を示している。TCPパケットは図3(c)のように、IPヘッダ81、TCPヘッダ82、TCPデータ83から構成されている。TCPパケットの場合には、応答データハッシュ値変換部22は、TCPデータ83の部分をハッシュ値83aに変換すると共に、ハッシュ値83aに変換前のTCPデータ83のデータ長を示すデータ長情報84aを付加情報として付加する。
(3)データ長変換部23は、応答データハッシュ値変換部22によって変換されたハッシュ変換パケット60aのヘッダ部分61aのデータ長情報64をハッシュ変換後のデータ長情報64a(ヘッダ部分61a+ハッシュ値62a+データ長情報63a)に変更する。TCPパケットの場合には、データ長変換部23は、IPヘッダに記載されているパケット長を、図3(d)に示すハッシュ変換後のパケット全体のデータ長である「kバイト」に書き換える。
(4)パケット蓄積部24は、要求パケットとハッシュ変換後のハッシュ変換パケット60aをパケット情報格納部27に格納する。
(5)動作再現部25(再現部)は、パケット情報格納部27に格納された要求パケットを対象サーバ10に対して送信し、動作再現を実行する。
(6)再現確認部26(確認部)は、動作再現部25によって再現を実施した際に収集した再現時の応答パケット60とパケット情報格納部27の応答パケット(ハッシュ変換パケット)とを比較し、正しく再現されているか否かを確認する。
(7)パケット情報格納部27には、パケット蓄積部24によってパケット情報が格納される。パケット情報格納部27は、ディスクなどの記憶装置として実現される。 (Packet collection device 20)
FIG. 3 shows a response packet. The configuration of the packet collection device 20 will be described with reference to FIGS. 1 and 3.
FIG. 3A shows the collected response packet 60.
FIG. 3B shows a packet 60a obtained by converting the data portion 62 of the collected response packet 60 into a hash value using a predetermined hash function.
FIG. 3C shows a TCP packet 80 as a specific example of the response packet 60 and corresponds to FIG.
FIG. 3D shows a TCP packet 80a after conversion in which the TCP data is converted into a hash value and the data length of the TCP data is added, and corresponds to FIG.
Hereinafter, the packet 60a and the packet 80a are also referred to as a hash conversion packet 60a and a hash conversion packet 80a.
(1) The packet information collection unit 21 collects the request packets transmitted from the terminal 50 to the target server 10 from the hub 30, and receives the response packets transmitted from the target server 10 as a response to the request packet. collect.
(2) The response data hash value conversion unit 22 (hash conversion unit) converts the data portion of the response packet from the packets collected by the packet information collection unit 21 into a hash value, and converts the original packet into the hash value. Appends the data length. As shown in FIG. 3, the response data hash value conversion unit 22 converts the data portion 62 of the response packet 60 into a hash value 62a using a predetermined hash function, and converts the data length of the response packet 60 before conversion into this hash value. Data length information 63a indicating the length (length of the data portion 62) is added. FIGS. 3C and 3D show examples of TCP packets. The TCP packet is composed of an IP header 81, a TCP header 82, and TCP data 83, as shown in FIG. In the case of a TCP packet, the response data hash value conversion unit 22 converts the portion of the TCP data 83 into the hash value 83a, and the data length information 84a indicating the data length of the TCP data 83 before conversion into the hash value 83a. It is added as additional information.
(3) The data length conversion unit 23 converts the data length information 64 of the header portion 61a of the hash conversion packet 60a converted by the response data hash value conversion unit 22 into data length information 64a (header portion 61a + hash value 62a + after hash conversion). The data length information 63a) is changed. In the case of a TCP packet, the data length conversion unit 23 rewrites the packet length described in the IP header to “k bytes”, which is the data length of the entire packet after hash conversion shown in FIG.
(4) The packet storage unit 24 stores the request packet and the hash converted packet 60a after the hash conversion in the packet information storage unit 27.
(5) The operation reproduction unit 25 (reproduction unit) transmits the request packet stored in the packet information storage unit 27 to the target server 10 and executes the operation reproduction.
(6) The reproduction confirmation unit 26 (confirmation unit) compares the response packet 60 at the time of reproduction collected when the reproduction is performed by the operation reproduction unit 25 with the response packet (hash conversion packet) of the packet information storage unit 27. Check if it is reproduced correctly.
(7) Packet information is stored in the packet information storage unit 27 by the packet storage unit 24. The packet information storage unit 27 is realized as a storage device such as a disk.
(パケットの収集/蓄積処理:動作1)
 図4は、パケット収集装置20が要求パケット、応答パケットを収集する動作のフローチャートである。図4を用いて、まずパケット収集装置20がパケット情報を収集する処理し蓄積する処理を説明する。図4において、例えば、ST101の「(パケット情報収集部21)」は、パケット情報収集部21がST101を処理することを示す。他のステップも同様である。 (Packet collection / accumulation processing: operation 1)
FIG. 4 is a flowchart of an operation in which the packet collection device 20 collects request packets and response packets. First, the process of collecting and storing packet information by the packet collection device 20 will be described with reference to FIG. In FIG. 4, for example, “(packet information collection unit 21)” in ST101 indicates that the packet information collection unit 21 processes ST101. The other steps are the same.
 パケット情報収集部21は、対象サーバ10への要求パケット、対象サーバ10からの応答パケットをハブ30のミラーポートの利用やpromiscuousモードの利用等により収集する(ST101)。応答データハッシュ値変換部22は、収集されたパケットが要求パケットであるか応答パケットであるかを判断する。要求パケットか応答パケットかは、パケットのヘッダ部分に記載されているネットワークアドレス情報を基に判断できる(ST102)。要求パケットの場合はST106へ進み、応答パケットの場合はST103へ進む。収集されたパケットが応答パケットの場合には、応答データハッシュ値変換部22は、図3で述べたように、応答パケットのデータ部分をハッシュ値に変換する(ST103)。そして、応答データハッシュ値変換部22は、ハッシュ値にもとのデータ長(ハッシュ値変換前の応答パケットのデータ部分のデータ長)を示すデータ長情報(付加データ)を付加する(ST104)。さらに、データ長変換部23は、応答データハッシュ値変換部22によってハッシュ変換された応答パケットに対して、ヘッダ部分のデータ長をハッシュ変換後の応答パケット全体のデータ長を示すデータ長情報の値に変更する(ST105)。パケット蓄積部24は、収集した要求パケット、変換された応答パケットをパケットキャプチャツール等で一般的に利用されているpcap形式で、パケット情報格納部27に格納する(ST106)。 The packet information collection unit 21 collects a request packet to the target server 10 and a response packet from the target server 10 by using a mirror port of the hub 30 or using a promiscuous mode (ST101). The response data hash value conversion unit 22 determines whether the collected packet is a request packet or a response packet. Whether the packet is a request packet or a response packet can be determined based on the network address information described in the header portion of the packet (ST102). If it is a request packet, the process proceeds to ST106, and if it is a response packet, the process proceeds to ST103. If the collected packet is a response packet, the response data hash value conversion unit 22 converts the data portion of the response packet into a hash value as described with reference to FIG. 3 (ST103). Then, the response data hash value conversion unit 22 adds data length information (additional data) indicating the original data length (data length of the data portion of the response packet before the hash value conversion) to the hash value (ST104). Further, the data length conversion unit 23 is a value of data length information indicating the data length of the entire response packet after hash conversion of the data length of the header portion with respect to the response packet hash-converted by the response data hash value conversion unit 22 (ST105). The packet storage unit 24 stores the collected request packets and converted response packets in the packet information storage unit 27 in the pcap format generally used by the packet capture tool or the like (ST106).
(対象サーバ10の再現処理:動作2)
 図5は、パケット収集装置20による対象サーバ10に対する動作再現処理を示すフローチャートである。図5を用いて、蓄積されたパケット情報をもとに実行する再現動作を説明する。 (Reproduction processing of target server 10: operation 2)
FIG. 5 is a flowchart showing an operation reproduction process for the target server 10 by the packet collection device 20. The reproduction operation to be executed based on the accumulated packet information will be described with reference to FIG.
 動作再現部25は、パケット情報格納部27に格納されているパケット情報の中から対象サーバ10への要求パケットを抽出し、対象サーバ10に要求パケットを送出する(ST201)。動作再現部25は、要求パケットを送出したことにより対象サーバ10から得られる応答パケット(再現パケットともいう)も含め、対象サーバ10に対する要求パケット、応答のパケットをすべて収集、蓄積する(ST202)。図5の再現処理では、パケット収集装置20は、収集した応答パケット(再現パケット)はハッシュ化することなく、そのまま格納する。なお、再現時に収集したパケットはパケット情報格納部27に格納される。 The operation reproduction unit 25 extracts a request packet to the target server 10 from the packet information stored in the packet information storage unit 27, and sends the request packet to the target server 10 (ST201). The operation reproduction unit 25 collects and accumulates all request packets and response packets for the target server 10, including response packets (also referred to as reproduction packets) obtained from the target server 10 by sending the request packets (ST202). In the reproduction process of FIG. 5, the packet collection device 20 stores the collected response packet (reproduction packet) as it is without hashing. The packet collected at the time of reproduction is stored in the packet information storage unit 27.
(確認処理:動作3)
 図6は、パケット収集装置20による再現動作の確認処理を示すフローチャートである。図6の説明において「動作時」とは図4の動作をいい、「再現時」とは図5の動作をいう。再現確認部26は、パケット情報格納部27に格納されているパケット情報と、「再現時」に動作再現部25によって再現実行され、収集されたパケット情報をもとに、同一の要求パケットに対する応答パケットを抽出する(ST301)。なお、同一の要求パケットに対する応答パケットかどうかは、各応答パケットのヘッダ部分の情報を参照することで判断することができる。再現確認部26は、応答パケットが「動作時」と「再現時」とで同じサイズであるかどうかを、「動作時」の応答パケット(ハッシュ変換パケット)に付与されているデータ長情報(付加データ)と、再現時の応答パケット(再現パケット)のヘッダ部分に格納されているデータ長情報とを比較して判定する(ST302)。
 なお、ハッシュ変換パケットの付加データの示すデータ長はデータ部分である。したがって、再現パケットのヘッダ部分のデータ長情報が再現パケット全体のデータ長を示す場合には、再現確認部26は、再現パケットのヘッダ部分のデータ長情報から再現パケットのデータ部分のデータサイズを導出し、導出されたデータサイズとハッシュ変換パケットの付加データの示すデータサイズとが同じかどうかを判定する。 (Confirmation process: Operation 3)
FIG. 6 is a flowchart showing the confirmation process of the reproduction operation by the packet collection device 20. In the description of FIG. 6, “at the time of operation” refers to the operation of FIG. 4, and “at the time of reproduction” refers to the operation of FIG. The reproduction confirmation unit 26 reproduces and executes the packet information stored in the packet information storage unit 27 and the operation packet reproduction unit 25 at the time of reproduction, and collects the packet information to respond to the same request packet. Packets are extracted (ST301). Whether or not the response packets are the same request packet can be determined by referring to the information of the header portion of each response packet. The reproduction confirmation unit 26 determines whether or not the response packet has the same size in “when operating” and “when reproduced”, and adds the data length information (additional) added to the “operating” response packet (hash conversion packet). (Data) and data length information stored in the header portion of the response packet (reproduction packet) at the time of reproduction are compared (ST302).
