WO2020230265A1

WO2020230265A1 - パケットキャプチャ装置および方法

Info

Publication number: WO2020230265A1
Application number: PCT/JP2019/019123
Authority: WO
Inventors: 周平吉田; 祐太右近; 晶子大輝; 奈美子池田; 新田　高庸
Original assignee: 日本電信電話株式会社
Priority date: 2019-05-14
Filing date: 2019-05-14
Publication date: 2020-11-19
Also published as: US20220217069A1; US11683255B2; JP7160189B2; JPWO2020230265A1

Abstract

パケットキャプチャ装置は、ネットワークからパケットを受信するパケット受信部（１２）と、受信したパケットをメモリに格納して一時的に保持するパケット保持部（１３）と、受信したパケットの情報を基にネットワークに通信障害が発生しているかどうかを判定する障害検知部（１４）と、通信障害が検知されたときに、通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定するキャプチャ制御部（１６）と、メモリのパケットの格納先アドレスが動作停止アドレスに到達したとき、または通信障害の検知時点から所定の待ち時間以上が経過したときに、メモリに格納されたパケットをキャプチャデータとして出力するキャプチャデータ生成部（１８）とを備える。

Description

パケットキャプチャ装置および方法

　本発明は、ネットワークにおける通信障害発生の前後期間のパケットを採取するパケットキャプチャ装置および方法に関するものである。

　データセンタ内のネットワークやクラウドサービスを提供するネットワークなどのＩＰ（Internet Protocol）ネットワークでは、パケットロスやバーストトラフィックなどの通信障害が発生するとサービス品質の低下を招く。このため、ＩＰネットワークでは、障害発生原因を特定し、迅速に障害復旧を行うことが重要である。

　一般的なネットワーク障害解析の方法としては、通信障害が発生しているネットワークを流れるパケットをキャプチャ装置を用いて取り込んで保存し、保存した各パケットデータのヘッダのフィールド情報をワイヤシャーク（Wireshark）などの解析ツールを用いて確認することで、どのフローのトラフィックが通信障害の原因となっているかを特定する方法が挙げられる。ここで、フローとは、送信元ＩＰアドレスや宛先ＩＰアドレスなどの、パケットヘッダのフィールド情報の組み合わせで定義されるパケットのグループのことを言う。

　上記の障害解析の方法を人手で行う場合、ネットワークに通信障害が発生していることを何らかの手段で確認した後に、通信障害が発生しているネットワークのトラフィックをキャプチャ装置を用いて一定期間取り込んで保存し、保存したデータの中に障害発生箇所が含まれているか否かを確認するという手順が一般的である。この手順において、保存したデータの中に障害発生箇所が含まれているか否かを確認する工程には時間を要する。また、再現性の低い通信障害の場合には保存したデータの中に障害発生時のトラフィックが含まれているとは限らず、上記の手順を複数回繰り返す必要がある可能性があるため、障害解析には更なる時間を要する可能性がある。

　このような従来の障害解析の方法の問題を解決することを目的とした技術が提案されている（非特許文献１，２参照）。例えば非特許文献１では、侵入検知システムとトラフィックモニタリングシステムとを組み合わせることで、異常トラヒックの自動保存を実現する方法が提案されている。また、非特許文献２では、ＳＮＭＰ（Simple Network Management Protocol）トラップ受信をトリガとして、そのトリガの前後一定期間のパケットを取り込んで保存する機能が搭載されたパケットキャプチャ製品が紹介されている。

　非特許文献１，２に開示された方法では、ネットワークの通信障害を検知したときに自動的にパケット保存を開始するので、通信障害を検知した後で改めてパケットを取り込んで保存する必要が無い。このため、上記で述べた再現性が低い通信障害の解析を行う場合に、パケットの保存を複数回繰り返す必要があるという、解析の効率化を妨げる問題を解消することが可能である。

　また、非特許文献１，２に開示された方法では、ＳＮＭＰトラップなどの、ネットワーク経由の通知を受信したタイミングの前後期間のパケットを取り込んで保存することを可能としている。具体的には、非特許文献１，２に開示された方法では、ネットワークの通信障害を検知する以前からパケットの取り込みを開始しておき、取り込んだパケットデータを随時ＰＣＡＰ（packet capture）形式のファイルとして出力している。そして、ＳＮＭＰトラップを受信すると、障害検知時刻の前後期間（例えば前後数分）のパケットデータが記録されたＰＣＡＰ形式ファイルを上書き禁止とする。以上により、非特許文献１，２に開示された方法では、ＳＮＭＰトラップを受信したタイミングの前後期間のパケットが保存される。

　しかしながら、ネットワーク経由で通知を行うＳＮＭＰでは、実際の障害発生タイミングからＳＮＭＰトラップを受信するまでに遅延が生じる可能性がある。このため、遅延時間を考慮して、パケットを保持するバッファの容量を余分に確保する必要がある。データセンタ内ネットワークのような高帯域なネットワークを監視対象とする場合、例え数秒の遅延時間であったとしても、余分に確保しなければならないバッファの容量は膨大となる。

　また、非特許文献２のように、取り込んだパケットデータをファイルとして随時出力する場合、ＨＤＤ（Hard Disk Drive）／ＳＳＤ（Solid State Drive）などのストレージの容量を十分に確保する必要がある。例えば、マイクロバーストトラフィック（マイクロ秒オーダの時間幅で急激に増加するデータ）のような、障害発生期間が極めて短い通信障害を検知してパケットを取り込みたい場合は、ファイルとして出力されるパケットデータの内、解析に必要な障害発生期間が含まれるパケットデータの割合は極めて小さくなり、ストレージ容量の利用効率が極めて低くなる。

