テクニカルガイド 本文書の全ての内容は Colasoft(科来ソフトウェア)のために独立して作成されたもので あり、Colasoft の書面による明確な許可無しに、いずれの目的のためにも、いずれの形式 または手段(電子、機械、複写、録音またはその他の形式を含む)によっても、本文書の いずれの部分も複製、修正、保存、検索システムへの掲載、または拡散をしてはならない。 版権所有:© 2001 - 2013 Colasoft LLC。すべての権利を留保する。 Colasoft LLC 電話番号:800-381-6680 会社 URL:http://www.colasoft.com E-mail:[email protected] Copyright © 2013 Colasoft LLC. All rights reserved. i 目次 目次 1 前書き ............................................................................................................................... 1 2 動作原理 ........................................................................................................................... 2 3 システムアーキテクチャ ................................................................................................. 3 3.1 全体アーキテクチャ ............................................................................................... 3 3.2 第二世代解析エンジン ........................................................................................... 3 3.3 データのキャプチャ ............................................................................................... 4 3.4 データ解析 ............................................................................................................. 5 3.5 データのアウトプット ........................................................................................... 6 4 システム技術特性 ............................................................................................................ 7 4.1 斬新な解析ガイド .................................................................................................. 7 4.2 リアルタイム解析とリプレイ解析 ......................................................................... 7 4.3 斬新なネットワークアーカイブ............................................................................. 7 4.4 実用的な解析プラン ............................................................................................... 8 4.5 フレキシブルなグラフ設定 .................................................................................... 8 4.6 カスタムプロトコル ............................................................................................... 9 4.7 エキスパート診断 .................................................................................................. 9 4.8 トラフィック解析 ................................................................................................ 10 4.9 プロトコル解析 .................................................................................................... 10 4.10 オンラインのリアルタイムアラーム ................................................................. 10 4.11 ノードブラウザ .................................................................................................. 