Note that the data length indicated by the additional data of the hash conversion packet is the data portion. Therefore, when the data length information of the header portion of the reproduction packet indicates the data length of the entire reproduction packet, the reproduction confirmation unit 26 derives the data size of the data portion of the reproduction packet from the data length information of the header portion of the reproduction packet. Then, it is determined whether the derived data size is the same as the data size indicated by the additional data of the hash conversion packet.
 図3を参照して説明する。図3(a)はハッシュ変換されていない再現パケットに相当し、図3(b)はハッシュ変換パケットである。再現パケットのヘッダ部分にはデータ長情報64があり、ハッシュ変換パケットには、ハッシュ変換前のデータ長を示すデータ長情報63a(付加データ)がある。再現確認部26は、要求パケットを同じくする再現パケットとハッシュ変換パケットとについて、再現パケットのデータ長情報64とハッシュ変換パケットのデータ長情報63aとを比較して判定する。 This will be described with reference to FIG. FIG. 3A corresponds to a reproduction packet that has not been subjected to hash conversion, and FIG. 3B illustrates a hash conversion packet. The header portion of the reproduction packet has data length information 64, and the hash conversion packet has data length information 63a (additional data) indicating the data length before the hash conversion. The reproduction confirmation unit 26 determines the reproduction packet and the hash conversion packet having the same request packet by comparing the data length information 64 of the reproduction packet and the data length information 63a of the hash conversion packet.
 判定の結果、データ長が同じ場合はST303へ進み、データ長が異なる場合はST306へ進む。データ長が同じ場合には、再現確認部26は、再現時の応答パケット(再現パケット)のデータ部分をハッシュ変換パケットに使用したハッシュ関数でハッシュ値に変換する(ST303)。再現確認部26は、応答パケット(再現パケット)のハッシュ値と、ハッシュ変換パケットのハッシュ値とを比較する(ST304)。同じ値であればST305へ進み、異なる値の場合はST308へ進む。同じ値の場合、再現確認部26は、同じ現象が起きていると判断する(ST305)。 As a result of determination, if the data length is the same, the process proceeds to ST303, and if the data length is different, the process proceeds to ST306. If the data lengths are the same, the reproduction confirmation unit 26 converts the data portion of the response packet (reproduction packet) at the time of reproduction into a hash value using a hash function used for the hash conversion packet (ST303). The reproduction confirmation unit 26 compares the hash value of the response packet (reproduction packet) with the hash value of the hash conversion packet (ST304). If they are the same value, the process proceeds to ST305, and if they are different, the process proceeds to ST308. If the values are the same, the reproduction confirmation unit 26 determines that the same phenomenon has occurred (ST305).
(データ長が異なる場合)
 データ長が異なる場合には、再現確認部26は、再現パケット、ハッシュ変換パケットとの少なくともいずれかが、分割されたパケット(分割パケット)であるか否かをパケットのヘッダ情報(分割の有無を示すフラグ、シーケンス番号あるいは確認応答番号など、プロトコルに応じて分割を識別可能な分割に関する分割情報)を基にチェックする(ST306)。再現確認部26によって、再現パケット、ハッシュ変換パケットのどちらかが分割パケットである場合はST307進み、単独のパケットである場合はST308(終了)へ進む。 (When data length is different)
When the data lengths are different, the reproduction confirmation unit 26 determines whether or not at least one of the reproduction packet and the hash conversion packet is a divided packet (divided packet). A check is made on the basis of division information that can identify the division according to the protocol, such as a flag, a sequence number, or an acknowledgment number (ST306). If the reproduction confirmation unit 26 determines that either the reproduction packet or the hash conversion packet is a divided packet, the process proceeds to ST307, and if it is a single packet, the process proceeds to ST308 (end).
(一方が分割パケットあるいは両方が分割パケットの場合)
 同一の要求パケットに対する再現パケットとハッシュ変換パケットとのうち、どちらかが分割パケットの場合、再現確認部26は、その要求パケットに対する再現パケットのすべてと、その要求パケットに対するハッシュ変換パケットのすべてとを抽出する。具体的には、分割のパターンは、次の3通りがある。
すなわち、
(1)再現パケット、ハッシュ変換パケット、ともに分割、
(2)再現パケットのみ分割、
(3)ハッシュ変換パケットのみ分割、
の3通りである。 (When one is a divided packet or both are divided packets)
When one of the replay packet and the hash conversion packet for the same request packet is a divided packet, the replay confirmation unit 26 determines all of the replay packets for the request packet and all of the hash conversion packets for the request packet. Extract. Specifically, there are the following three patterns of division.
That is,
(1) Divide both the replay packet and the hash conversion packet.
(2) Divide only the replay packet,
(3) Only the hash conversion packet is divided,
There are three ways.
((1)の場合)
 再現確認部26は、統合して再分割する。すなわち、再現確認部26は、すべての再現パケットのデータ部分を結合し、付加データとして格納されているデータ部分のデータ長情報を用いてハッシュ変換パケットの分割サイズに合わせて再分割する(ST307)。例えば、ハッシュ変換パケットについては分割前のデータ長が「60」であるデータ部分が、「20」と「40」のデータ長に分割されており(それぞれの分割パケットの付加データから、「20」と「40」のデータ長とわかる)、再現パケットについてはデータ部分が「10」、「20」、「30」に分割されている場合である。このような場合、再現確認部26は、各再現パケットの「10」、「20」、「30」を統合して「60」にし、このデータ部分を「20」と「40」に再分割する。すなわち、再現確認部26は、再現パケットとハッシュ変換パケットとのいずれも分割パケットであると判定すると、再現パケットとハッシュ変換パケットとのそれぞれについて分割元を同じくするそれぞれの再現パケットとハッシュ変換パケットとをすべて特定し、特定されたすべての再現パケットのデータ部分を結合し、結合されたデータ部分を、特定され、かつ、対応するハッシュ変換パケットのデータ部分のサイズに合わせて再分割し、再分割された各データ部分をハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応するハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する。 (In the case of (1))
The reproduction confirmation unit 26 performs integration and re-division. That is, the reproduction confirmation unit 26 combines the data portions of all the reproduction packets and re-divides them according to the division size of the hash conversion packet using the data length information of the data portions stored as additional data (ST307). . For example, in the hash conversion packet, the data portion whose data length before division is “60” is divided into data lengths of “20” and “40” (from the additional data of each divided packet, “20” The data length of the reproduction packet is divided into “10”, “20”, and “30”. In such a case, the reproduction confirmation unit 26 integrates “10”, “20”, and “30” of each reproduction packet into “60”, and re-divides this data portion into “20” and “40”. . That is, when the reproduction confirmation unit 26 determines that both the reproduction packet and the hash conversion packet are divided packets, the reproduction packet and the hash conversion packet having the same division source for each of the reproduction packet and the hash conversion packet Are combined, and the data portions of all the specified replay packets are combined, and the combined data portions are subdivided according to the size of the data portion of the corresponding hash conversion packet that has been specified and repartitioned Each data portion is converted into a hash value by a hash function, and it is confirmed whether the converted hash value is equal to the hash value of the corresponding hash conversion packet.
((2)の場合)
 再現確認部26は再分割せず、統合のみ行う。例えば、ハッシュ変換パケットの付加データとして格納されているデータ長は「60」であり、各再現パケットのデータ長は「10」、「20」、「30」のような場合である。この場合、再現確認部26は、各再現パケットのデータ部分を「60」に統合するのみで再分割はしない。すなわち、再現確認部26は、再現パケットのみが分割パケットであると判定すると、再現パケットについて分割元を同じくするそれぞれの再現パケットをすべて特定し、特定されたすべての再現パケットのデータ部分を結合し、結合されたデータ部分をハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値とハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する。 (In the case of (2))
The reproduction confirmation unit 26 performs only integration without re-dividing. For example, the data length stored as the additional data of the hash conversion packet is “60”, and the data length of each reproduction packet is “10”, “20”, “30”. In this case, the reproduction confirmation unit 26 only integrates the data portion of each reproduction packet into “60”, and does not perform re-division. That is, when the reproduction confirmation unit 26 determines that only the reproduction packet is a divided packet, the reproduction confirmation unit 26 identifies all the reproduction packets having the same division source with respect to the reproduction packet, and combines the data portions of all the specified reproduction packets. The combined data portion is converted into a hash value by a hash function, and it is confirmed whether the converted hash value is equal to the hash value of the hash conversion packet.
((3)の場合)
 統合の必要はないので再現確認部26は再分割のみ実行する。例えば、各ハッシュ変換パケットの付加データとして格納されているデータ長は「20」と「40」であり、再現パケットのデータ長は「60」であるような場合である。この場合、再現確認部26は、再現パケットのデータ部分を「20」と「40」に再分割するのみである。ST303において、再現確認部26は、「(1)」、「(3)」の場合は再分割した各データ部分をハッシュ値に変換し、「(2)」の場合は統合されたデータ部分をハッシュ値に変換し、ST304において、再現パケットとハッシュ変換パケットの対応するハッシュ値どうしを比較し、同じ値かどうかを確認する。すなわち、再現確認部26は、ハッシュ変換パケットのみが分割パケットであると判定すると、ハッシュ変換パケットについて分割元を同じくするそれぞれのハッシュ変換パケットをすべて特定し、再現パケットのデータ部分を、特定され、かつ、対応するハッシュ変換パケットのデータ部分のサイズに合わせて分割し、分割された各データ部分をハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応するハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する。 (In the case of (3))
Since there is no need for integration, the reproduction confirmation unit 26 executes only subdivision. For example, the data length stored as the additional data of each hash conversion packet is “20” and “40”, and the data length of the reproduction packet is “60”. In this case, the reproduction confirmation unit 26 only re-divides the data portion of the reproduction packet into “20” and “40”. In ST303, the reproduction confirmation unit 26 converts each re-divided data part into a hash value in the case of “(1)” and “(3)”, and in the case of “(2)”, the reproduction data part In step ST304, the hash values corresponding to the reproduction packet and the hash conversion packet are compared with each other to confirm whether or not the values are the same. That is, when the reproduction confirmation unit 26 determines that only the hash conversion packet is a divided packet, the reproduction confirmation unit 26 specifies all the hash conversion packets having the same division source for the hash conversion packet, specifies the data portion of the reproduction packet, In addition, the data is divided in accordance with the size of the data part of the corresponding hash conversion packet, each divided data part is converted into a hash value by a hash function, and the converted hash value and the hash value of the corresponding hash conversion packet are obtained. Check for equality.