　ストレージの容量増大の回避策としては、障害検知機能とキャプチャ機能とを同一のキャプチャ装置内に搭載するなどして、キャプチャ装置側で障害を検知できるようにすることで、障害検知タイミングからパケット取り込みの開始タイミングまでの遅延時間を削減することが考えられる。

　しかしながら、非特許文献２に開示された装置と同様に、通信障害を検知する以前からパケットの取り込みを開始しておき、障害検知後一定期間パケットの取り込みを継続することで、障害検知の前後期間のパケットを保存する方法を、省メモリな構成で実現しようとすると、以下のような課題がある。
　すなわち、省メモリな構成では、バーストトラフィックのように一時的に入力レートが増加した際に、バッファメモリが障害検知後のパケットデータで埋め尽くされてしまい、障害検知前のパケットを取り込めない可能性があった。

中村豊他，"侵入検知とモニタリングシステムを組み合わせた異常トラヒックの自動保存"，情報処理学会研究報告，Vol.2011-IOT-12，No.38，2011/3/1 "100GbE S2D フルレートパケットキャプチャ／解析装置　Synesis（登録商標）"，株式会社東陽テクニカ，インターネット＜http://www.kyoei-ele.com/products/index.php/prod/info/299/file/7.pdf＞

　本発明は、上記課題を解決するためになされたもので、必要最小限のメモリ構成で障害発生の前後期間のパケットの採取を保証することが可能なパケットキャプチャ装置および方法を提供することを目的とする。

　本発明のパケットキャプチャ装置は、ネットワークからパケットを受信するように構成されたパケット受信部と、受信したパケットをメモリに格納して一時的に保持するように構成されたパケット保持部と、受信したパケットの情報を基に前記ネットワークに通信障害が発生しているかどうかを判定するように構成された障害検知部と、前記障害検知部によって通信障害が検知されたときに、前記通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定するように構成されたキャプチャ制御部と、前記メモリのパケットの格納先アドレスが前記動作停止アドレスに到達したとき、または前記通信障害の検知時点から所定の待ち時間以上が経過したときに、前記メモリに格納されたパケットをキャプチャデータとして出力するように構成されたキャプチャデータ生成部とを備えることを特徴とするものである。
　また、本発明のパケットキャプチャ装置の１構成例において、前記パケット保持部は、リングバッファ構成の前記メモリを有し、前記パケット受信部によってパケットが受信されたときに、前記通信障害の検知前の場合、または前記格納先アドレスが前記動作停止アドレスに到達せず、前記通信障害の検知時点からの経過時間が前記待ち時間未満の場合に、前記パケット受信部によって受信されたパケットを前記メモリの格納先アドレスの領域に格納して、前記格納先アドレスを更新することを特徴とするものである。
　また、本発明のパケットキャプチャ装置の１構成例において、前記キャプチャ制御部は、前記通信障害の検知時点における前記格納先アドレスと、前記通信障害の検知前のパケットの保持を保証する予め設定された保証期間の長さとに基づいて、前記動作停止アドレスを決定することを特徴とするものである。

　また、本発明のパケットキャプチャ装置の１構成例において、前記障害検知部は、前記パケット受信部によって受信されたパケットの一定周期あたりの累積パケット数が累積パケット数上限閾値を超えた場合、または前記パケット受信部によって受信されたパケットの一定周期あたりの累積バイト数が累積バイト数上限閾値を超えた場合に、前記ネットワークに通信障害が発生していると判定することを特徴とするものである。
　また、本発明のパケットキャプチャ装置の１構成例は、前記パケット受信部によって受信されたパケットが属するフローを識別するように構成されたフロー識別部と、前記パケット受信部によって受信されたパケットの累積パケット数および累積バイト数をフロー毎に保持するように構成された累積情報保持部とをさらに備え、前記障害検知部は、一定周期あたりのフロー毎の前記累積パケット数が累積パケット数上限閾値を超えた場合、または一定周期あたりのフロー毎の前記累積バイト数が累積バイト数上限閾値を超えた場合に、前記ネットワークに通信障害が発生していると判定することを特徴とするものである。
　また、本発明のパケットキャプチャ装置の１構成例において、前記キャプチャデータ生成部は、前記動作停止アドレスを開始アドレスとして、前記格納先アドレスから１引いたアドレスまでの前記メモリの領域に格納されたパケットを前記キャプチャデータとして出力することを特徴とするものである。
　また、本発明のパケットキャプチャ装置の１構成例は、前記待ち時間を設定可能なように構成されたパラメータ設定部をさらに備えることを特徴とするものである。

　また、本発明のパケットキャプチャ方法は、ネットワークからパケットを受信する第１のステップと、受信したパケットの情報を基に前記ネットワークに通信障害が発生しているかどうかを判定する第２のステップと、前記第２のステップで通信障害を検知したときに、前記通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定する第３のステップと、前記第１のステップで受信したパケットをメモリに格納して一時的に保持する第４のステップと、前記メモリのパケットの格納先アドレスが前記動作停止アドレスに到達したとき、または前記通信障害の検知時点から所定の待ち時間以上が経過したときに、前記メモリに格納されたパケットをキャプチャデータとして出力する第５のステップとを含むことを特徴とするものである。

　本発明によれば、ネットワークの通信障害を検知したときに、通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定し、メモリのパケットの格納先アドレスが動作停止アドレスに到達したとき、または通信障害の検知時点から所定の待ち時間以上が経過したときに、メモリに格納されたパケットをキャプチャデータとして出力することにより、省メモリなシステム構成で障害発生の前後期間のパケットの採取を保証することが可能となる。