11 4.12 カスタマイズしたノードのグループ化 .............................................................. 11 4.13 パケット・キャプチャ・フィルタリング .......................................................... 11 4.14 パケットデコード............................................................................................... 12 4.15 セッション解析 .................................................................................................. 12 4.16 マトリックス表示............................................................................................... 12 4.17 TCP のシーケンス図............................................................................................ 13 4.18 TCP ストリーム再構成 ........................................................................................ 13 4.19 ログ解析 ............................................................................................................. 13 4.20 レポートのアウトプット .................................................................................... 13 4.21 複数プロジェクトの進行とマルチネットワークカー ドに対応 .............. 13 5 本システムの中心機能 ................................................................................................... 14 5.1 包括的なトラフィック解析 .................................................................................. 14 5.2 インテリジェントな障害診断 .............................................................................. 14 5.3 明確なプロトコル解析 ......................................................................................... 15 5.4 詳細なコネクション解析...................................................................................... 15 5.5 強力なセキュリティ解析...................................................................................... 16 5.6 能率的な性能評価 ................................................................................................ 16 5.7 豊富で直観的なレポート...................................................................................... 16 6 技術指標 ......................................................................................................................... 17 6.1 ネットワークタイプ ............................................................................................. 17 6.2 推奨システム環境 ................................................................................................ 17 6.3 対応しているネットワークアダプター................................................................ 17 6.4 対応しているパケットフォーマット ................................................................... 17 Copyright © 2013 Colasoft LLC. All rights reserved. ii 目次 6.5 6.6 6.7 6.8 診断イベントの種類 ............................................................................................. 