 再現確認部26は、データ長が異なり、かつ、分割されていない場合(ST306のNO)、あるいはハッシュ値が異なる場合(ST304のNO)は、同じ現象が再現されていないと判断する(ST308)。 If the data lengths are different and are not divided (NO in ST306), or if the hash values are different (NO in ST304), reproduction confirmation unit 26 determines that the same phenomenon has not been reproduced (ST308). .
 図7は、図6の動作を補足説明するための図である。図7は次の状況を示している。すなわち、具体例としてTCPの場合は、送信側は、コネクションを確立する際に、シーケンス番号を決定し、送信する。受け取った側は、そのシーケンス番号に1を付与した番号を確認応答番号として返す。従って、データの送信を行う場合には、シーケンス番号や確認応答番号の情報が初期情報として利用される。データを送信する側は、初期情報として設定されたシーケンス番号と確認応答番号とを使って、データを送信する。連続して送信する場合には、送信側は、シーケンス番号には送信されたデータサイズが足された数字をセットし、確認応答番号には同じ番号をセットし、次のデータを送信する。途中、受信側がACKを返す場合には、受信側は、送信データの確認応答番号に格納されている番号をシーケンス番号にセットし、確認応答番号には受信されたデータサイズの付与された番号をセットする。連続データの場合は、常に、送信側は確認応答番号が共通となり、受信側はシーケンス番号が共通となる。この仕組みを利用して、分割されたパケットであることが判断可能である。上記のようなシーケンス番号、確認応答番号などの分割情報を用いることにより、図6に示したST306、ST307の処理が可能である。 FIG. 7 is a diagram for supplementarily explaining the operation of FIG. FIG. 7 shows the following situation. That is, in the case of TCP as a specific example, the transmission side determines and transmits a sequence number when establishing a connection. The receiving side returns a number obtained by adding 1 to the sequence number as an acknowledgment number. Therefore, when data is transmitted, information on sequence numbers and confirmation response numbers is used as initial information. The data transmitting side transmits data using the sequence number and the acknowledgment number set as the initial information. In the case of continuous transmission, the transmission side sets a number obtained by adding the transmitted data size to the sequence number, sets the same number as the confirmation response number, and transmits the next data. In the middle, when the receiving side returns ACK, the receiving side sets the number stored in the acknowledgment number of the transmission data to the sequence number, and the acknowledgment number is assigned the number with the received data size. set. In the case of continuous data, the transmission side always has a common acknowledgment number and the receiving side has a common sequence number. Using this mechanism, it can be determined that the packet is a divided packet. By using the division information such as the sequence number and the confirmation response number as described above, the processing of ST306 and ST307 shown in FIG. 6 can be performed.
 以上のように、実施の形態1では、応答パケットのデータ部分をハッシュ値に変換して蓄積する構成としたので、記録データ量の削減が可能となり、従来に比べて長時間の情報収集が可能となる。
 また、パケット収集装置20は、パケットの元のサイズを付加データとしてハッシュ変換後のパケットに付加する。このため、データの内容は同じであるが、再現時にパケットの分割結果が変わったことにより、ハッシュ値が異なった結果となる場合でも、トータルサイズでの確認、あるいは、再現時のデータ部分を使用し、収集時と同じサイズのデータに分割したハッシュ値の再生成により、データの確認を可能としている。 As described above, in the first embodiment, since the data portion of the response packet is converted to a hash value and stored, the amount of recorded data can be reduced, and information can be collected for a longer time than before. It becomes.
The packet collection device 20 adds the original size of the packet as additional data to the packet after hash conversion. For this reason, although the data contents are the same, even if the hash value is different due to a change in the packet segmentation result at the time of reproduction, it is possible to check the total size or use the data part at the time of reproduction. The data can be confirmed by regenerating the hash value divided into data of the same size as that at the time of collection.
 実施の形態2.
 図8、図9を用いて実施の形態2を説明する。実施の形態2は、実施の形態1のパケット収集装置20を、仮想計算機環境で実現する場合を説明する。図8は、実施の形態2の構成図である。仮想計算機環境では、物理計算機100において、対象サーバ10に相当する対象サーバ110と、パケット収集装置20に相当するパケット収集装置120とを仮想計算機上に配備する構成である。図8の仮想スイッチ31は図1のハブ30に相当する。図1と同様の構成要素には同一の符号を付し、詳しい説明は省略する。 Embodiment 2. FIG.
The second embodiment will be described with reference to FIGS. The second embodiment describes a case where the packet collection device 20 of the first embodiment is realized in a virtual machine environment. FIG. 8 is a configuration diagram of the second embodiment. In the virtual computer environment, in the physical computer 100, a target server 110 corresponding to the target server 10 and a packet collection device 120 corresponding to the packet collection device 20 are arranged on the virtual computer. The virtual switch 31 in FIG. 8 corresponds to the hub 30 in FIG. Components similar to those in FIG. 1 are denoted by the same reference numerals, and detailed description thereof is omitted.
 パケット情報収集部21は、対象サーバ110への要求パケット、対象サーバ110からの応答パケットを、仮想スイッチ31におけるpromiscuousモードにより収集できる。動作については、実施の形態1と同様である。 The packet information collection unit 21 can collect the request packet to the target server 110 and the response packet from the target server 110 in the promiscuous mode in the virtual switch 31. The operation is the same as in the first embodiment.
 図9は、パケット収集装置120の動作再現機能(動作再現部25)と再現確認機能(再現確認部26)との機能をパケット収集装置120から再現装置220として分離した構成である。図9の構成では、パケット収集装置120は要求パケット、応答パケットであるハッシュ変換パケットを収集し蓄積する。再現装置220は、パケット収集装置120の蓄積した要求パケット、ハッシュ変換パケットを取得し、実施の形態1で述べた動作再現と再現確認とを実行する。再現装置220は、通信回線40を介してオンラインで要求パケット、ハッシュ変換パケットを取得してもよいし、オフラインで取得してもよい。収集、蓄積の動作、及び再現、確認の動作は実施の形態1と同じである。 FIG. 9 shows a configuration in which the operation reproduction function (operation reproduction unit 25) and the reproduction confirmation function (reproduction confirmation unit 26) of the packet collection device 120 are separated from the packet collection device 120 as a reproduction device 220. In the configuration of FIG. 9, the packet collection device 120 collects and stores hash conversion packets that are request packets and response packets. The reproduction device 220 acquires the request packet and the hash conversion packet stored in the packet collection device 120, and executes the operation reproduction and the reproduction confirmation described in the first embodiment. The reproduction device 220 may acquire the request packet and the hash conversion packet online via the communication line 40, or may acquire it offline. The collection and storage operations, and the reproduction and confirmation operations are the same as those in the first embodiment.
 以上のように、実施の形態2によれば、仮想計算機環境にてパケット情報を収集することにより、ミラーポート付のハブなどが不要となる。また、蓄積に必要なデータ量を削減していることから、同じ物理計算機上に配備されている別の仮想計算機も共通に利用するI/O処理機能に関して処理量を減らすことが出来るため、別の仮想計算機への影響を最小限に抑えつつ情報収集を実施することが可能となる。 As described above, according to the second embodiment, by collecting packet information in a virtual machine environment, a hub with a mirror port or the like becomes unnecessary. In addition, since the amount of data required for storage is reduced, the amount of processing can be reduced with respect to the I / O processing function shared by other virtual machines deployed on the same physical computer. It is possible to collect information while minimizing the impact on the virtual machine.
 実施の形態3.
 図10、図11を参照して実施の形態3を説明する。実施の形態3は、実施の形態1の図4で説明した「パケットの収集/蓄積処理:動作1」に対応する。実施の形態3では、パケット収集装置20が、応答パケットのプロトコルによる違いに対応する場合を説明する。実施の形態3のシステム構成は、実施の形態1、あるいは実施の形態2と同じである。以下の説明では、図1の構成を想定して説明する。 Embodiment 3 FIG.
The third embodiment will be described with reference to FIGS. The third embodiment corresponds to “packet collection / accumulation process: operation 1” described in FIG. 4 of the first embodiment. In the third embodiment, a case will be described in which the packet collection device 20 responds to a difference in response packet protocol. The system configuration of the third embodiment is the same as that of the first or second embodiment. In the following description, description will be made assuming the configuration of FIG.
 図10は、実施の形態3のパケット収集装置20の処理フローである。図4と同一のステップ番号は、図4のそのステップ動作と同じである。図10を用いて実施の形態3のパケット収集装置20によるパケットの収集、蓄積の動作を説明する。 FIG. 10 is a processing flow of the packet collection device 20 according to the third embodiment. Step numbers identical to those in FIG. 4 are the same as the step operations in FIG. The operation of collecting and storing packets by the packet collection device 20 according to the third embodiment will be described with reference to FIG.
 パケット情報収集部21は、対象サーバ10への要求パケット、対象サーバ10からの応答パケットをハブ30のミラーポートの利用やpromiscuousモードの利用等により収集する(ST101)。応答データハッシュ値変換部22は、収集されたパケットが要求パケットであるか応答パケットであるかを判断する。要求パケットか応答パケットかは、パケットのヘッダ部分に記載されているネットワークアドレス情報を基に判断できる(ST102)。要求パケットであった場合にはST106へ進み、応答パケットであった場合にはST401へ進む。 The packet information collection unit 21 collects a request packet to the target server 10 and a response packet from the target server 10 by using a mirror port of the hub 30 or using a promiscuous mode (ST101). The response data hash value conversion unit 22 determines whether the collected packet is a request packet or a response packet. Whether the packet is a request packet or a response packet can be determined based on the network address information described in the header portion of the packet (ST102). If it is a request packet, the process proceeds to ST106, and if it is a response packet, the process proceeds to ST401.
 応答データハッシュ値変換部22は、パケットがICMPあるいはTCPあるいはUDPのいずれかのプロトコル(所定のプロトコルの一例)のパケットであるか否かをヘッダの情報を参照しチェックする(ST401)。ICMPあるいはTCPあるいはUDPのいずれかのプロトコルのパケットであった場合にはST103へ進む。それ以外のパケットであった場合にはST101へ進む。ST101へ進む場合は、そのパケットは蓄積しないことになる。 The response data hash value conversion unit 22 checks whether the packet is a packet of any protocol of ICMP, TCP, or UDP (an example of a predetermined protocol) with reference to the header information (ST401). If the packet is an ICMP, TCP, or UDP protocol, the process proceeds to ST103. If it is any other packet, the process proceeds to ST101. When the process proceeds to ST101, the packet is not accumulated.