図１は、本発明のパケットキャプチャ装置の動作の概要を説明する図である。図２は、本発明の第１の実施例に係るパケットキャプチャ装置の構成を示すブロック図である。図３は、本発明の第１の実施例に係るパケット格納メモリの物理構成を示す図である。図４は、本発明の第１の実施例に係るパケット格納メモリの論理構成を示す図である。図５は、本発明の第１の実施例に係るパケット格納メモリへのパケットの格納方法の１例を説明する図である。図６は、本発明の第１の実施例に係るパケット格納メモリへのパケットの格納方法の別の例を説明する図である。図７は、本発明の第１の実施例に係るパケットキャプチャ装置の動作を説明するフローチャートである。図８は、本発明の第１の実施例に係るパケットキャプチャ装置の障害検知部の動作を説明するフローチャートである。図９は、本発明の第２の実施例に係るパケットキャプチャ装置の構成を示すブロック図である。図１０は、本発明の第２の実施例に係るパケットキャプチャ装置のフロー情報保持部で保持されるフロー情報の詳細を示す図である。図１１は、本発明の第２の実施例に係るパケットキャプチャ装置の累積情報保持部で保持される累積情報の詳細を示す図である。図１２は、本発明の第２の実施例に係るパケットキャプチャ装置の動作を説明するフローチャートである。図１３は、本発明の第２の実施例に係るパケットキャプチャ装置の動作を説明するフローチャートである。図１４は、本発明の第２の実施例に係るパケットキャプチャ装置の障害検知部の動作を説明するフローチャートである。図１５は、本発明の第１、第２の実施例に係るパケットキャプチャ装置を実現するコンピュータの構成例を示すブロック図である。

［本発明の概要］
　図１は本発明のパケットキャプチャ装置の動作の概要を説明する図である。本発明のパケットキャプチャ装置では、通信量が閾値ＴＨを超えたときに、ネットワークに通信障害が発生したと判定する。図１のＤＰは通信障害の検知時点を示している。また、図１の５０は通信障害の検知時点ＤＰよりも前の期間のうちパケットの保持が保証される期間を示し、１０１は検知時点ＤＰよりも後の期間のうちパケットの保持が保証される期間を示している。検知時点ＤＰよりも後の期間のうちパケットの保持が保証される期間は、最大でα秒である。

［第１の実施例］
　以下、本発明の第１の実施例について詳細に説明する。図２は本発明の第１の実施例に係るパケットキャプチャ装置の構成を示すブロック図である。パケットキャプチャ装置は、接続されたネットワークからパケット１１を受信するパケット受信部１２と、受信したパケットをメモリに格納して一時的に保持するパケット保持部１３と、受信したパケットの情報を基にネットワークに通信障害が発生しているかどうかを一定周期毎に判定する障害検知部１４と、受信パケットの累積パケット数と累積バイト数とを保持する累積情報保持部１５と、障害検知部１４によって通信障害が検知されたときに、通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定するキャプチャ制御部１６と、各種パラメータを設定するパラメータ設定部１７と、パケット保持部１３に保持されたパケットを例えばＰＣＡＰ形式などのキャプチャデータとしてファイル出力するキャプチャデータ生成部１８とから構成される。

　パケット保持部１３は、受信したパケットを一時的に保持するリングバッファとして機能するパケット格納メモリ１３０を内部に有する。
　パケット格納メモリ１３０の物理構成を図３に示す。図３に示したパケット格納メモリ１３０の末尾と先頭を繋げた論理構成を図４に示す。

　また、パケット格納メモリ１３０へのパケットの格納方法の概要を図５、図６に示す。上記のように、パケット格納メモリ１３０は、リングバッファとして機能する。パケット保持部１３は、パケット格納メモリ１３０の先頭アドレスから順にパケットを格納し、パケット格納メモリ１３０の最後尾アドレスまでパケットを格納した場合は、パケット格納メモリ１３０の先頭アドレスに戻って格納済みのデータを上書きするようにパケットを格納する。

　パケット保持部１３の動作は、通信障害が検知されるまで継続される。パケット保持部１３は、通信障害が検知された後に、以下の２つの終了条件のうちいずれかが成立した場合に動作を終了する。第１の条件は、通信障害の検知時点ＤＰから所定の待ち時間α秒が経過したという条件である。第２の条件は、パケット格納メモリ１３０の格納先アドレスが後述する動作停止アドレスＳＡに達したという条件である。動作停止アドレスＳＡの決定方法については後述する。

　図５は第１の条件で停止する例を示している。この場合、パケット保持部１３は、パケット格納メモリ１３０の格納先アドレスが動作停止アドレスＳＡに到達する前に、通信障害の検知時点ＤＰから待ち時間αが経過したため、その時点（アドレスが０ｘＸＸＸ３の時点）で動作を停止している。

　図６は第２の条件で停止する例を示している。図６の例では、パケット保持部１３は、通信障害の検知時点ＤＰから待ち時間αが経過する前に、パケット格納メモリ１３０の格納先アドレスが動作停止アドレスＳＡ（アドレス０ｘ０００２）に到達したため、その時点で動作を停止している。

　なお、図５、図６の１００は通信障害の検知時点ＤＰよりも前の期間を示し、１０１は検知時点ＤＰよりも後の期間を示している。また、図５、図６の１０２は、通信障害の検知時点ＤＰよりも前の期間のうち、パケットが保持されていることを保証するキャプチャ保証期間を示している。