18 対応しているプロトコル...................................................................................... 18 デコード可能なプロトコル .................................................................................. 19 リアルタイムのキャプチャ、デコード、解析 ..................................................... 19 6.9 マイクロ秒の精度 ................................................................................................ 19 Copyright © 2013 Colasoft LLC. All rights reserved. iii 前書き 1 前書き ここ 20 年でコンピューターのネットワーク技術は急速に発展しました。ネット ワークの速度やユーザビリティも段々と向上し、益々多くの重要業務がコンピュ ーターネットワークを土台として運営されるようになり、より多くの重要な情報 がネットワーク転送されるようになっている中、コンピューターネットワーク通 信はすでに企業や事業機関の日常業務の中で不可欠な要素となっており、社会全 体がネットワーク/情報化社会へと変貌を遂げています。 ネットワークの急速な発展は企業とユーザーに利便性をもたらすと同時に、ネッ トワーク管理という厳しい課題をもたらしました。絶えずネットワーク規模が拡 大し、ネットワークとその応用環境が複雑化し、ネットワーク内のデータトラフ ィックが増大し続けている中、いかにネットワークの維持、安全、効率のよい運 営を保証するかが、ネットワークエンジニアやネットワーク管理者にとっての大 きな課題となっています。このような状況下で、ネットワークエンジニアやネッ トワーク管理者は、ネットワークの通信量使用、アプリケーション分布、通信接 続、パケットのオリジナル情報等を含めた、全てのネットワークの動きやネット ワーク全体の運営状況を十分に理解・把握してこそ、ネットワークの性能やセキ ュリティに問題が起きた時に、問題の原因を迅速かつ正確に分析し、障害場所や 攻撃されている場所を特定してそれらを排除し、ネットワークの価値を最大限に することができます。 Colasoft Capsa は、キャプチャした最下層のパケットに対して包括的かつ系統だ ったデコード、解析、診断を実行し、管理者が素早くネットワーク状況を理解で きるよう、その結果を直観的で分かりやすいインターフェースやレポートで表示 します。通常ネットワーク解析は、障害、セキュリティ、性能、アップグレード プラン、ネットワークモニタリング、ネットワークのベースライン等の重要デー タを管理者に提供します。そしてこれらのデータを通して、ネットワークの全体 情報を獲得し、積極的に防御メカニズムを構築し、ネットワークの持続的かつ信 頼度の高い運営を保証するためにしっかりとしたデータを提供するため、ネット ワーク管理コストを最大に削減します。 Copyright © 2013 Colasoft LLC. All rights reserved. 1 動作原理 2 動作原理 共有型イーサネットでは、あらゆる通信がブロードキャスト方式で行われ、ホス トコンピューターが発信した全てのパケットは同一セグメント上の全ての機器 に送り届けられます。各ネットワークインターフェースにはそれだけが持つ唯一 のハードウェアアドレスが割り当てられており、これを MAC アドレスと言いま す。正常な状況下では、1 つのネットワークインターフェースは 2 種類のパケッ ト-自己の MAC アドレスとマッチしたパケット、全ての機器に発信されたブロ ードキャストパケット-にのみ応答します。実際のネットワーク通信では、デー タの受発信は全てネットワークカードを介して行われ、ネットワークカードの動 作モードは以下の 4 種類です。 ブロードキャスト:このモードでのネットワークカードは、自己に発信した パケットとネットワーク内のブロードキャストパケットを受信することが できる。(デフォルト) マルチキャスト:このモードでのネットワークカードは、マルチキャストパ ケットのみ受信することができる。 ユニキャスト:このモードでのネットワークカードは、自己に発信されたパ ケットのみ受信することができる。 プロミスキャス:このモードでのネットワークカードは、ネットワーク設備 を通過する全てのパケットを受信することができる。 上記のように、ネットワークカードは、デフォルト状態では自己に発信されたデ ータとネットワーク内のブロードキャストデータのみを受信しますが、ネットワ ークカードをプロミスキャスモードで動作するように強制することができます。 そうした場合、このネットワークカードは、データの送り先がどこであるかに関 わらず、ネットワーク設備を通過する全てのデータを受信することができるよう になります。 Colasoft Capsa の設計アイデアはイーサネットの動作モデルに厳格に従ったもの です。本システムは、IP アドレスや物理アドレス、プロトコル、パケット等の 各ネットワーク要素を 1 つのネットワークオブジェクトとして扱い、これらを有 機的に結び付けて 1 つの「プロジェクト」 (システム中で使われている技術用語) を構成し、これによってネットワーク内のデータ通信の変化が常にリアルタイム でプロジェクトファイルに反映されるようになります。 Colasoft Capsa はイーサネットのスニファー技術を基に、迂回アクセスによって 通信をキャプチャします。まず初めに Colasoft Capsa がインストールされたコン ピューターのネットワークカードをプロミスキャスモードに設定すると、本シス テムが、スニファー技術によってネットワーク内で転送された全てのパケットを キャプチャし、これらのキャプチャしたパケットをシステム内部に送り込んで解 析し、その解析結果をリアルタイムでシステムのインターフェースに表示し、ネ ットワーク内で発生している障害を自動的に診断します。 