 収集されたパケットが応答パケットの場合には、応答データハッシュ値変換部22は、図3で述べたように、応答パケットのデータ部分をハッシュ値に変換する(ST103)。そして、応答データハッシュ値変換部22は、ハッシュ値にもとのデータ長(ハッシュ値変換前の応答パケットのデータ部分のデータ長)を示すデータ長情報(付加データ)を付加する(ST104)。 When the collected packet is a response packet, the response data hash value conversion unit 22 converts the data portion of the response packet into a hash value as described in FIG. 3 (ST103). Then, the response data hash value conversion unit 22 adds data length information (additional data) indicating the original data length (data length of the data portion of the response packet before the hash value conversion) to the hash value (ST104).
 さらに、データ長変換部23は、パケットのIPヘッダ部分のデータ長を、新規データ(データ部分がハッシュ値に変換され、データ長情報が付加された応答パケットの全体)のデータ長に変更する(ST402)。データ長変換部23は、パケットがUDPのプロトコルのパケットであるか否かをヘッダ部分を参照してチェックする(ST403)。UDPのパケットの場合はST404へ進み、ICMPやTCPのパケットの場合はST106へ進む。 Further, the data length conversion unit 23 changes the data length of the IP header portion of the packet to the data length of new data (the entire response packet in which the data portion is converted into a hash value and data length information is added) ( ST402). The data length conversion unit 23 checks whether the packet is a UDP protocol packet with reference to the header portion (ST403). If it is a UDP packet, the process proceeds to ST404, and if it is an ICMP or TCP packet, the process proceeds to ST106.
 図11はUDPパケット70のパケット構造を示す図である。
 図11(a)は応答パケットであるUDPパケット70を示す。
 図11(b)はUDPパケット70に対応するハッシュ変換パケット70aを示す。
 UDPパケット70はIPヘッダ71、UDPヘッダ72、UDPデータ73とからなる。UDPパケットの場合、データ長変換部23は、UDPヘッダ72の部分に含まれるデータ長75を新規のデータ長75a(ハッシュと付加データの合計のデータ長)に変更する(ST404)。なお、ハッシュ値73a、付加データ74a(UDPデータ73のデータ長)は、ST103、ST104において、応答データハッシュ値変換部22が変換し、付加した情報である。 FIG. 11 is a diagram showing a packet structure of the UDP packet 70.
FIG. 11A shows a UDP packet 70 which is a response packet.
FIG. 11B shows a hash conversion packet 70 a corresponding to the UDP packet 70.
The UDP packet 70 includes an IP header 71, a UDP header 72, and UDP data 73. In the case of a UDP packet, the data length conversion unit 23 changes the data length 75 included in the UDP header 72 to a new data length 75a (the total data length of the hash and additional data) (ST404). The hash value 73a and the additional data 74a (data length of the UDP data 73) are information added and converted by the response data hash value conversion unit 22 in ST103 and ST104.
 パケット蓄積部24は、収集した要求パケット、変換された応答パケットをパケットキャプチャツール等で一般的に利用されているpcap形式で、パケット情報格納部27に格納する(ST106)。 The packet storage unit 24 stores the collected request packet and the converted response packet in the packet information storage unit 27 in the pcap format generally used by the packet capture tool or the like (ST106).
 以上のように、実施の形態3では、プロトコルに応じて応答パケットの収集の必要の有無、ハッシュ値への変換の実施有無、ヘッダ情報の変更箇所の変更を判定している。このため確認処理(実施の形態1の「再現動作の確認処理:動作3」)において不要となるパケットを予め削除する。このため、蓄積において、更なるデータ量削減が可能である。また、パケットのヘッダ情報に対する変更処理をプロトコルごとに変えることにより、収集したパケット情報(応答パケット)をパケットキャプチャツール等で確認することができる。 As described above, in the third embodiment, it is determined whether or not response packets need to be collected, whether or not conversion to a hash value is performed, and whether or not the header information is changed. For this reason, unnecessary packets are deleted in advance in the confirmation process (“reproduction operation confirmation process: operation 3” in the first embodiment). For this reason, it is possible to further reduce the amount of data during storage. Further, by changing the change process for the header information of the packet for each protocol, the collected packet information (response packet) can be confirmed by a packet capture tool or the like.
 実施の形態4.
 図12~図14を参照して実施の形態4を説明する。実施の形態4は、収集時(実施の形態1の動作1)におけるパケットの蓄積処理の動作を説明する。図12は、実施の形態4のパケット収集装置20の構成図である。パケット収集装置20はパケット収集装置20に対して、さらに、パケット一時蓄積部400、パケット格納キュー431、パケット蓄積キュー432を備えている。 Embodiment 4 FIG.
A fourth embodiment will be described with reference to FIGS. The fourth embodiment will explain the operation of packet accumulation processing at the time of collection (operation 1 of the first embodiment). FIG. 12 is a configuration diagram of the packet collection device 20 according to the fourth embodiment. In addition to the packet collection device 20, the packet collection device 20 further includes a packet temporary storage unit 400, a packet storage queue 431, and a packet storage queue 432.
 図12において、
(1)パケット一時蓄積部400は、収集したパケット情報をパケット格納バッファ433に格納する。
(2)パケット格納キュー431は、メモリ上に配備されているパケット格納バッファ433のうち収集されたパケットを格納するキューである。
(3)パケット蓄積キュー432は、メモリ上に配備されているパケット格納バッファ433のうち蓄積対象となるバッファを蓄積するキューである。
(4)パケット格納バッファ433は、収集したパケット情報を一時的にメモリ上に保持する領域を示すバッファである。 In FIG.
(1) The packet temporary storage unit 400 stores the collected packet information in the packet storage buffer 433.
(2) The packet storage queue 431 is a queue for storing collected packets in the packet storage buffer 433 provided on the memory.
(3) The packet accumulation queue 432 is a queue that accumulates buffers to be accumulated among the packet storage buffers 433 arranged on the memory.
(4) The packet storage buffer 433 is a buffer indicating an area for temporarily storing the collected packet information on the memory.
 図13は、パケット収集時に一時的にメモリ上にパケットを蓄積するパケット一時蓄積部400の動作のフローチャートである。図14は、一時的にメモリ上に蓄積されたパケット情報をパケット情報格納部27に蓄積するパケット蓄積部24の動作を示すフローチャートである。 FIG. 13 is a flowchart of the operation of the packet temporary storage unit 400 that temporarily stores packets in the memory during packet collection. FIG. 14 is a flowchart showing the operation of the packet storage unit 24 that stores the packet information temporarily stored in the memory in the packet information storage unit 27.
 図13を用いてパケット収集時(実施の形態1の図4に示した動作1)に、一時的にメモリ上に確保されているパケット格納バッファ433に収集されたパケット格納する動作を説明する。 The operation of storing packets collected in the packet storage buffer 433 temporarily secured in the memory at the time of packet collection (operation 1 shown in FIG. 4 of the first embodiment) will be described with reference to FIG.
 パケット一時蓄積部400は、蓄積されるべきパケットの収集が行われると、パケット格納キュー431の先頭のパケット格納バッファ33を取り出す(ST501)。パケット一時蓄積部400は、パケットのサイズとパケット格納バッファ433の空き容量とを比較する(ST502)。空き容量が蓄積するパケットサイズより大きい場合はST503へ進み、小さい場合はST504へ進む。 When the packets to be accumulated are collected, the packet temporary accumulation unit 400 takes out the leading packet storage buffer 33 of the packet storage queue 431 (ST501). Packet temporary storage section 400 compares the size of the packet with the free capacity of packet storage buffer 433 (ST502). If the available capacity is larger than the accumulated packet size, the process proceeds to ST503, and if it is smaller, the process proceeds to ST504.
 パケット一時蓄積部400は、パケット格納バッファ433の空き容量が蓄積するべきパケットサイズよりも大きい場合は、パケット格納バッファ433にそのパケットを格納する(ST503)。パケット格納バッファ33の空き容量が蓄積するべきパケットサイズよりも小さい場合は、取り出しているパケット格納バッファ433をパケット蓄積キュー432にエンキューする(ST504)。パケット一時蓄積部400は、パケット格納キュー431から、新しく先頭になったパケット格納バッファ433を取り出す(ST505)。 If the available capacity of the packet storage buffer 433 is larger than the packet size to be accumulated, the packet temporary storage unit 400 stores the packet in the packet storage buffer 433 (ST503). When the free capacity of the packet storage buffer 33 is smaller than the packet size to be accumulated, the taken out packet storage buffer 433 is enqueued in the packet accumulation queue 432 (ST504). The temporary packet storage section 400 takes out the packet storage buffer 433 that is newly at the head from the packet storage queue 431 (ST505).
 次に、図14を用いて、パケット格納バッファ433に格納されているパケット情報を、パケット蓄積部24がパケット情報格納部27に格納する動作を説明する。 Next, the operation of the packet storage unit 24 storing the packet information stored in the packet storage buffer 433 in the packet information storage unit 27 will be described with reference to FIG.
 パケット蓄積部24は、パケット蓄積キュー432にパケット格納バッファ433が存在するか否かをチェックする(ST601)。存在する場合はST602へ進み、存在しない場合はST601へ進む。
 パケット蓄積キュー432にパケット格納バッファ433が存在する場合は、パケット蓄積部24は、パケット蓄積キュー432の先頭のパケット格納バッファ433を取り出す(ST602)。パケット蓄積部24は、取り出されたパケット格納バッファ433に格納されているパケット情報を取り出し、圧縮を実施する(ST603)。パケット蓄積部24は、圧縮されたパケット情報をパケット情報格納部27に格納する(ST604)。 The packet storage unit 24 checks whether or not the packet storage buffer 433 exists in the packet storage queue 432 (ST601). When it exists, it progresses to ST602, and when it does not exist, it progresses to ST601.
When the packet storage buffer 433 exists in the packet accumulation queue 432, the packet accumulation unit 24 takes out the leading packet storage buffer 433 of the packet accumulation queue 432 (ST602). The packet storage unit 24 extracts the packet information stored in the extracted packet storage buffer 433, and performs compression (ST603). The packet accumulating unit 24 stores the compressed packet information in the packet information storage unit 27 (ST604).
 パケット蓄積部24は、格納したことにより不要となったパケット格納バッファ433の内容を消去する(ST605)。消去されたパケット格納バッファ433を収集時の蓄積に利用可能とするため、パケット蓄積部24は、パケット格納キュー431にエンキューする(ST606)。 The packet accumulating unit 24 erases the contents of the packet storage buffer 433 that are no longer necessary due to the storage (ST605). In order to make the erased packet storage buffer 433 available for accumulation at the time of collection, the packet accumulation unit 24 enqueues it in the packet storage queue 431 (ST606).
 以上のように実施の形態4では、一時的にメモリ上にパケット情報を保持し、パケット情報の収集とパケット情報の蓄積を並列に動作可能とした。このため、ネットワークのパケット情報を収集する速度に対して、時間を要する蓄積処理の影響を受けることなく、パケットの収集・蓄積を実施することが可能となる。 As described above, in the fourth embodiment, packet information is temporarily stored in a memory, and packet information collection and packet information accumulation can be performed in parallel. This makes it possible to collect and store packets without being affected by the time-consuming storage process with respect to the speed of collecting packet information on the network.
 実施の形態5.
 図15、図16を参照して実施の形態5を説明する。 Embodiment 5 FIG.
The fifth embodiment will be described with reference to FIGS. 15 and 16.