　次に、本実施例のパケットキャプチャ装置の動作を図７、図８を用いて説明する。なお、図７、図８は、あくまで本実施例の制御動作を分り易く説明するためのものであり、本発明の制御手順や実装方法を制限するものでは無い。

　まず、パケット受信部１２は、パケットキャプチャ装置が接続されたネットワークからパケット１１を受信する（図７ステップＳ２０）。
　次に、パケット保持部１３は、パケット受信部１２におけるパケット受信に応じて、パケット格納メモリ１３０のパケットの格納先アドレスを１増やす（図７ステップＳ２１）。

　障害検知部１４は、パケット受信部１２におけるパケット受信に応じて、累積情報保持部１５に保持されている累積パケット数を１増やし、累積情報保持部１５に保持されている累積バイト数を受信パケットのバイト数分だけ増やす（図７ステップＳ２２）。

　また、障害検知部１４は、累積情報保持部１５に保持されている累積パケット数と累積パケット数上限閾値ＰＨとを一定周期毎に比較することにより、あるいは累積情報保持部１５に保持されている累積バイト数と累積バイト数上限閾値ＢＨとを一定周期毎に比較することにより、ネットワークに通信障害が発生しているかどうかを判定する（図８ステップＳ３２）。

　ユーザは、任意の累積パケット数上限閾値ＰＨ、累積バイト数上限閾値ＢＨをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力された累積パケット数上限閾値ＰＨ、累積バイト数上限閾値ＢＨは、パラメータ設定部１７によって設定される。

　障害検知部１４は、累積パケット数が累積パケット数上限閾値ＰＨを超えている場合、あるいは累積バイト数が累積バイト数上限閾値ＢＨを超えている場合、ネットワークに通信障害が発生していると判定し（図８ステップＳ３３においてＹｅｓ）、キャプチャ制御部１６に対して障害検知通知信号を出力する（図８ステップＳ３４）。

　そして、障害検知部１４は、累積パケット数が累積パケット数上限閾値ＰＨ以下、かつ累積バイト数が累積バイト数上限閾値ＢＨ以下で、ネットワークに通信障害が発生していないと判定した場合（ステップＳ３３においてＮｏ）、あるいは障害検知通知信号を出力した場合（ステップＳ３４）、累積情報保持部１５に保持されている累積パケット数および累積バイト数を０に初期化する（図８ステップＳ３５）。

　なお、通信障害の検知方法は、上記の方法以外であっても構わない。例えば、障害検知部１４は、累積情報保持部１５に保持されている累積パケット数が累積パケット数下限閾値ＰＬを下回る場合、あるいは累積情報保持部１５に保持されている累積バイト数が累積バイト数下限閾値ＢＬを下回る場合、ネットワークに通信障害が発生していると判定するようにしてよい（ステップＳ３３）。

　累積パケット数下限閾値ＰＬ、累積バイト数下限閾値ＢＬを用いる場合、障害検知部１４は、累積パケット数が累積パケット数下限閾値ＰＬ以上で累積パケット数上限閾値ＰＨ以下、かつ累積バイト数が累積バイト数下限閾値ＢＬ以上で累積バイト数上限閾値ＢＨ以下であれば、ネットワークに通信障害が発生していないと判定する。

　ユーザは、任意の累積パケット数下限閾値ＰＬ、累積バイト数下限閾値ＢＬをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力された累積パケット数下限閾値ＰＬ、累積バイト数下限閾値ＢＬは、パラメータ設定部１７によって設定される。
　障害検知部１４は、以上のステップＳ３２～Ｓ３５の処理を一定周期毎に行う。

　次に、キャプチャ制御部１６は、障害検知部１４から障害検知通知信号を受信したかどうかを判定する（図７ステップＳ２３）。キャプチャ制御部１６は、障害検知通知信号を受信したときに、動作停止アドレスＳＡを決定する（図７ステップＳ２４）。

　具体的には、キャプチャ制御部１６は、障害検知通知信号を受信した時点でのパケット格納メモリ１３０の格納先アドレスＰＡから、予め設定されたキャプチャ保証期間分のアドレス数Ｎを引いた値（ＰＡ－Ｎ）を動作停止アドレスＳＡとする。

　このとき、キャプチャ制御部１６は、現時点の格納先アドレスＰＡからキャプチャ保証期間分のアドレス数Ｎを引いた減算結果（ＰＡ－Ｎ）が負となる場合（図５、図６における先頭アドレス０ｘ００００より前のアドレス値になる場合）、パケット格納メモリ１３０の最後尾のアドレス（図５、図６における０ｘＸＸＸ４）から、減算結果（ＰＡ－Ｎ）の絶対値を更に引いた値を動作停止アドレスＳＡとする。

　ユーザは、任意のキャプチャ保証期間の長さをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力されたキャプチャ保証期間（アドレス数）は、パラメータ設定部１７によって設定される。キャプチャ保証期間は、アドレス数でなく、全体のメモリ容量に対する割合で定義するようにしてよい。
　なお、動作停止アドレスＳＡの決定は、通信障害が検知された時点で１回だけ行われることは言うまでもない。

　次に、キャプチャ制御部１６は、通信障害の検知後か否かを判定する（図７ステップＳ２５）。キャプチャ制御部１６は、障害検知部１４から既に障害検知通知信号を受信しているときには通信障害の検知後と判定し、障害検知通知信号を受信していないときには通信障害の検知前と判定する。

　パケット保持部１３は、キャプチャ制御部１６が通信障害の検知前と判定した場合、パケット受信部１２によって受信されたパケットを、パケット格納メモリ１３０の現時点の格納先アドレスＰＡの領域に格納し（図７ステップＳ２６）、ステップＳ２０に戻る。