Copyright © 2013 Colasoft LLC. All rights reserved. 2 システムアーキテクチャ 3 システムアーキテクチャ 3.1 全体アーキテクチャ ネットワーク解析を行うには、まずネットワークに流れているパケットをキャプ チャする必要があります。データキャプチャはリンク層で行われ、この操作によ って、ネットワーク内の最下層のイーサネットパケットをキャプチャすることが できます。Colasoft Capsa は、ネットワークの最下層のパケットをリアルタイム でキャプチャ、検査、解析し、最後には直感的な解析結果をアウトプットします。 本システムの全体アーキテクチャは図 1 を参照して下さい。 図 1:システムの全体アーキテクチャ データのアウト プット データ解析 データのキャプ チャ 1. 2. 3. データ表示 システムモジュ ール ネットワークの 最下層 初めに、本システムがネットワークの最下層でリアルタイムのデータキャプ チャを行い、実際のデータを正確に獲得します。 キャプチャしたデータを、本システムの各解析モジュールに送り込み、エキ スパート診断モジュールや統計モジュール、パケットデコードモジュール等 でリアルタイムの診断・解析をし、詳細な解析を行います。 最後に、解析結果を各形式でアウトプットし、ユーザーに直観的なアウトプ ットを提供します。 明瞭かつ直観的なシステムアーキテクチャにより、複雑で抽象的なネットワーク 通信情報を簡単、明確な形にしてアウトプットし、ユーザーに提供することがで きます。 3.2 第二世代解析エンジン Colasoft の第二世代ネットワーク解析エンジンを搭載した Colasoft ネットワーク 解析プラットフォームは、CSDOM(Colasoft が自主研究開発したダイナミック オブジェクトモデル)を採用しています。これにより、プログラム実行効率が大 幅に向上し、大容量データの解析性能が保証されています。さらに、本システム には以下の様々な新技術や新特性が含まれています。 Copyright © 2013 Colasoft LLC. All rights reserved. 3 システムアーキテクチャ マルチスレッド解析 従来のシングルスレッド解析からマルチスレッドにアップグレード。マルチコア CPU を最大限に利用したマルチスレッド解析を行い、解析性能を大幅に向上。 MCB:マルチサイクルバッファー技術 複数のバッファーを再利用 解析とデータ照会の待ち時間を回避するため、データ解析とデータアクセス を並行実施 キャプチャ効率と解析効率を大幅に向上させ、メモリー断片化の発生が減少 非同期通信メカニズム 解析とビューア表示を分離し、解析性能を向上。 高速プロトコル識別技術 プロトコルツリーをダイナミックに形成 効率的にプロトコルを識別 ユーザーがカスタマイズしたプロトコルをサポート 3.3 データのキャプチャ Colasoft は 3 種類の方法でデータのキャプチャを行うことができます。 Windows プラットフォームに Colasoft NDIS Protocol Driver をインストールし、イ ンストールしたプロトコルドライバーによってネットワークカードに流れるパ ケットをキャプチャします。 Windows プラットフォームに Colasoft NDIS intermediate Driver をインストールし、 インストールした中間層ドライバーによってネットワークカードに流れるパケ ットをキャプチャします。 Windows プラットフォームに Colasoft TDI Driver をインストールし、インストー ルした TDI ドライバーによってネットワークカードを通過しないローカルルー プパケットをキャプチャします。 本システムはデフォルト状態の時、Colasoft NDIS Protocol Driver と Colasoft TDI Driver を採用します。 パケットキャプチャで重要となるのは効率です。Colasoft Capsa はカーネル層で パケットのフィルタリングを行い、フィルタリング条件に合わないパケットを排 除し、カーネル層からユーザー層へのデータ転送によるリソースの浪費を避け、 データキャプチャの効率性を上げます。デフォルト状態の Colasoft Capsa のデー タキャプチャプロセスは図 2 を参照して下さい。 Copyright © 2013 Colasoft LLC. All rights reserved. 4 システムアーキテクチャ 図 2:データキャプチャのプロセス ユーザー層 Win32 アプリケ ーション システムカ ーネル NDIS カプセル化 ネットワークア ダプター 3.4 データ解析 Colasoft Capsa は、フィルタリング条件に合うパケットをキャプチャした後、直 ちにこれらのパケットをシステム内部に送り込んで解析します。データ解析の内 容は、パケットの統計、検査、デコード、TCP ストリーム再構成 、プロトコル 解析等を含んでいます。Colasoft Capsa のデータ解析プロセスは図 3 を参照して 下さい。 Copyright © 2013 Colasoft LLC. All rights reserved. 5 システムアーキテクチャ 図 3:データ解析プロセス データのアウトプット 包括的解析プラン 高性能解析プラン HTTP 解析プラン セキュリティ解 析プラン E-mail 解析プラン 解析プ ラン キャプチャしたパケット 3.5 データのアウトプット 図 3 の通り、本システムは、キャプチャしたパケットに詳細かつ高度な解析を行 った後、その解析結果を様々な形式でアウトプットし、本システムのメインビュ ーアやダイアログボックス等のインターフェースで、各種データ情報を表示しま す。