 実施の形態5は、主として、パケット収集装置20、あるいは再現装置220をコンピュータで実現する具体的な実施形態を示す。パケット収集装置20、再現装置220はずれもコンピュータで実現可能であるので、パケット収集装置20を想定して説明する。 The fifth embodiment mainly shows a specific embodiment in which the packet collection device 20 or the reproduction device 220 is realized by a computer. Since the packet collection device 20 and the reproduction device 220 can be realized by a computer, the packet collection device 20 will be described.
 図15は、パケット収集装置20の外観の一例を示す図である。図15において、パケット収集装置20は、システムユニット830、CRT(Cathode・Ray・Tube)やLCD(液晶)の表示画面を有する表示装置813、キーボード814(Key・Board:K/B)、マウス815、FDD817(Flexible・Disk・ Drive)、コンパクトディスク装置818(CDD:Compact Disk Drive)、プリンタ装置819などのハードウェア資源を備え、これらはケーブルや信号線で接続されている。 FIG. 15 is a diagram illustrating an example of the external appearance of the packet collection device 20. In FIG. 15, the packet collection device 20 includes a system unit 830, a display device 813 having a CRT (Cathode / Ray / Tube) or LCD (liquid crystal) display screen, a keyboard 814 (Key / Board: K / B), and a mouse 815. , FDD 817 (Flexible Disk Drive), compact disk device 818 (CDD: Compact Disk Drive), printer device 819, and the like, which are connected by cables and signal lines.
 図16は、コンピュータで実現されるパケット収集装置20のハードウェア資源の一例を示す図である。図16において、パケット収集装置20は、プログラムを実行するCPU810(Central Processing Unit)を備えている。CPU810は、バス825を介してROM(Read Only Memory)811、RAM(Random Access Memory)812、表示装置813、キーボード814、マウス815、通信ボード816、FDD817、CDD818、プリンタ装置819、磁気ディスク装置820と接続され、これらのハードウェアデバイスを制御する。磁気ディスク装置820の代わりに、光ディスク装置、フラッシュメモリなどの記憶装置でもよい。 FIG. 16 is a diagram illustrating an example of hardware resources of the packet collection device 20 realized by a computer. In FIG. 16, the packet collection device 20 includes a CPU 810 (Central Processing Unit) that executes a program. The CPU 810 includes a ROM (Read Only Memory) 811, a RAM (Random Access Memory) 812, a display device 813, a keyboard 814, a mouse 815, a communication board 816, an FDD 817, a CDD 818, a printer device 819, and a magnetic disk device 820 via a bus 825. And control these hardware devices. Instead of the magnetic disk device 820, a storage device such as an optical disk device or a flash memory may be used.
 RAM812は、揮発性メモリの一例である。ROM811、FDD817、CDD818、磁気ディスク装置820等の記憶媒体は、不揮発性メモリの一例である。これらは、記憶装置あるいは記憶部、格納部、バッファの一例である。通信ボード816、キーボード814、FDD817などは、入力部、入力装置の一例である。また、通信ボード816、表示装置813、プリンタ装置819などは、出力部、出力装置の一例である。 The RAM 812 is an example of a volatile memory. Storage media such as the ROM 811, the FDD 817, the CDD 818, and the magnetic disk device 820 are examples of nonvolatile memories. These are examples of a storage device or a storage unit, a storage unit, and a buffer. The communication board 816, the keyboard 814, the FDD 817, and the like are examples of an input unit and an input device. The communication board 816, the display device 813, the printer device 819, and the like are examples of an output unit and an output device.
 通信ボード816は、ネットワーク(LAN等)に接続されている。通信ボード816は、LANに限らず、インターネット、ISDN等のWAN(ワイドエリアネットワーク)などに接続されていても構わない。 The communication board 816 is connected to a network (such as a LAN). The communication board 816 may be connected not only to the LAN but also to a WAN (wide area network) such as the Internet or ISDN.
 磁気ディスク装置820には、オペレーティングシステム821(OS)、ウィンドウシステム822、プログラム群823、ファイル群824が記憶されている。プログラム群823のプログラムは、CPU810、オペレーティングシステム821、ウィンドウシステム822により実行される。 The magnetic disk device 820 stores an operating system 821 (OS), a window system 822, a program group 823, and a file group 824. The programs in the program group 823 are executed by the CPU 810, the operating system 821, and the window system 822.
 上記プログラム群823には、以上の実施の形態の説明において「~部」として説明した機能を実行するプログラムが記憶されている。プログラムは、CPU810により読み出され実行される。 The program group 823 stores a program for executing the function described as “unit” in the description of the above embodiment. The program is read and executed by the CPU 810.
 ファイル群824には、以上の実施の形態の説明において、「要求パケット」、「応答パケット」として説明したデータや、「~の判定結果」、「~の算出結果」、「~の抽出結果」、「~の生成結果」、「~の処理結果」として説明した情報や、データや信号値や変数値やパラメータなどが、「~ファイル」や「~データベース」の各項目として記憶されている。「~ファイル」や「~データベース」は、ディスクやメモリなどの記録媒体に記憶される。ディスクやメモリなどの記憶媒体に記憶された情報やデータや信号値や変数値やパラメータは、読み書き回路を介してCPU810によりメインメモリやキャッシュメモリに読み出され、抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示などのCPUの動作に用いられる。抽出・検索・参照・比較・演算・計算・処理・出力・印刷・表示のCPUの動作の間、情報やデータや信号値や変数値やパラメータは、メインメモリやキャッシュメモリやバッファメモリに一時的に記憶される。 The file group 824 includes data described as “request packet” and “response packet” in the description of the above embodiment, “determination result”, “calculation result”, and “extraction result”. The information described as “results of generation” and “processing results of”, data, signal values, variable values, parameters, and the like are stored as items of “˜file” and “˜database”. The “˜file” and “˜database” are stored in a recording medium such as a disk or a memory. Information, data, signal values, variable values, and parameters stored in a storage medium such as a disk or memory are read out to the main memory or cache memory by the CPU 810 via a read / write circuit, and extracted, searched, referenced, compared, and calculated. Used for CPU operations such as calculation, processing, output, printing, and display. Information, data, signal values, variable values, and parameters are temporarily stored in the main memory, cache memory, and buffer memory during CPU operations for extraction, search, reference, comparison, calculation, calculation, processing, output, printing, and display. Is remembered.
 また、以上に述べた実施の形態の説明において、データや信号値は、RAM812のメモリ、FDD817のフレキシブルディスク、CDD818のコンパクトディスク、磁気ディスク装置820の磁気ディスク、その他光ディスク、ミニディスク、DVD(Digital・Versatile・Disk)等の記録媒体に記録される。また、データや信号は、バス825や信号線やケーブルその他の伝送媒体によりオンライン伝送される。 In the description of the embodiment described above, data and signal values are stored in the memory of the RAM 812, the flexible disk of the FDD 817, the compact disk of the CDD 818, the magnetic disk of the magnetic disk device 820, other optical disks, mini disks, and DVDs (Digital). -It records on recording media, such as Versatile and Disk. Data and signals are transmitted on-line via the bus 825, signal lines, cables, and other transmission media.
 また、以上の実施の形態の説明において、「~部」として説明したものは、「~手段」、「~回路」、「~機器」であってもよく、また、「~ステップ」、「~手順」、「~処理」であってもよい。すなわち、「~部」として説明したものは、ROM811に記憶されたファームウェアで実現されていても構わない。或いは、ソフトウェアのみ、或いは、素子・デバイス・基板・配線などのハードウェアのみ、或いは、ソフトウェアとハードウェアとの組み合わせ、さらには、ファームウェアとの組み合わせで実施されても構わない。ファームウェアとソフトウェアは、プログラムとして、磁気ディスク、フレキシブルディスク、光ディスク、コンパクトディスク、ミニディスク、DVD等の記録媒体に記憶される。プログラムはCPU810により読み出され、CPU810により実行される。すなわち、プログラムは、以上に述べた「~部」としてコンピュータを機能させるものである。あるいは、以上に述べた「~部」の手順や方法をコンピュータに実行させるものである。 In the above description of the embodiment, what has been described as “to part” may be “to means”, “to circuit”, and “to device”, and “to step”, “to” It may be “procedure” or “processing”. That is, what has been described as “˜unit” may be realized by firmware stored in the ROM 811. Alternatively, it may be implemented only by software, only hardware such as elements, devices, substrates, wirings, etc., or a combination of software and hardware, and further a combination of firmware. Firmware and software are stored as programs in a recording medium such as a magnetic disk, a flexible disk, an optical disk, a compact disk, a mini disk, and a DVD. The program is read by the CPU 810 and executed by the CPU 810. In other words, the program causes the computer to function as the “˜unit” described above. Alternatively, it causes a computer to execute the procedures and methods of “to part” described above.
 以上の実施の形態1~4では、パケット収集装置20あるいは再現装置220として、装置を説明したが、実施の形態5のように、パケット収集装置20、再現装置220の動作を、コンピュータに実行させるパケット収集プログラム、動作再現プログラムとして把握することも可能である。あるいは、パケット収集プログラム、動作再現プログラムを記録したコンピュータ読み取り可能な記録媒体として把握することも可能である。さらに、パケット収集装置20あるいは再現装置220の動作をパケット収集装置20が行うパケット収集方法、再現装置220が行う再現方法として把握することも可能である。 In the above first to fourth embodiments, the apparatus has been described as the packet collection apparatus 20 or the reproduction apparatus 220. However, as in the fifth embodiment, the operation of the packet collection apparatus 20 and the reproduction apparatus 220 is executed by a computer. It can also be understood as a packet collection program and an operation reproduction program. Alternatively, it can be grasped as a computer-readable recording medium on which a packet collection program and an operation reproduction program are recorded. Furthermore, it is possible to grasp the operation of the packet collection device 20 or the reproduction device 220 as a packet collection method performed by the packet collection device 20 and a reproduction method performed by the reproduction device 220.
 以上の実施の形態1では、次の手段を有するパケット収集装置を説明した。
(1)動作再現対象サーバのネットワークパケット情報をハブより収集するパケット情報収集手段と、
(2)収集したネットワークパケット情報のうち、動作再現対象サーバより出力された応答パケットのデータ部分をハッシュ値に変換すると共に変換前のデータ長情報をデータ部分に付与する応答データハッシュ値変換手段と、
(3)該当パケットのヘッダ部分のデータ長情報を前記応答データハッシュ値変換手段にて生成されたハッシュ値のデータ長に基づいた値に変換するデータ長変換手段と、
(4)動作再現対象サーバへの要求パケットはそのまま蓄積し、動作再現対象サーバからの応答パケットについては、前記応答データハッシュ値変換手段にてハッシュ値に変換され、データ長情報が付与され、前記データ長変換手段にてパケットのヘッダ部分のデータ長を変換したパケット情報を蓄積するパケット蓄積手段と、
(5)蓄積を終了し、蓄積された要求パケットを動作再現対象サーバに対して送信し、動作再現を実行する動作再現手段と、
(6)動作再現手段によって得られた再現時応答パケットを動作時に前記パケット蓄積手段によって蓄積された応答パケット情報と比較し、正しく再現されているか否かを確認する再現確認手段と
を備え、
 動作を再現させるために必要となるネットワークパケット情報はそのまま蓄積し、再現していることを確認するために必要となるネットワークパケット情報は、ハッシュ値に変換して蓄積するパケット収集装置。 In the first embodiment described above, the packet collection device having the following means has been described.
(1) Packet information collection means for collecting network packet information of the operation reproduction target server from the hub;
(2) Response data hash value conversion means for converting the data part of the response packet output from the operation reproduction target server out of the collected network packet information into a hash value and adding data length information before the conversion to the data part; ,
(3) data length conversion means for converting the data length information of the header portion of the packet into a value based on the data length of the hash value generated by the response data hash value conversion means;