　また、キャプチャ制御部１６は、通信障害の検知後と判定した場合、パケット格納メモリ１３０の現時点の格納先アドレスＰＡが動作停止アドレスＳＡに到達しているかどうかを判定する（図７ステップＳ２７）。

　キャプチャデータ生成部１８は、格納先アドレスＰＡが動作停止アドレスＳＡに到達していると判定された場合（ＰＡ＝ＳＡ）、パケット格納メモリ１３０の動作停止アドレスＳＡを出力開始アドレスとして、出力開始アドレスから（ＰＡ－１）までの領域に格納されたパケットを、このＳＡから（ＰＡ－１）までの並び順で例えばＰＣＡＰ形式のファイルに変換し、ＰＣＡＰ形式のファイルをキャプチャデータ１９として出力する（図７ステップＳ２８）。キャプチャデータ１９の出力後、パケットキャプチャ装置はステップＳ２０に戻る。

　また、キャプチャ制御部１６は、パケット格納メモリ１３０の現時点の格納先アドレスＰＡが動作停止アドレスＳＡに到達していない場合（ＰＡ≠ＳＡ）、障害検知通知信号を受信した時点（通信障害の検知時点ＤＰ）から待ち時間α以上経過しているかどうかを判定する（図７ステップＳ２９）。

　ユーザは、任意の待ち時間αをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力された待ち時間αの値は、パラメータ設定部１７によって設定される。
　なお、待ち時間αに相当するアドレス数とキャプチャ保証期間に相当するアドレス数の合計は、パケット格納メモリ１３０の先頭アドレスから最後尾アドレスまでのアドレス数以下である必要がある。

　キャプチャデータ生成部１８は、通信障害の検知時点ＤＰから待ち時間α以上経過していると判定された場合、パケット格納メモリ１３０の動作停止アドレスＳＡを出力開始アドレスとして、出力開始アドレスから（ＰＡ－１）までの領域に格納されたパケットを、このＳＡから（ＰＡ－１）までの並び順で例えばＰＣＡＰ形式のファイルに変換し、ＰＣＡＰ形式のファイルをキャプチャデータ１９として出力する（ステップＳ２８）。

　また、パケット保持部１３は、通信障害の検知時点ＤＰからの経過時間が待ち時間α未満の場合、パケット受信部１２によって受信されたパケットを、パケット格納メモリ１３０の現時点の格納先アドレスＰＡの領域に格納し（図７ステップＳ２９）、ステップＳ２０に戻る。

　こうして、本実施例では、必要最小限のメモリ構成で障害発生の前後期間のパケットの採取を保証することができる。

［第２の実施例］
　次に、本発明の第２の実施例について詳細に説明する。本実施例では、トラフィックのフロー毎に障害を検知する。ここで、フローとは、送信元ＩＰアドレスや宛先ＩＰアドレスなどの、パケットヘッダのフィールド情報の組み合わせで定義されるパケットのグループのことを言う。第１の実施例では、トラフィック全体に対して障害判定を行っていたが、本実施例では、受信したパケットのヘッダを解析してフローを識別した後、フロー毎に障害が発生しているか否かの判定を行う。

　図９は本実施例に係るパケットキャプチャ装置の構成を示すブロック図である。本実施例のパケットキャプチャ装置は、接続されたネットワークからパケット３１を受信するパケット受信部３２と、受信したパケットのヘッダを抽出するヘッダ解析部３３と、ヘッダ解析部３３によって抽出されたヘッダの情報を基にパケットが属するフローを識別するフロー識別部３４と、フロー情報を保持するフロー情報保持部３５と、受信したパケットをメモリに格納して一時的に保持する保持するパケット保持部３６と、受信したパケットのフロー単位の情報を基にネットワークに通信障害が発生しているかどうかを一定周期毎に判定する障害検知部３７と、フロー毎の累積パケット数と累積バイト数とを保持する累積情報保持部３８と、障害検知部３７によって通信障害が検知されたときに、通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定するキャプチャ制御部３９と、各種パラメータを設定するパラメータ設定部３１０と、パケット保持部３６に保持されたパケットを例えばＰＣＡＰ形式などのキャプチャデータとしてファイル出力するキャプチャデータ生成部３１１とから構成される。

　フロー情報保持部３５で保持されるフロー情報の詳細を図１０に示す。図１０に示すように、フロー情報は、各フローに割り当てられた固有の識別番号であるフローＩＤと、送信元ＭＡＣ（Media Access Control）アドレスと、宛先ＭＡＣアドレスと、送信元ＩＰアドレスと、宛先ＩＰアドレスとをフロー毎に記録したものである。

　なお、フロー情報保持部３５で保持されるフロー情報は、図１０に示したもの以外であっても構わない。図１０に示した例以外に、例えば送信元ポート番号、宛先ポート番号、プロトコル種別、ＶＬＡＮ　ＩＤ（Virtual Local Area Network IDentifier）、ＶＸＬＡＮ　ＩＤ（Virtual eXtensible Local Area Network IDentifier）などのヘッダフィールド情報をフロー情報としてもよい。

　累積情報保持部３８で保持される累積情報の詳細を図１１に示す。累積情報保持部３８は、第１の実施例の累積情報保持部１５と同様に累積パケット数および累積バイト数を保持するが、受信したトラフィック全体の累積パケット数および累積バイト数の他に、フロー単位での累積パケット数および累積バイト数も併せて保持する。
　パケット保持部３６は、第１の実施例のパケット保持部１３と同様にパケット格納メモリ１３０を内部に有する。