アウトプットの形式はグラフ、レポート、グループ化データ/分類データ等 の様々な形式があり、アウトプットされた内容にはパケットデコード、ノード、 プロトコル、IP フロー、TCP フロー、セッション、ログ等の各種の詳細な通信 データが含まれています。 Copyright © 2013 Colasoft LLC. All rights reserved. 6 システム技術特性 4 システム技術特性 Colasoft Capsa には様々なオリジナル機能があります。その中でも主要な機能を 以下にご紹介いたします。 4.1 斬新な解析ガイド ユーザーは、プログラム・スタートアップのスタートページにある簡単かつ直観 的なビューアを利用して、インターネット解析を行うことができます。通常、1 つの解析を行う際には、以下の 6 つのステップを実行します。 1. 2. 解析モードの選択 リアルタイム解析とリプレイ解析の 2 種類のデータキャプチャ解析モ ードを提供。 リアルタイム解析モードでは、設置するネットワークアダプターが選択 可能 リプレイ解析モードでは、ファイルとリプレイ速度が選択可能 2 種類のモードの両方で、パケットキャプチャフィルターの別設置が可 能 ネットワークアダプターの選択 データキャプチャに使用するネットワークアダプターを選択します。1 つま たは複数のネットワークカードを選択してデータキャプチャを行うことも 可能。 3. データキャプチャフィルターの設置 パケットキャプチャフィルターを設置し、素早くデータをキャプチャします。 4. 5. 6. ネットワークアーカイブの選択 システム(デフォルト)が提供するネットワークアーカイブを選択。 ネットワークアーカイブを新規作成または編集。 解析プランの選択 解析効果を最大限にするために、実際の必要性に応じて適した解析プランを 選択。 解析の開始 4.2 リアルタイム解析とリプレイ解析 Colasoft Capsa はリアルタイムとリプレイの 2 種類の解析方法を提供します。リ アルタイム解析は、ネットワークアダプターからデータをキャプチャし、アダプ ターのトラフィック状態を直観的に表示します。リプレイ解析では、パケットを 保存したファイルから解析データをキャプチャし、通常リプレイと高速リプレイ から選択することができ、遡及的解析に適しています。 4.3 斬新なネットワークアーカイブ Colasoft Capsa は斬新なネットワークアーカイブの概念を打ち出しました。ネッ トワークアーカイブには、ネットワークの帯域幅、内部ネットワークノードのグ Copyright © 2013 Colasoft LLC. All rights reserved. 7 システム技術特性 ループ設定、対応するネームテーブルやネットワークのアラーム設定を含めた、 特定のネットワークの解析・設定情報を保存します。 異なるネットワークで Colasoft Capsa を使用してリアルタイムキャプチャ解析を 行う場合、各ネットワークに対応するネットワークアーカイブを作成することが できます。1 つまたは複数の外部ネットワークのパケットファイルをリプレイす る時は、その外部ネットワーク専門のネットワークアーカイブを作成すれば、よ り効果的かつ正確にそのネットワークのトラフィックデータを解析することが できます。 実際のネットワーク環境では、ユーザーが設定をカスタマイズしたり、ネットワ ークアーカイブを保存したりして、ネットワーク環境の各重要データを保存する ことができます。ユーザーは、ネットワークアーカイブの追加、編集、削除、コ ピーをすることができ、後続の解析で、新しいネットワークアーカイブを直接呼 び出して、解析を行うことができます。 4.4 実用的な解析プラン 解析プランには、解析エンジンのパラメータ設定、ロードした高度解析モジュー ルや各高度解析モジュールの詳細パラメータ設定等の、特定の解析需要の設定情 報を保存します。 Colasoft Capsa は、解析が行われる典型的な場面に合わせた複数の解析プランを 提供します。これらの解析プランは、それぞれが特定の解析需要に対応しており、 ユーザーはこれら複数のプランから選択することができます。 Colasoft Capsa は、ネットワークサービスアプリケーションに合わせた標準的な 解析プラン(高性能解析や高精度解析、標準的なアプリケーションプロトコル解 析等)を提供します。表 1 を参照して下さい。 表 1:解析プラン プランの種類 解析プラン 高性能解析 基本解析 包括的解析 HTTP アプリケー ション解析 アプリケーシ ョン解析 ビルトイン解 析 FTP 高度解析 E メールアプリケ ーション解析 DNS アプリケーシ ョン解析 TCP 性能解析 説明 最高性能の解析(物理アドレス、IPv4 アドレス、グループ 統計、IP/TCP/UDP フロー解析等)を提供。1 ギガバイト のリアルタイム解析が可能。 ネットワーク内の全てのアプリケーションやトラフィッ クに対して包括的かつ詳細な解析を行います。 HTTP アプリケーション用の解析プラン。クライアントと サーバーのトラフィック統計、障害・性能診断、HTTP ロ グを提供。 FTP アプリケーション用の解析プラン。FTP ログを提供。 SMTP/POP3 アプリケーション用の解析プラン。長期の E メールログと複製メールを提供。 DNS アプリケーション用の解析プラン。DNS ログを提供。 TCP の応答時間解析を行います。TCP に基づいて転送され る上層アプリケーションに対して精確なレポートを提供。 4.5 フレキシブルなグラフ設定 Copyright © 2013 Colasoft LLC. All rights reserved. 8 システム技術特性 Colasoft Capsa にはパワフルなグラフカスタマイズ機能が実装されており、様々 なグラフィックのリアルタイム・トラフィック・モニタリング・ビューアをユー ザーに提供します。ユーザーは、簡単にチャートシートをカスタマイズ・追加し たり、チャートシートに各タイプのグラフを任意に追加したりすることができま す。 