(4) The request packet to the operation reproduction target server is stored as it is, and the response packet from the operation reproduction target server is converted into a hash value by the response data hash value conversion means, and data length information is given, Packet storage means for storing packet information obtained by converting the data length of the header portion of the packet by the data length conversion means;
(5) operation reproduction means for terminating the accumulation, transmitting the accumulated request packet to the operation reproduction target server, and executing the operation reproduction;
(6) Reproduction confirmation means for comparing the response packet at the time of reproduction obtained by the operation reproduction means with the response packet information accumulated by the packet accumulation means at the time of operation, and confirming whether or not the reproduction packet is correctly reproduced,
A packet collection device that stores network packet information necessary for reproducing the operation as it is, and converts the network packet information necessary for confirming the reproduction into a hash value and stores it.
 以上の実施の形態2では、対象サーバが仮想計算機として動作している場合において、同じ物理計算機上にパケット収集装置を仮想計算機として配備した構成を示した。
 この構成は、パケット収集装置に、対象サーバのネットワークパケット情報を仮想スイッチより収集するパケット情報収集手段を備えている。この構成により、仮想計算機環境上での対象サーバとパケット収集装置の動作を可能とした。 In the second embodiment described above, the configuration in which the packet collection device is deployed as a virtual computer on the same physical computer when the target server is operating as a virtual computer has been described.
In this configuration, the packet collection device includes packet information collection means for collecting network packet information of the target server from the virtual switch. With this configuration, it is possible to operate the target server and the packet collection device in the virtual machine environment.
 以上の実施の形態3のパケット収集装置は、応答パケットがTCPパケットであった場合、パケットのIPヘッダの部分のデータ長情報を変更するデータ長変換手段を備えている。このため、IPヘッダの部分のデータ長情報変更することにより、パケットキャプチャ機能による確認が可能である。 The packet collection device according to the third embodiment includes data length conversion means for changing the data length information of the IP header portion of the packet when the response packet is a TCP packet. For this reason, confirmation by the packet capture function is possible by changing the data length information of the IP header portion.
 以上の実施の形態3のパケット収集装置は、
 応答パケットがUDPパケットであった場合、パケットのIPヘッダの部分のデータ長情報ならびにUDPヘッダの部分のデータ長情報を変更するデータ長変換手段を備えている。
 このため、データ長情報を変更することにより、パケットキャプチャ機能による確認が可能である。 The packet collection device of the third embodiment described above is
When the response packet is a UDP packet, there is provided data length conversion means for changing the data length information of the IP header portion of the packet and the data length information of the UDP header portion.
For this reason, confirmation by the packet capture function is possible by changing the data length information.
 以上の実施の形態3のパケット収集装置は、
 応答パケットがICMPパケットであった場合にはハッシュ値変換を実施しない応答データハッシュ値変換手段を備えている。このため、死活確認やタイムスタンプ情報などにおいて、再現時のパケットを利用することができる。 The packet collection device of the third embodiment described above is
If the response packet is an ICMP packet, response data hash value conversion means is provided that does not perform hash value conversion. For this reason, the packet at the time of reproduction can be used in life and death confirmation and time stamp information.
 以上の実施の形態3のパケット収集装置は、応答パケットがTCP、UDP、ICMP以外のプロトコルであった場合には、収集した応答パケットを破棄する応答データハッシュ値変換手段を備えている。このため、動作確認には必要のないパケット情報を蓄積しないので、ディスクに書き込む情報量の削減ができる。 The packet collection device according to the third embodiment includes response data hash value conversion means for discarding the collected response packet when the response packet is a protocol other than TCP, UDP, or ICMP. For this reason, packet information that is not necessary for operation confirmation is not accumulated, so that the amount of information written to the disk can be reduced.
 以上の実施の形態4のパケット収集装置は、
 収集したパケットを一時的に保存する複数のパケット格納バッファと、
 一時的にメモリ上に格納するために利用可能なパケット格納バッファのリストを保持したパケット格納バッファキューと、
 一時的に格納されたパケット格納バッファのうち、領域が一杯になり、ディスクに書き込む対象となったパケット格納バッファのリストを保持したパケット蓄積バッファキューと
を備えている。
 そして、パケット一時蓄積手段は、パケット情報収集手段により収集され、応答データハッシュ値変換手段、データ長変換手段にて変換された各パケット情報をパケット格納バッファキューの先頭に格納されているパケット格納バッファに空き容量がある場合には、そのまま格納し、空き容量がないと判断した場合には、空き容量がなくなったパケット格納バッファをパケット格納バッファキューから削除し、パケット蓄積バッファキューに追加すると共に、パケット格納バッファキューの先頭となったパケット格納バッファに格納する。また、パケット蓄積手段は、パケット蓄積バッファキューからパケット格納バッファキューの内容を読み出し、ディスクに書き込むと共にすべての情報を書き込んだ後、パケット格納バッファの内容をクリアし、パケット蓄積バッファキューから削除し、パケット格納バッファキューに追加する。
 このように、実施の形態4のパケット収集装置20は、パケットの収集速度とパケットの蓄積速度との違いを吸収することが可能である。 The packet collection device of the fourth embodiment described above is
A plurality of packet storage buffers for temporarily storing collected packets;
A packet storage buffer queue that holds a list of available packet storage buffers for temporary storage in memory;
A packet storage buffer queue that holds a list of packet storage buffers that are to be written to the disk because the area of the temporarily stored packet storage buffer is full is provided.
The packet temporary storage means is a packet storage buffer in which each packet information collected by the packet information collection means and converted by the response data hash value conversion means and the data length conversion means is stored at the head of the packet storage buffer queue. If there is free space, store it as it is, and if it is determined that there is no free space, delete the packet storage buffer that has no free space from the packet storage buffer queue, add it to the packet storage buffer queue, Store in the packet storage buffer at the head of the packet storage buffer queue. The packet storage means reads the contents of the packet storage buffer queue from the packet storage buffer queue, writes it to the disk and writes all the information, clears the contents of the packet storage buffer, deletes it from the packet storage buffer queue, Add to the packet storage buffer queue.
As described above, the packet collection device 20 according to the fourth embodiment can absorb the difference between the packet collection rate and the packet accumulation rate.
 以上の実施の形態4のパケット収集装置20は、パケット格納バッファに格納されているパケット情報をディスクに書き出す際、圧縮を行い、ディスクに書き込むパケット蓄積手段を備えている。これにより、ディスクに書き込む情報量の削減が可能である。 The packet collection device 20 according to the fourth embodiment includes packet storage means for compressing and writing to the disk when packet information stored in the packet storage buffer is written to the disk. As a result, the amount of information written to the disk can be reduced.
実施の形態1の動作再現システム1000の構成図。1 is a configuration diagram of an operation reproduction system 1000 according to Embodiment 1. FIG. 実施の形態1の動作再現システム1000の動作概概要を示す図。FIG. 2 is a diagram showing an outline of the operation of the operation reproduction system 1000 according to the first embodiment. 実施の形態1の応答パケットのデータ形式を示す図。FIG. 3 shows a data format of a response packet according to the first embodiment. 実施の形態1のパケット収集装置20のパケット収集動作のフローチャート。6 is a flowchart of a packet collection operation of the packet collection device 20 according to the first embodiment. 実施の形態1のパケット収集装置20による動作再現処理を示すフローチャート。5 is a flowchart showing operation reproduction processing by the packet collection device 20 according to the first embodiment. 実施の形態1のパケット収集装置20による再現動作の確認処理を示すフローチャート。6 is a flowchart showing a confirmation process of a reproduction operation by the packet collection device 20 according to the first embodiment. 図6を補足説明する図。The figure explaining supplementary FIG. 実施の形態2の仮想計算機の構成図。FIG. 3 is a configuration diagram of a virtual computer according to a second embodiment. 実施の形態2の再現装置220を分離した構成を示す図。The figure which shows the structure which isolate | separated the reproduction apparatus 220 of Embodiment 2. FIG. 実施の形態3のパケット収集装置20の処理フロー。9 is a processing flow of the packet collection device 20 according to the third embodiment. 実施の形態3のUDPパケット70のパケット構造を示す図。FIG. 10 is a diagram illustrating a packet structure of a UDP packet 70 according to the third embodiment. 実施の形態4のパケット収集装置20の構成図。FIG. 6 is a configuration diagram of a packet collection device 20 according to a fourth embodiment. 実施の形態4のパケット一時蓄積部400の動作のフローチャート。10 is a flowchart of the operation of the temporary packet storage unit 400 according to the fourth embodiment. 実施の形態4のパケット蓄積部24の動作のフローチャート。10 is a flowchart of the operation of the packet storage unit 24 according to the fourth embodiment. 実施の形態5のパケット収集装置20の外観を示す図。FIG. 7 is a diagram illustrating an appearance of a packet collection device 20 according to a fifth embodiment. 実施の形態5のパケット収集装置20のハードウェア資源を示す図。The figure which shows the hardware resource of the packet collection apparatus 20 of Embodiment 5. FIG.
符号の説明Explanation of symbols
 10 対象サーバ、20 パケット収集装置、21 パケット情報収集部、22 応答データハッシュ値変換部、23 データ長変換部、24 パケット蓄積部、25 動作再現部、26 再現確認部、27 パケット情報格納部、30 ハブ、31 仮想スイッチ、40 通信回線、50 端末、60 応答パケット、61,61a ヘッダ部分、62 データ部分、62a ハッシュ値、63a データ長情報、64,64a データ長情報、65 フラグ、70 UDPパケット、100 物理計算機、110 対象サーバ、120 パケット収集装置、220 再現装置、400 パケット一時蓄積部、431 パケット格納キュー、432 パケット蓄積キュー、1000 動作再現システム。 10 target server, 20 packet collection device, 21 packet information collection unit, 22 response data hash value conversion unit, 23 data length conversion unit, 24 packet accumulation unit, 25 operation reproduction unit, 26 reproduction confirmation unit, 27 packet information storage unit, 30 hub, 31 virtual switch, 40 communication line, 50 terminal, 60 response packet, 61, 61a header part, 62 data part, 62a hash value, 63a data length information, 64, 64a data length information, 65 flag, 70 UDP packet , 100 physical computer, 110 target server, 120 packet collection device, 220 reproduction device, 400 packet temporary storage unit, 431 packet storage queue, 432 packet storage queue, 1000 operation reproduction system.