　次に、本実施例のパケットキャプチャ装置の動作を図１２～図１４を用いて説明する。なお、図１２～図１４は、あくまで本実施例の制御動作を分り易く説明するためのものであり、本発明の制御手順や実装方法を制限するものでは無い。

　まず、パケット受信部３２は、パケットキャプチャ装置が接続されたネットワークからパケット３１を受信する（図１２ステップＳ４０）。
　次に、ヘッダ解析部３３は、パケット受信部１２によって受信されたパケットのヘッダを解析して、ヘッダのフィールド情報を抽出する（図１２ステップＳ４１）。

　フロー識別部３４は、ヘッダ解析部３３によって抽出されたヘッダのフィールド情報に基づいて、パケット受信部１２によって受信されたパケットが属するフローを識別する（図１２ステップＳ４２）。具体的には、フロー識別部３４は、受信パケットが属するフローの情報がフロー情報保持部３５に既に登録されているかどうかを検索し、該当するフローの情報が登録されている場合には、このフローのＩＤをフロー情報保持部３５から取得する。

　例えば図１０の例では、フロー識別部３４は、受信パケットの送信元ＭＡＣアドレスと宛先ＭＡＣアドレスと送信元ＩＰアドレスと宛先ＩＰアドレスとがフロー情報保持部３５に登録済みのフローの情報と一致すれば、受信パケットを登録済みのフローに属するものと判定して、このフローのＩＤを取得する。

　また、フロー識別部３４は、受信パケットが属するフローの情報がフロー情報保持部３５に登録されていない場合、すなわち受信パケットの送信元ＭＡＣアドレスと宛先ＭＡＣアドレスと送信元ＩＰアドレスと宛先ＩＰアドレスとに一致するフローの情報がフロー情報保持部３５に登録されていない場合、受信パケットを新規のフローに属するものと判定する。

　フロー識別部３４は、受信パケットを新規のフローに属するものと判定した場合（図１２ステップＳ４３においてＹｅｓ）、この新規のフローに割り当てるＩＤを決定し、決定したＩＤと受信パケットの送信元ＭＡＣアドレスと宛先ＭＡＣアドレスと送信元ＩＰアドレスと宛先ＩＰアドレスとを新規のフローの情報としてフロー情報保持部３５に登録する（図１２ステップＳ４４）。

　パケット保持部３６は、フロー識別部３４によるフローの識別後に、パケット格納メモリ１３０のパケットの格納先アドレスを１増やす（図１２ステップＳ４５）。
　次に、フロー識別部３４は、受信パケットが属するフローのＩＤと受信パケットのバイト数とを障害検知部３７に対して通知する。

　障害検知部３７は、フロー識別部３４から通知されたフローＩＤが累積情報保持部３８に登録されているかどうかを検索し、該当するフローＩＤが登録されている場合には（図１２ステップＳ４６においてＮｏ）、累積情報保持部３８に保持されている該当するフローＩＤの累積パケット数を１増やし、累積情報保持部３８に保持されている該当するフローＩＤの累積バイト数をフロー識別部３４から通知された受信パケットのバイト数分だけ増やす（図１２ステップＳ４７）。

　さらに、障害検知部３７は、累積情報保持部３８に保持されているトラフィック全体の累積パケット数を１増やし、累積情報保持部３８に保持されているトラフィック全体の累積バイト数をフロー識別部３４から通知された受信パケットのバイト数分だけ増やす（ステップＳ４７）。

　また、障害検知部３７は、フロー識別部３４から通知されたフローＩＤが累積情報保持部３８に登録されていない場合（ステップＳ４６においてＹｅｓ）、受信パケットを新規のフローに属するものと判定し、フローの累積パケット数を１とし、フローの累積バイト数をフロー識別部３４から通知された受信パケットのバイト数とする。そして、障害検知部３７は、この累積パケット数と累積バイト数とをフロー識別部３４から通知されたフローＩＤと対応付けて累積情報保持部３８に新規に登録する（図１２ステップＳ４８）。

　さらに、障害検知部３７は、累積情報保持部３８に保持されているトラフィック全体の累積パケット数を１増やし、累積情報保持部３８に保持されているトラフィック全体の累積バイト数をフロー識別部３４から通知された受信パケットのバイト数分だけ増やす（ステップＳ４８）。

　障害検知部３７は、累積情報保持部３８に保持されているフロー毎の累積パケット数と累積パケット数上限閾値ＦＰＨとを一定周期毎に比較することにより、あるいは累積情報保持部３８に保持されているフロー毎の累積バイト数と累積バイト数上限閾値ＦＢＨとを一定周期毎に比較することにより、ネットワークに通信障害が発生しているかどうかを判定する（図１４ステップＳ６２）。

　ユーザは、フロー単位の累積パケット数上限閾値ＦＰＨおよびフロー単位の累積バイト数上限閾値ＦＢＨをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力された累積パケット数上限閾値ＦＰＨおよび累積バイト数上限閾値ＦＢＨは、パラメータ設定部３１０によって設定される。

　障害検知部３７は、フロー毎の累積パケット数のうち少なくとも１つのフローの累積パケット数が累積パケット数上限閾値ＦＰＨを超えている場合、あるいはフロー毎の累積バイト数のうち少なくとも１つのフローの累積バイト数が累積バイト数上限閾値ＦＢＨを超えている場合、ネットワークに通信障害が発生していると判定し（図１４ステップＳ６３においてＹｅｓ）、キャプチャ制御部３９に対して障害検知通知信号を出力する（図１４ステップＳ６４）。

