パケットベースの解析の「いま」と「これから」 ~パケットデータの活用~
当社で開発、販売しているパケットキャプチャ製品「SYNESIS」は、「パケットロスなく100%キャプチャ」がコンセプトの製品で高速回線でも長時間ロスなくパケットキャプチャが可能です。
みなさまの中には、「大量のパケット、いったいみんなはどのように活用しているの?」と疑問に思うかもしれません。
今回は、SYNESISでキャプチャされたパケットの活用例と、私達が考える「いま」と「これから」のパケットベースでの監視について紹介させてください。
パケットベースによる監視の優位点
みなさまの中には、パケットベースではなく、NetFlowに代表されるフローベースでのネットワーク監視や分析を行っている方もいらっしゃると思います。
フローベースでの測定は、統計情報をもとににフロー(通信の集合)レベルで監視する方法です。統計情報をベースにしているためパケットベースに比べてデータ容量は少なくてすみます。
またフロー情報から通信パターンやトラフィックの送信元や宛先、通信量のトレンドを簡単に知ることができますので、パケットキャプチャからの解析に比べて専門的なスキルや知識は必要ありません。
しかしパケットベースの測定にもフローベースにはない優位点は存在します。
- 詳細なトラフィック解析
パケットキャプチャは、ネットワーク上を流れる個々のパケットをリアルタイムで取得し、詳細に解析することができます。これにより、ネットワークのトラブルやボトルネックの特定、パフォーマンスの向上が可能となります。 - セキュリティの強化
パケットキャプチャは、悪意のあるトラフィックやセキュリティ上の脅威を検出するために非常に有用です。パケットの内容やヘッダー情報を分析することで、不正アクセスや攻撃の特定、セキュリティ対策の強化が可能となります。 - 確固たる証拠の提供
パケットキャプチャは、ネットワーク上の通信の詳細な記録を提供するため、法的な証拠としても使用できます。セキュリティインシデントの調査や不正行為の追跡、契約上の紛争の解決において、確固たる証拠となります。
パケットキャプチャは、ネットワーク上のすべてのデータを取り込み保存します。これはメリットでもありデメリットでもあります。必然的にデータをためるストレージはフローベースの機器よりたくさん必要です。また解析する必要があるパケットは、ほんの一握りかもしれません。ですので、フローベースの機器よりデータの検索や抽出には時間がかかります。
最適な測定方法を選択するためには、監視の目的や必要な情報レベル、ネットワークの規模とトラフィック量、可用性と負荷のバランス、ツールの対応性と適用範囲などの要素を総合的に考慮することです。
お互いを補完できるハイブリッドでの監視も有効な手段だと考えます。
ユーザのパケットデータの活用事例
お陰様でSYENSISは、国内外で多くのユーザにご好評いただいています。最近では、トラブルシューティングだけではなく、ネットワーク管理、セキュリティ、デジタルフォレンジックなど様々な業界、用途でSYNESISが使われています。いくつか例をご紹介します。
大容量フォレンジック
金融業界では、取引データの正確性と可用性が極めて重要です。また、法的な規制やコンプライアンス要件に厳密に準拠する必要があります。パケットキャプチャを使用することで、通信の監視とアーカイブが可能となり、監査や調査のための証拠保全が行えます。
SYNESISは要件にあわせて柔軟にカスタマイズが可能です。キャプチャパフォーマンスや容量、サポートレベル等、ご要望にあわせた製品での提供が可能です。
ユーザシステムとの連携
音声を提供している通信業界では、パケットキャプチャを活用し自社の音声品質の測定を行い、サービス向上と競争力強化を図っています。
SYNESISには、VoIP解析のためのフィルタが搭載されています。これによりコール抽出にかかる時間が大幅に短縮されます。各拠点のVoIPパケットをユーザの専用解析装置とRest APIで連携することにより、遡って音声品質を確認することが可能となります。
車載イーサネットの検証
車載ネットワークのモニタリングは、自動車業界にとって重要な課題です。車載イーサネットは、車両内の異なるシステムやコンポーネント間のデータ通信のために開発されました。
車載イーサネット(100BATE-T1、1000BASE-T1)は、専用のTAPを挿入することで通常のイーサネット(100BASE-T、1000BASE-T)に変換することが可能です。
その際、パケットには専用TAPのヘッダが付加されます。SYNESISは、変換時に生じたヘッダをスキップして解析することが可能です。したがって、通常のイーサネットと同様にキャプチャしたパケットからフローごとのAPM/NPM機能が使用できます。
パケットデータを活用できるSYNESISの機能
SYNESISは、当社で開発、販売をしているパケットキャプチャ製品です。SYNESISの特長のひとつにパケットデータを大量に保持、蓄積できることです。そのパケットデータは、pcapファイルを介さずに外部から直接アクセスすることが可能です。SYNESISは以下2つの機能を提供しています。
- SYNESIS FS
- SYNESIS Feed Service
これらの機能はそれぞれ異なる特性を持っていますので、用途により適切な選択をしてください。
SYNESIS FS
SYNESIS FSは、パケットストレージ内のデータを直接的にpcap形式で読み取ることができる仕組みです。通常、パケットストレージ内のデータを可視化するには、まずpcapファイルを作成する必要があります。しかし、SYNESIS FSではこの手順を省略し、pcap作成に伴うオーバーヘッドを削減し、パケットデータへのアクセスを高速化することが可能です。
pcap形式でアクセスできますので、t-sharkのコマンドが使用可能です。
たとえは以下のように-rでファイルを読み込みデータを表示させることができます。
# 2023/07/10の12:00のチャネルAでキャプチャされたパケットを表示
root@SYNESIS:/mnt/synesisfs/sessions/2023-07-10/12-00-00# tshark -r ch=0.pcap
SYNESIS Feed Service
SYNESIS Feed Serviceは、SYNESISは、TCP/IPソケットを介してパケットを読み出す仕組みです。Feed ServiceはTCPの9060番ポートを使用し、クライアントプログラムからパケットの要求を待ち受けます。
クライアントプログラムが必要となりますので、SYNESIS FSと比べ少し煩雑ですが、リアルタイム性や長期間の安定性は、Feed Serviceのほうが優れています。
マニュアルにサンプルプログラムが記載されていますので、興味がある方はぜひ一度お試しください。
パケットデータの可能性
現代のネットワークは、短時間でも膨大な量と種類のパケットで溢れています。このような大量のパケット郡の解析は、時間と労力を必要とする作業です。SYNESIS自体にもフィルタリング機能やAPN/NPMによるパケットインデックス化機能など解析対象のパケットを削減する機能は備わっています。しかしながら、ひとつの製品の機能で行う分析は限界があります。
SYNESIS FSやSYNESIS Feed Serviceの活用により、蓄積したパケットデータの可能性が広がります。KibanaのようなBIツールを用いたレポーティング、環境に適したAI学習の導入、外部監査システムのログ連携など、これまでになかった革新的なソリューションが実現します。
SYNESIS自体の機能拡張とともに、他システムとの親和性の向上も視野にいれてこれからも機能を提供していく考えです。
あとがき
SYNESISは、開発、QA、製造、営業、サポートをトータルで行っている当社ならではのこだわりが詰まった製品です。この記事は、Ver.8.0リリース時点の機能で執筆しています。今後もどんどん魅力的な製品にアップデートしていきますので、ぜひご期待ください。
SYNESISをもっと知りたい、ネットワークの監視について相談したい、という方がいらっしゃれば、ぜひお問い合わせください。