Claims (9)

  1.  ヘッダ部分とデータ部分とを含むパケットをネットワークを介して端末装置とやり取りする特定のサーバ装置に対して前記端末装置から送信された前記パケットであって前記サーバ装置に所定の処理を要求する複数の要求パケットと、前記サーバ装置から送信された前記パケットであって前記要求パケットに応答する複数の応答パケットとを、前記ネットワークから収集するパケット情報収集部と、
     前記パケット情報収集部により収集された前記複数の応答パケットの各応答パケットに対して、前記データ部分を所定のハッシュ関数を用いてハッシュ値に変換すると共にハッシュ値変換前の前記データ部分のデータ長を示すデータ長情報を付加データとして付加することにより前記各応答パケットを前記ハッシュ値と前記付加データとを含むハッシュ変換パケットに変換するハッシュ変換部と、
     前記パケット情報収集部により収集された前記複数の要求パケットと、前記ハッシュ変換部により各応答パケットから変換された複数の前記ハッシュ変換パケットとを情報を記憶する記憶装置に蓄積するパケット蓄積部と
    を備えたことを特徴とするパケット収集装置。     A plurality of packets that are transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and that requests predetermined processing from the server device. A packet information collection unit that collects a request packet and a plurality of response packets that are transmitted from the server device and respond to the request packet from the network;
    For each response packet of the plurality of response packets collected by the packet information collection unit, the data portion is converted into a hash value using a predetermined hash function and the data length of the data portion before the hash value conversion A hash conversion unit that converts each response packet into a hash conversion packet including the hash value and the additional data by adding data length information indicating
    A packet storage unit that stores the plurality of request packets collected by the packet information collection unit and a plurality of the hash conversion packets converted from the response packets by the hash conversion unit in a storage device that stores information; A packet collection device comprising:
  2.  前記サーバ装置から送信される前記応答パケットは、
     前記ヘッダ部分に前記ヘッダ部分と前記データ部分との全体のデータ長を示すデータ長情報を有し、
     前記パケット収集装置は、さらに、
     前記記憶装置に蓄積された前記複数の要求パケットを前記ネットワークを介して前記サーバ装置に送信し、送信された前記要求パケットに応答することによって前記サーバ装置から送信された複数の応答パケットを前記ネットワークから再現パケットとして収集する再現部と、
     前記再現部によって収集された複数の前記再現パケットと、前記記憶装置に蓄積された前記複数のハッシュ変換パケットとのなかから要求パケットを同じくする前記再現パケットと前記ハッシュ変換パケットとを抽出し、抽出された前記再現パケットの前記データ長情報から前記再現パケットの前記データ部分のデータサイズを導出し、導出された前記データサイズと抽出された前記ハッシュ変換パケットの前記付加データの示すデータサイズとが同じかどうかを判定し、データサイズが同じであると判定すると前記再現パケットのデータ部分を前記ハッシュ関数を用いてハッシュ値に変換し、変換された前記再現パケットの前記ハッシュ値と前記ハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する確認部と
    を備えたことを特徴とする請求項1記載のパケット収集装置。     The response packet transmitted from the server device is:
    The header portion has data length information indicating the entire data length of the header portion and the data portion,
    The packet collection device further includes:
    The plurality of request packets stored in the storage device are transmitted to the server device via the network, and the plurality of response packets transmitted from the server device are transmitted to the network by responding to the transmitted request packet. A reproduction part that collects as a reproduction packet from
    Extracting and reproducing the reproduction packet and the hash conversion packet that share the request packet from the plurality of reproduction packets collected by the reproduction unit and the plurality of hash conversion packets stored in the storage device The data size of the data portion of the reproduction packet is derived from the data length information of the reproduced packet, and the derived data size and the data size indicated by the additional data of the extracted hash conversion packet are the same If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet A check unit for checking whether or not the hash value is equal. Packet collection apparatus of claim 1 wherein.
  3.  前記ハッシュ変換部は、
     前記パケット情報収集部により収集された前記応答パケットが所定のプロトコルに基づくかどうかを判定し、前記所定のプロトコルに基づくと判定された前記応答パケットのみを前記ハッシュ変換パケットに変換することを特徴とする請求項1記載のパケット収集装置。     The hash conversion unit
    Determining whether the response packet collected by the packet information collection unit is based on a predetermined protocol, and converting only the response packet determined to be based on the predetermined protocol into the hash-converted packet, The packet collection device according to claim 1.
  4.  前記ハッシュ変換部は、
     前記所定のプロトコルではないと判定された前記応答パケットを破棄することを特徴とする請求項3記載のパケット収集装置。     The hash conversion unit
    4. The packet collection device according to claim 3, wherein the response packet determined not to be the predetermined protocol is discarded.
  5.  前記サーバ装置から送信される前記応答パケットは、
     前記ヘッダ部分に前記ヘッダ部分と前記データ部分との全体のデータ長を示すデータ長情報を有し、
     前記パケット収集装置は、さらに、
     前記ハッシュ変換パケットの前記ヘッダ部分の前記データ長情報を、前記ハッシュ変換パケットの全体のデータ長に書き換えるデータ長変換部
    を備えたことを特徴とする請求項1記載のパケット収集装置。     The response packet transmitted from the server device is:
    The header portion has data length information indicating the entire data length of the header portion and the data portion,
    The packet collection device further includes:
    The packet collection device according to claim 1, further comprising a data length conversion unit that rewrites the data length information of the header portion of the hash conversion packet to the entire data length of the hash conversion packet.
  6.  請求項1記載のパケット収集装置によって蓄積された前記複数の要求パケットを前記ネットワークを介して前記サーバ装置に送信し、送信された前記要求パケットに応答することによって前記サーバ装置から送信された複数の応答パケットであってヘッダ部分に前記ヘッダ部分とデータ部分との全体のデータ長を示すデータ長情報を有する複数の応答パケットを前記ネットワークから再現パケットとして収集する再現部と、
     前記再現部によって収集された前記複数の再現パケットと、前記パケット収集装置によって蓄積された前記複数のハッシュ変換パケットとのなかから要求パケットを同じくする前記再現パケットと前記ハッシュ変換パケットとを抽出し、抽出された前記再現パケットの前記データ長情報から前記再現パケットの前記データ部分のデータサイズを導出し、導出された前記データサイズと抽出された前記ハッシュ変換パケットの前記付加データの示すデータサイズとが同じかどうかを判定し、データサイズが同じであると判定すると前記再現パケットのデータ部分を前記ハッシュ関数を用いてハッシュ値に変換し、変換された前記再現パケットの前記ハッシュ値と前記ハッシュ変換パケットのハッシュ値とが等しいかどうかを確認する確認部と
    を備えたことを特徴とする再現装置。     The plurality of request packets stored by the packet collection device according to claim 1 are transmitted to the server device via the network, and the plurality of request packets transmitted from the server device by responding to the transmitted request packets. A replay unit that collects a plurality of response packets as replay packets from the network, the response packet having a data length information indicating the total data length of the header portion and the data portion in the header portion;
    Extracting the reproduction packet and the hash conversion packet that share the request packet from the plurality of reproduction packets collected by the reproduction unit and the plurality of hash conversion packets accumulated by the packet collection device, A data size of the data portion of the reproduction packet is derived from the data length information of the extracted reproduction packet, and the derived data size and a data size indicated by the additional data of the extracted hash conversion packet are: If the data size is determined to be the same, the data portion of the reproduction packet is converted into a hash value using the hash function, and the hash value of the converted reproduction packet and the hash conversion packet are converted A confirmation part that checks whether the hash value of Reproduction apparatus according to claim that there were example.
  7.  前記サーバ装置から送信される前記応答パケットは、
     元となるパケットから分割された分割パケットである場合には、分割に関する分割情報を前記ヘッダ部分に有し、 前記確認部は、
     データサイズが同じではないと判定すると前記再現パケットと前記ハッシュ変換パケットとが前記分割パケットかどうかを判定し、
    (1)前記再現パケットと前記ハッシュ変換パケットとのいずれも前記分割パケットであると判定すると、前記再現パケットと前記ハッシュ変換パケットとのそれぞれについて分割元を同じくするそれぞれの前記再現パケットと前記ハッシュ変換パケットとをそれぞれの前記ヘッダ部分の前記分割情報に基づきすべて特定し、特定されたすべての前記再現パケットのデータ部分を結合し、結合されたデータ部分を、特定され、かつ、対応する前記ハッシュ変換パケットの前記付加データの示すデータサーズに合わせて再分割し、再分割された各データ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応する前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認し、
    (2)前記再現パケットのみが前記分割パケットであると判定すると、前記再現パケットについて分割元を同じくするそれぞれの前記再現パケットを前記再現パケットの前記ヘッダ部分の前記分割情報に基づきすべて特定し、特定されたすべての前記再現パケットのデータ部分を結合し、結合されたデータ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認し、
    (3)前記ハッシュ変換パケットのみが前記分割パケットであると判定すると、前記ハッシュ変換パケットについて分割元を同じくするそれぞれの前記ハッシュ変換パケットを前記ハッシュ変換パケットの前記ヘッダ部分の前記分割情報に基づきすべて特定し、前記再現パケットの前記データ部分を、特定され、かつ、対応する前記ハッシュ変換パケットの前記付加データの示すデータサーズに合わせて分割し、分割された各データ部分を前記ハッシュ関数によってハッシュ値に変換し、変換されたハッシュ値と対応する前記ハッシュ変換パケットの前記ハッシュ値とが等しいかどうかを確認する
    ことを特徴とする請求項6記載の再現装置。     The response packet transmitted from the server device is:
    In the case of a divided packet divided from the original packet, it has division information related to division in the header part, and the confirmation unit includes:
    When it is determined that the data size is not the same, it is determined whether the reproduction packet and the hash conversion packet are the divided packets,
    (1) If it is determined that both the reproduction packet and the hash conversion packet are the divided packets, the reproduction packet and the hash conversion having the same division source for each of the reproduction packet and the hash conversion packet All of the packets are identified based on the segmentation information of each of the header portions, the data portions of all of the identified replay packets are combined, and the combined data portions are identified and the corresponding hash transforms Re-divide according to the data size indicated by the additional data of the packet, convert each re-divided data portion into a hash value by the hash function, and the hash value of the hash conversion packet corresponding to the converted hash value And whether they are equal,
    (2) When it is determined that only the reproduction packet is the divided packet, all the reproduction packets having the same division source as the reproduction packet are specified based on the division information in the header portion of the reproduction packet, and specified. Combining the data portions of all the reproduced packets that have been combined, converting the combined data portions into hash values by the hash function, and determining whether the converted hash value and the hash value of the hash-converted packet are equal Confirmed,
    (3) When it is determined that only the hash conversion packet is the divided packet, all the hash conversion packets having the same division source with respect to the hash conversion packet are all based on the division information of the header portion of the hash conversion packet. Identify and divide the data portion of the reproduction packet according to the data size specified and indicated by the additional data of the corresponding hash conversion packet, and use the hash function to hash each divided data portion. The reproduction apparatus according to claim 6, further comprising: confirming whether the converted hash value is equal to the hash value of the corresponding hash conversion packet.
  8.  コンピュータに、
    (1)ヘッダ部分とデータ部分とを含むパケットをネットワークを介して端末装置とやり取りする特定のサーバ装置に対して前記端末装置から送信された前記パケットであって前記サーバ装置に所定の処理を要求する複数の要求パケットと、前記サーバ装置から送信された前記パケットであって前記要求パケットに応答する複数の応答パケットとを、前記ネットワークから収集する処理、
    (2)収集された前記複数の応答パケットの各応答パケットに対して、前記データ部分を所定のハッシュ関数を用いてハッシュ値に変換すると共にハッシュ値変換前の前記データ部分のデータ長を示すデータ長情報を付加データとして付加することにより前記各応答パケットを前記ハッシュ値と前記付加データとを含むハッシュ変換パケットに変換する処理、
    (3)収集された前記複数の要求パケットと、各応答パケットから変換された複数の前記ハッシュ変換パケットとを情報を記憶する記憶装置に蓄積する処理、
    を実行させるパケット収集プログラム。     On the computer,
    (1) The packet transmitted from the terminal device to a specific server device that exchanges a packet including a header portion and a data portion with the terminal device via a network, and requests the server device to perform predetermined processing. Collecting a plurality of request packets to be transmitted from the network and a plurality of response packets that are transmitted from the server device and respond to the request packet;
    (2) For each response packet of the collected response packets, the data portion is converted into a hash value using a predetermined hash function and data indicating the data length of the data portion before the hash value conversion A process of converting each response packet into a hash conversion packet including the hash value and the additional data by adding length information as additional data;
    (3) A process of storing the collected plurality of request packets and the plurality of hash converted packets converted from the response packets in a storage device that stores information;
    A packet collection program that executes
  9.  請求項8記載のパケット収集プログラムを記録したコンピュータ読み取り可能な記録媒体。 A computer-readable recording medium on which the packet collection program according to claim 8 is recorded.
PCT/JP2009/050275 2009-01-13 2009-01-13 Packet collection device, reproducing device, packet collection program, and recording medium WO2010082289A1 (en)