　そして、障害検知部３７は、フロー毎の累積パケット数の全てが累積パケット数上限閾値ＦＰＨ以下、かつフロー毎の累積バイト数の全てが累積バイト数上限閾値ＦＢＨ以下で、ネットワークに通信障害が発生していないと判定した場合（ステップＳ６３においてＮｏ）、あるいは障害検知通知信号を出力した場合（ステップＳ６４）、累積情報保持部３８に保持されている全ての累積パケット数および全ての累積バイト数を０に初期化する（図１４ステップＳ６５）。

　なお、通信障害の検知方法は、上記の方法以外であっても構わない。例えば、障害検知部３７は、累積情報保持部３８に保持されているフロー毎の累積パケット数のうち少なくとも１つのフローの累積パケット数が累積パケット数下限閾値ＦＰＬを下回る場合、あるいは累積情報保持部３８に保持されているフロー毎の累積バイト数のうち少なくとも１つのフローの累積バイト数が累積バイト数下限閾値ＦＢＬを下回る場合、ネットワークに通信障害が発生していると判定するようにしてよい（ステップＳ６３）。

　累積パケット数下限閾値ＦＰＬ、累積バイト数下限閾値ＦＢＬを用いる場合、障害検知部３７は、フロー毎の累積パケット数が累積パケット数下限閾値ＦＰＬ以上で累積パケット数上限閾値ＦＰＨ以下、かつフロー毎の累積バイト数が累積バイト数下限閾値ＦＢＬ以上で累積バイト数上限閾値ＦＢＨ以下であれば、ネットワークに通信障害が発生していないと判定する。

　ユーザは、フロー単位の累積パケット数下限閾値ＦＰＬおよびフロー単位の累積バイト数下限閾値ＦＢＬをパケットキャプチャ装置に対して設定することが可能である。ユーザによって入力された累積パケット数下限閾値ＦＰＬおよび累積バイト数下限閾値ＦＢＬは、パラメータ設定部３１０によって設定される。
　障害検知部３７は、以上のステップＳ６２～Ｓ６５の処理を一定周期毎に行う。

　次に、キャプチャ制御部３９は、障害検知部３７から障害検知通知信号を受信したかどうかを判定する（図１２ステップＳ４９）。キャプチャ制御部３９は、障害検知通知信号を受信したときに、動作停止アドレスＳＡを決定する（図１２ステップＳ５０）。動作停止アドレスＳＡの決定方法は、第１の実施例と同じである。第１の実施例と同様に、キャプチャ保証期間（アドレス数）は、予めパラメータ設定部３１０によって設定される。

　次に、キャプチャ制御部３９は、通信障害の検知後か否かを判定する（図１３ステップＳ５１）。キャプチャ制御部３９は、障害検知部３７から既に障害検知通知信号を受信しているときには通信障害の検知後と判定し、障害検知通知信号を受信していないときには通信障害の検知前と判定する。

　パケット保持部３６は、キャプチャ制御部３９が通信障害の検知前と判定した場合、パケット受信部３２によって受信されたパケットを、パケット格納メモリ１３０の現時点の格納先アドレスＰＡの領域に格納し（図１３ステップＳ５２）、ステップＳ４０に戻る。

　また、キャプチャ制御部３９は、通信障害の検知後と判定した場合、パケット格納メモリ１３０の現時点の格納先アドレスＰＡが動作停止アドレスＳＡに到達しているかどうかを判定する（図１３ステップＳ５３）。

　キャプチャデータ生成部３１１は、格納先アドレスＰＡが動作停止アドレスＳＡに到達していると判定された場合、パケット格納メモリ１３０の動作停止アドレスＳＡを出力開始アドレスとして、出力開始アドレスから（ＰＡ－１）までの領域に格納されたパケットを、このＳＡから（ＰＡ－１）までの並び順で例えばＰＣＡＰ形式のファイルに変換し、ＰＣＡＰ形式のファイルをキャプチャデータ３１２として出力する（図１３ステップＳ５４）。キャプチャデータ３１２の出力後、パケットキャプチャ装置はステップＳ４０に戻る。

　また、キャプチャ制御部３９は、パケット格納メモリ１３０の現時点の格納先アドレスＰＡが動作停止アドレスＳＡに到達していない場合、障害検知通知信号を受信した時点（通信障害の検知時点ＤＰ）から待ち時間α以上経過しているかどうかを判定する（図１３ステップＳ５５）。第１の実施例と同様に、待ち時間αは、予めパラメータ設定部３１０によって設定される。

　キャプチャデータ生成部３１１は、通信障害の検知時点ＤＰから待ち時間α以上経過していると判定された場合、パケット格納メモリ１３０の動作停止アドレスＳＡを出力開始アドレスとして、出力開始アドレスから（ＰＡ－１）までの領域に格納されたパケットを、このＳＡから（ＰＡ－１）までの並び順で例えばＰＣＡＰ形式のファイルに変換し、ＰＣＡＰ形式のファイルをキャプチャデータ１９として出力する（ステップＳ５４）。

　また、パケット保持部３６は、通信障害の検知時点ＤＰからの経過時間が待ち時間α未満の場合、パケット受信部３２によって受信されたパケットを、パケット格納メモリ１３０の現時点の格納先アドレスＰＡの領域に格納し（図１３ステップＳ５６）、ステップＳ４０に戻る。
　こうして、本実施例では、フロー毎に通信障害を検知することができる。

　第１、第２の実施例で説明したパケットキャプチャ装置は、ＣＰＵ（Central Processing Unit）、記憶装置及びインターフェースを備えたコンピュータと、これらのハードウェア資源を制御するプログラムによって実現することができる。このコンピュータの構成例を図１５に示す。

