序章 トラフィック分析の方式
トラフィック測定は、IPネットワーク全分野の運用で必要な監視項目です。
ネットワーク管理者は、セキュリティ、アカウンティング、管理といった様々な理由でネットワークトラフィックの詳細を確認する場面に遭遇します。
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
トラフィック測定では、トラフィック指標の見積もり、またはネットワークの問題点を見つける時に正確な分析が求められます。
これらの作業では、ネットワークの中心点(ルーターやスイッチなど)に流れる全てのパケットを分析する必要があります。
分析は即時に実行することも、全てのパケットをログに記録して後処理することもできます。
しかし、現代のネットワーク帯域とトラフィック量の増加に伴い、この種のアプローチは効率的ではありません。
代わりに、共通なプロパティを持つパケットをグループ化して、フローを構成することができます。
例として、フローは同じ送信元アドレスと宛先アドレスを共有する全てのパケットで構成できるため、ネットワークパケットの一部のフィールドのみを使用してフローを組み立てることができます。
このフローというアプローチにより、ネットワーク管理者が関心のある情報を失うことなく、同様の種類のトラフィックをよりコンパクトな形式で保存することができます。
フロー情報はフローデータグラムに集約し、ネットワークメトリックを使いやすい形式でレポートするコレクターにエクスポートされます。
これらの情報を収集すると、ネットワークトラフィックの詳細ビューを維持管理することができます。
ネットワークメトリックの正確な測定は困難なタスクであるため、このフィールドでは多くのソフトウェアが発売され、日々開発されています。
商用環境において、NetFlowの利用はおそらくネットワークトラフィックのアカウンティングと請求に関する事実上の標準です。
NetFlowは、1996年にシスコによって最初に作成されたテクノロジーであり、現在はInternet Protocol Flow Information Export(IPFIX-RFC
3917)として標準化されています。
NetFlowはプローブ、もしくはコレクターでの利用が基本です。
プローブは、通常はルータやスイッチの様なネットワークアプライアンスの一部で、主要なネットワークセグメントに配置されトラフィック情報を中央のコレクターに向けてNetFlowフォーマットデータを送信します。
引用: ジュピターテクノロジー株式会社: nProbeユーザーガイドより
本書籍で紹介するntop社のソフトウェアは、ミラーポートのトラフィックを分析し、監視対象インターフェイスのトラフィック情報を高速にフローにまとめます。
その際、監視対象インターフェイス単位の全体トラフィックからホスト(IPアドレス)単位の個別トラフィックまで、様々なフローを生成することにより、点から線、そして面といった幅広い分析を可能とします。
NetFlow v5/v9, IPFIXという一般的なフローフォーマットの生成だけではなく、ZeroMQプロトコルを活用した拡張フローを生成し、従来のフローコレクターでは描画できなかったTCP統計情報やアプリケーション情報を出力することができます。