Priority Applications (2)

Application Number Priority Date Filing Date Title
JP2010546475A JP5014492B2 (en) 2009-01-13 2009-01-13 Packet collection device, reproduction device, packet collection program, and recording medium
PCT/JP2009/050275 WO2010082289A1 (en) 2009-01-13 2009-01-13 Packet collection device, reproducing device, packet collection program, and recording medium

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
PCT/JP2009/050275 WO2010082289A1 (en) 2009-01-13 2009-01-13 Packet collection device, reproducing device, packet collection program, and recording medium

Publications (1)

Publication Number Publication Date
WO2010082289A1 true WO2010082289A1 (en) 2010-07-22

Family

ID=42339558

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/JP2009/050275 WO2010082289A1 (en) 2009-01-13 2009-01-13 Packet collection device, reproducing device, packet collection program, and recording medium

Country Status (2)

Country Link
JP (1) JP5014492B2 (en)
WO (1) WO2010082289A1 (en)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014149619A (en) * 2013-01-31 2014-08-21 Fujitsu Ltd Mail processing method, mail processing program and mail processor
WO2018198473A1 (en) * 2017-04-27 2018-11-01 富士通株式会社 Network monitoring device, network monitoring program and network monitoring method

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2006155251A (en) * 2004-11-30 2006-06-15 Oki Electric Ind Co Ltd Virus detector
US7065102B1 (en) * 2002-03-01 2006-06-20 Network General Technology System and method for correlating request and reply packets
JP2006211405A (en) * 2005-01-28 2006-08-10 Sony Corp Equipment testing system, equipment evaluating apparatus and equipment testing method
JP2007082159A (en) * 2005-09-16 2007-03-29 National Institute Of Advanced Industrial & Technology Network equipment testing apparatus

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7065102B1 (en) * 2002-03-01 2006-06-20 Network General Technology System and method for correlating request and reply packets
JP2006155251A (en) * 2004-11-30 2006-06-15 Oki Electric Ind Co Ltd Virus detector
JP2006211405A (en) * 2005-01-28 2006-08-10 Sony Corp Equipment testing system, equipment evaluating apparatus and equipment testing method
JP2007082159A (en) * 2005-09-16 2007-03-29 National Institute Of Advanced Industrial & Technology Network equipment testing apparatus

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2014149619A (en) * 2013-01-31 2014-08-21 Fujitsu Ltd Mail processing method, mail processing program and mail processor
WO2018198473A1 (en) * 2017-04-27 2018-11-01 富士通株式会社 Network monitoring device, network monitoring program and network monitoring method
US11146582B2 (en) 2017-04-27 2021-10-12 Fujitsu Limited Information processing apparatus, recording medium recording network monitoring program, and network monitoring method

Also Published As

Publication number Publication date
JPWO2010082289A1 (en) 2012-06-28
JP5014492B2 (en) 2012-08-29

Similar Documents

Publication Publication Date Title
JP5018663B2 (en) Delay time measuring device, delay time measuring program, and delay time measuring method
US8948016B2 (en) Communication network monitoring
US20070019640A1 (en) Packet flow monitoring tool and method
US8750136B2 (en) Monitoring apparatus and monitoring method
JP2007013262A (en) Program, method and apparatus for worm determination
US8505098B2 (en) Method for recording, recovering, and replaying real traffic
TW201415216A (en) System and method for retrieving test logs
US20190356589A1 (en) Concept for Segmenting an Application Buffer into Data Packets
CN107820052A (en) Fusion method and system based on assessment of bids business datum and video data
CN111064804A (en) Network access method and device
WO2017012460A1 (en) Method and apparatus for detecting failure of random memory, and processor
JP5014492B2 (en) Packet collection device, reproduction device, packet collection program, and recording medium
WO2020029602A1 (en) Time delay detection method and apparatus, and system
US9716673B2 (en) Packet storage method and packet storage apparatus
US10009151B2 (en) Packet storage method, information processing apparatus, and non-transitory computer-readable storage medium
JP2017073666A (en) Relay device, relay method, relay program, and communication system
US9935886B2 (en) Packet extracting apparatus and method
JP5044687B2 (en) Video processing apparatus and file management method
JP6378044B2 (en) Data processing apparatus, data processing method and program
US20120136958A1 (en) Method for analyzing protocol data unit of internet small computer systems interface
US20150089135A1 (en) Information processing system and method for controlling data access to storage devices
KR101200773B1 (en) Method for Extracting InputFormat for Handling Network Packet Data on Hadoop MapReduce
US8843517B1 (en) System and method for scalable high speed distributive data storage and retrieval
US10305754B2 (en) Apparatus and method to collect packets related to abnormal connection
JP7000808B2 (en) Information processing equipment, information processing methods and programs

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 09838259

Country of ref document: EP

Kind code of ref document: A1

WWE Wipo information: entry into national phase

Ref document number: 2010546475

Country of ref document: JP

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 09838259

Country of ref document: EP

Kind code of ref document: A1