　コンピュータは、ＣＰＵ２００と、記憶装置２０１と、インターフェース装置（以下、Ｉ／Ｆと略する）２０２とを備えている。Ｉ／Ｆ２０２には、パケット受信部１２，３２の回路とキャプチャデータの出力先の装置等が接続される。このようなコンピュータにおいて、本発明のパケットキャプチャ方法を実現させるためのプログラムは記憶装置２０１に格納される。ＣＰＵ２００は、記憶装置２０１に格納されたプログラムに従って第１、第２の実施例で説明した処理を実行する。
　また、第１、第２の実施例で説明したパケットキャプチャ装置の一部をＡＳＩＣ（application specific integrated circuit）あるいはＦＰＧＡ（field-programmable gate array）などのハードウェアロジックで構成してもよい。

　本発明は、ＩＰネットワークにおけるバーストトラフィックなどの通信障害の原因を解析する技術に適用することができる。

　１１，３１…パケット、１２，３２…パケット受信部、１３，３６…パケット保持部、１４，３７…障害検知部、１５，３８…累積情報保持部、１６，３９…キャプチャ制御部、１７，３１０…パラメータ設定部、１８，３１１…キャプチャデータ生成部、１９，３１２…キャプチャデータ、３３…ヘッダ解析部、３４…フロー識別部、３５…フロー情報保持部、１３０…パケット格納メモリ。

Claims

　ネットワークからパケットを受信するように構成されたパケット受信部と、
　受信したパケットをメモリに格納して一時的に保持するように構成されたパケット保持部と、
　受信したパケットの情報を基に前記ネットワークに通信障害が発生しているかどうかを判定するように構成された障害検知部と、
　前記障害検知部によって通信障害が検知されたときに、前記通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定するように構成されたキャプチャ制御部と、
　前記メモリのパケットの格納先アドレスが前記動作停止アドレスに到達したとき、または前記通信障害の検知時点から所定の待ち時間以上が経過したときに、前記メモリに格納されたパケットをキャプチャデータとして出力するように構成されたキャプチャデータ生成部とを備えることを特徴とするパケットキャプチャ装置。
　請求項１記載のパケットキャプチャ装置において、
　前記パケット保持部は、リングバッファ構成の前記メモリを有し、前記パケット受信部によってパケットが受信されたときに、前記通信障害の検知前の場合、または前記格納先アドレスが前記動作停止アドレスに到達せず、前記通信障害の検知時点からの経過時間が前記待ち時間未満の場合に、前記パケット受信部によって受信されたパケットを前記メモリの格納先アドレスの領域に格納して、前記格納先アドレスを更新することを特徴とするパケットキャプチャ装置。
　請求項１または２記載のパケットキャプチャ装置において、
　前記キャプチャ制御部は、前記通信障害の検知時点における前記格納先アドレスと、前記通信障害の検知前のパケットの保持を保証する予め設定された保証期間の長さとに基づいて、前記動作停止アドレスを決定することを特徴とするパケットキャプチャ装置。
　請求項１乃至３のいずれか１項に記載のパケットキャプチャ装置において、
　前記障害検知部は、前記パケット受信部によって受信されたパケットの一定周期あたりの累積パケット数が累積パケット数上限閾値を超えた場合、または前記パケット受信部によって受信されたパケットの一定周期あたりの累積バイト数が累積バイト数上限閾値を超えた場合に、前記ネットワークに通信障害が発生していると判定することを特徴とするパケットキャプチャ装置。
　請求項１乃至３のいずれか１項に記載のパケットキャプチャ装置において、
　前記パケット受信部によって受信されたパケットが属するフローを識別するように構成されたフロー識別部と、
　前記パケット受信部によって受信されたパケットの累積パケット数および累積バイト数をフロー毎に保持するように構成された累積情報保持部とをさらに備え、
　前記障害検知部は、一定周期あたりのフロー毎の前記累積パケット数が累積パケット数上限閾値を超えた場合、または一定周期あたりのフロー毎の前記累積バイト数が累積バイト数上限閾値を超えた場合に、前記ネットワークに通信障害が発生していると判定することを特徴とするパケットキャプチャ装置。
　請求項１乃至５のいずれか１項に記載のパケットキャプチャ装置において、
　前記キャプチャデータ生成部は、前記動作停止アドレスを開始アドレスとして、前記格納先アドレスから１引いたアドレスまでの前記メモリの領域に格納されたパケットを前記キャプチャデータとして出力することを特徴とするパケットキャプチャ装置。
　請求項１乃至６のいずれか１項に記載のパケットキャプチャ装置において、
　前記待ち時間を設定可能なように構成されたパラメータ設定部をさらに備えることを特徴とするパケットキャプチャ装置。
　ネットワークからパケットを受信する第１のステップと、
　受信したパケットの情報を基に前記ネットワークに通信障害が発生しているかどうかを判定する第２のステップと、
　前記第２のステップで通信障害を検知したときに、前記通信障害の検知時点の前後期間のパケットの保持が保証されるように動作停止アドレスを決定する第３のステップと、
　前記第１のステップで受信したパケットをメモリに格納して一時的に保持する第４のステップと、
　前記メモリのパケットの格納先アドレスが前記動作停止アドレスに到達したとき、または前記通信障害の検知時点から所定の待ち時間以上が経過したときに、前記メモリに格納されたパケットをキャプチャデータとして出力する第５のステップとを含むことを特徴とするパケットキャプチャ方法。