本システムは、全体的なグラフ設定が行えるだけでなく、具体的なネットワーク を対象としたグラフ作成や追加ができ、TCP セッションの詳細データ情報やア プリケーションのトラフィック情報、アラームデータ情報等のリアルタイムグラ フを作成してモニタリングすることができ、ユーザーは、各種ネットワークパラ メータの運営データをリアルタイムで直観的に見ることができます。 4.6 カスタムプロトコル Colasoft Capsa には強力なカスタムプロトコル機能が実装されており、ユーザー は実際の状況に基づいて以下の 4 タイプのプロトコルをカスタマイズすること ができます。 イーサネットタイプ IP プロトコル番号 TCP UDP 4.7 エキスパート診断 エキスパート診断は、Colasoft Capsa のユニークな機能の 1 つで、データをキャ プチャしてインテリジェントな解析を行ったり、ネットワーク内のエラー情報や 障害情報を自動的に知らせたりすることができるため、ユーザーはパケットの詳 細内容について理解する必要無しに、ネットワークの障害を排除することができ ます。 本システムの診断ビューアは斬新なビューア設定で、詳細な診断イベントやホス トコンピューターと関連のある診断イベントログを提供するだけでなく、各診断 イベントの詳細情報やその参考情報を詳しく表示します。現在、本製品はアプリ ケーション層、トランスポート層、ネットワーク層、データリンク層の 4 層の障 害診断を行うことができ、ネットワークのエラーや障害には、表 2 のようなセキ ュリティランクが設けられています 表 2:セキュリティランク セキュリティ ランク 情報 注意 警告 危険 説明 通常情報の通知。何らかのイベントを記録するために使われ、ネットワ ークエラーは無い。 ネットワークイベントや特定イベントの通知。ユーザーはこの内容に注 意する必要がある。 エラーまたは障害の警告通知。ユーザーは直ちに処理を実行したほうが よい。 深刻なエラーや障害の通知。ユーザーは直ちに処理を実行する必要があ る。 Copyright © 2013 Colasoft LLC. All rights reserved. 9 システム技術特性 4.8 トラフィック解析 トラフィック解析は、Colasoft Capsa の主要機能の 1 つで、この機能を利用して、 ユーザーは、トラフィックが最も大きい IP ホストコンピューターや物理ホスト コンピューターを素早く特定することができます。さらに本システムは、各ネッ トワークプロトコルのエンドポイントでのトラフィックの統計ランキングを作 成することができ、例えば、ネットワーク内で HTTP プロトコルを使用している ホストコンピューターの最もトラフィックが多い 5 台の IP ホストコンピュータ ーを素早く特定することができます。 Colasoft Capsa のトラフィック解析機能は、総トラフィックが最も大きいホスト コンピューター、送信トラフィックが最も大きいホストコンピューター、受信ト ラフィックが最も大きいホストコンピューター、受発信パケットが最も多いホス トコンピューター、送信パケットが最も多いホストコンピューター、受信パケッ トが最も多いホストコンピューター、内部トラフィック、ブロードキャストトラ フィックが最も大きいホストコンピューターの情報等、ネットワーク内の具体的 なトラフィック使用状況を解析することができます。本システムはこれらの情報 によって、ネットワーク内にブロードキャスト/マルチキャストでストームが起 きていないかを確認し、ネットワーク速度の低下、ネットワークへの接続/不接 続の繰り返し、ワーム攻撃、DOS 攻撃、ユーザーがネットに接続できない等の ネットワーク障害を、ユーザーが排除できるようにサポートします。 4.9 プロトコル解析 Colasoft Capsa のプロトコル解析機能は、実際にネットワークプロトコルがカプ セル化された順番に基づいて階層的にプロトコルを表示します。各プロトコルは それぞれの特色を持っており、本システムは、全体のプロトコル統計だけでなく、 各ネットワークのエンドポイントのプロトコル統計データも提供します。 プロトコルビューアは、ネットワーク内のデータ通信が使用しているプロトコル を有効的に表示することができ、各プロトコルにつき、そのプロトコルのトラフ ィック、そのプロトコルを使用しているパケット数、そのプロトコルのトラフィ ックが全体のトラフィックを占める割合、そのプロトコルを使用しているパケッ トが全パケットを占める割合等の統計をツリー構造方式で表示します。プロトコ ルビューアの各ビューアでの使用トラフィックやパーセント統計を確認するこ とで、ユーザーは、その時にネットワーク内でトラフィック使用が最も多いプロ トコル、すなわちその時にネットワーク内でトラフィック使用が最も多いサービ スタイプを特定することができ、ネットワーク速度の低下、E メールワーム攻撃、 ネットワークへの接続/不接続の繰り返し、ユーザーがネットに接続できない等 のネットワーク障害を、ユーザーが排除できるようにサポートします。 4.10 オンラインのリアルタイムアラーム Colasoft Capsa はネットワーク全体のリアルタイムアラーム機能を実装しており、 アラームによってその時に起きているイベントを管理者に知らせ、メインビュー アの右下に発されたアラーム数を表示します。 ユーザーはアラーム機能をカスタマイズすることができ、複数のビューアから選 択した対象ネットワークのアラームを作成することができます。 Copyright © 2013 Colasoft LLC. All rights reserved. 10 システム技術特性 各アラームは以下の属性を持っています。 アラーム対象 アラームタイプ(セキュリティ、性能、障害)、深刻度(情報、通知、警告、 エラー) 様々なアラーム統計データ アラーム発報条件の設定 アラーム解除条件の設定 4.11 ノードブラウザ ノードブラウザは、Colasoft Capsa の最もユニークな機能の 1 つで、そのインタ ーフェースは Windows のリソース・マネージャーに似ていて、操作が簡単です。 