2020年11月12日木曜日

Home / NetFlow / Network Traffic Analyzer / nProbe / ntopng / sFlow / 簡単で効果的なアプリケーション分析ステップ・バイ・ステップ

簡単で効果的なアプリケーション分析ステップ・バイ・ステップ

by on in , , , ,

弊社が販売するntopngを利用したアプリケーション分析の方法をご紹介いたします。

文:ジュピターテクノロジー よしひろ

図1 iphoneのリアルタイムアプリケーション分析

図1はiphone7でWifiに接続し、Youtubeを再生したり、ZoomやTelegramアプリを起動したときのリアルタイムトラフィックグラフです。

本記事では、ntopngを活用したアプリケーション分析の方法をステップ・バイ・ステップで説明致します。

3つのアプリケーション分析アプローチ

ntopngのアプリケーション分析アプローチ方法は、以下3種類あります。

  • トラフィック全体のアプリケーションから、どのユーザーが帯域を使っているか?の逆引きアプローチ
  • どのIPがどのアプリケーションを使っているのか?の正引きアプローチ
  • 社内イントラWEBシステム等、ローカルアプリケーションの登録

それぞれ、ご紹介します。

トラフィック全体からの逆引きアプローチ

全体トラフィックのアプリケーション分析は、以下の手順となります。
  1. 「インターフェイス」メニューをクリック
  2. 「グラフ」アイコンをクリック
  3.  プルダウンメニューの上段「Topプロトコル」、下段「Topプロトコル」を選択
上記1-3で、直近5分間のトラフィックグラフとクライアント・サーバー間通信でスループットが多かったアプリケーションが表示されます。

所謂"Top N"アプリケーションですが、ntopngは"Top N"の数を制限しません。

指定した時間範囲内にインターフェイス上で検出されたアプリケーションを全て確認することができます。

図2 「Topプロトコル」,「Topプロトコル」画面

図2では③のRTSP,HTTP,EKRAN,TLSで全体トラフィックの81.2%を利用しているのが分かります。

トラフィック利用者の特定

それでは、図1の一番帯域消費量が多いRTSP(Real Time Streaming Protocol)をさらに追跡して、誰がRTSPを利用しているのか?、RTSPのサイトは何か?を特定しましょう。

ここで注意ですが、時間枠はデフォルトの直近5分ではなく、30m以上を選択してください。

直近5分ですと、メモリ内の情報がパージされる場合があり、グラフが表示されないことがあります。

図2は、30mを指定し図1の④RTSPのアクション列の虫眼鏡をクリックした図となります。

図2「RTSP」,「Top RTSP L7 Contacts」画面

図2の通り、プルダウンメニューの上段「RTSP」、下段「Top RTSP L7 Conctas」を選択した画面に遷移しています。

今回は、クライアント・サーバー間のホストが1組でしたが複数あれば表に表示されます。

クライアントにipcam2f, サーバーにipcam8f、スループットは1.01Mbit/s、合計バイト215.99MBということで弊社設置のIPカメラがRTSPの利用ユーザーであったことが分かりました。

では、このRTSPのトラフィックですがいくつのフローから構成され、どのようなポートを利用しているのでしょうか?

それでは、RTSPのフロー情報をみてみましょう。

特定アプリケーションのフロー情報参照

図2のアクション列の虫眼鏡マークをクリックしてください。

図3 「RTSP」,「ipcam2f⇔ipcam8f[RTSP]」画面

図3の通り、5つのフローから構成されそれぞれの送信元ポート番号、宛先ポート番号、フロー発生時刻、パケット数、スループット、合計バイトを確認することができます。

さらに、アクション列の下矢印アイコンをクリックするとフローのパケットが、紙アイコンを押すとテキストのフロー情報をダウンロードすることができます。

特定IPの利用アプリケーション正引きアプローチ

特定IPの利用アプリケーション分析は、以下の手順となります。
  1. 「ホスト」→「ホスト」メニューをクリック
  2.  分析を行うローカルホストを選択する
  3. 「グラフ」アイコンをクリック
  4.  プルダウンメニューの上段「Topプロトコル」、下段「Topプロトコル」を選択
上記1-4で、直近5分間のトラフィックグラフとクライアント・サーバー間通信でスループットが多かったアプリケーションが表示されます。

後は、「特定アプリケーションのフロー情報参照」の操作と同様となります。

ローカルアプリケーションの登録

ntopngのアプリケーション分析は約250種類の判別が可能ですが、社内システム等の特殊な通信をUnknownプロトコルとしてntopngが認識している場合、任意のアプリケーション名として判別する方法があります。

登録方法は、ホスト名とポート番号の2種類があります。

ブログ記事「ntop Deep Packet Inspection(nDPI)未登録プロトコル設定」では、弊社社内で導入している証跡管理システムをアプリケーション名EKRANで登録する例をご紹介しております。

Unknownプロトコルを特定のアプリケーションに紐づけていけばネットワークトラフィックの可視化がさらに進みます。こちらを参考に、是非トライしてみてください。


本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!




By 時刻:
ラベル: , , , ,