ノードブラウザは主にフィルター機能を表示します。この機能を利用して、ユー ザーは 1 つの MAC、1 つの IP、1 つのセグメント、1 つの部門、1 つの領域の通 信状況を素早く調べることができます。 ノードブラウザのノードタイプは 3 種類で、プロトコル、物理エンドポイント、 IP エンドポイントがあり、各ノードタイプはそれぞれ特別な視点からネットワ ークの解析を行います。 プロトコルブラウザ ネットワーク内の通信サービスが観察対象で、ネットワーク内の通信サービ スの具体的状況を確認することができる。 物理エンドポイントブラウザ ネットワークの物理トポロジーが観察対象で、ネットワーク内の物理ホスト コンピューターの通信状況を確認することができる。 IP エンドポイントブラウザ 論理サブネットが観察対象で、ネットワーク内の IP ホストコンピューター や IP サブネットの通信状況を確認することができる。 4.12 カスタマイズしたノードのグループ化 Colasoft Capsa は、カスタマイズしたノードのグループ化機能を実装しており、 ノードのカスタマイズ後、ノードブラウザはユーザーがカスタマイズした方法で ノードを表示するため、解析効率が向上します。例えば会社に研究開発部門、技 術部門、マーケティング部門、行政部門がある場合、ネットワーク設定のダイア ログボックスに上記の部門をカスタマイズして設定すれば、ノードブラウザに研 究開発部門、技術部門、市場部門、行政部門のノードが表示されます。 4.13 パケット・キャプチャ・フィルタリング Colasoft Capsa のパケットフィルターは、ユーザーが、カスタマイズした規則と 戦略に基づいてデータを選択することができる技術です。このフィルターを使用 することで、データ妨害を減らし、ネットワーク解析に有利な状況を作り出し、 システム負荷を減らすことができるため、解析効率が向上します。デフォルト状 態では、本システムはいかなるフィルタリングも行わず、ネットワーク内の全て のパケットをキャプチャし、解析します。 Colasoft Capsa のパケットフィルターでは、「許可」と「拒否」の 2 種類の状態 Copyright © 2013 Colasoft LLC. All rights reserved. 11 システム技術特性 から選択することができます。本システムでは、「許可」と「拒否」のフィルタ リングを同時に実行することができ、2 種類のフィルタリング条件を追加した後、 本システムはまず先に「拒否」条件とマッチングを行い、後に「許可」条件のマ ッチングを行います。 Colasoft Capsa でカスタマイズできるフィルタリング条件は 6 種類あり、アドレ ス、ポート、プロトコル、パケットサイズ、パケット値、パケットモードのマッ チングを行うことができます。そのうちアドレス、ポート、プロトコルの 3 種類 のフィルタリング条件は、使用率が比較的高く、操作性も比較的容易であるため、 簡単フィルターと呼ばれており、他の 3 種類のフィルタリング条件は高度フィル ターと呼ばれています。高度フィルターを使用する場合、ユーザーは、以上の 6 種類のフィルタリング条件を、「AND、OR、NOT」を組み合わせて設定するこ とができます。 4.14 パケットデコード Colasoft Capsa は、キャプチャしたパケットをリアルタイムでデコードすること ができ、デコードのフォーマットにはサマリーデコード、フィールドデコード、 16 進数デコード、ASCII デコード、EBCDIC デコードが含まれます。各フィール ドでは中国語と英語が表示されるため、操作が大幅に容易になっており、パケッ トデコード情報によって、ユーザーはネットワーク内で転送されたパケットのオ リジナル情報についてよりしっかりと理解を深めることができるようになり、そ れらがネットワークを攻撃する情報か否かを確定することができます。 4.15 セッション解析 Colasoft Capsa のセッション機能は、セッションの送信元アドレス、宛先アドレ ス、そのセッションで送受信されたパケット、それらのパケットのサイズ等の情 報の統計を作成することができ、管理者はセッションビューアを利用して、セッ ションプロセスを素早く解析することができます。Colasoft Capsa のセッション 機能は以下の 4 つのセッションに対応しています。 物理セッション IP セッション TCP セッション UDP セッション 4.16 マトリックス表示 Colasoft Capsa は、直観的にネットワーク内通信のノードやセッション情報の統 計を確認することができるマトリックスビューアを提供します。このマトリック スビューアでは、以下の情報を確認することができます。 全ネットワーク通信のノード情報。 全ネットワーク通信のセッション情報。 ある物理ホストコンピューター通信のノード情報。 ある IP ホストコンピューター通信のセッション情報。 ある物理ホストコンピューター通信のノード情報。 ある IP ホストコンピューター通信のセッション情報。 Copyright © 2013 Colasoft LLC. All rights reserved. 12 システム技術特性 あるセッションをしているホストコンピューターの情報。 4.17 TCP のシーケンス図 TCP セッションのプロセスをより直観的に把握することができるよう、Colasoft Capsa は、セッションビューアのスプリットビューアに TCP のシーケンス図を追 加しました。ユーザーが TCP の通信内容を容易に理解し、直観的に問題を発見 することができるよう、TCP に通信接続している双方の SYN と ACK の応答状 態を有効的に表示します。 4.18 TCP ストリーム再構成 Colasoft Capsa は、キャプチャした TCP データのパケットを、データが転送され た順序通りに TCP ストリームの復元を行うことができます。TCP ストリームの 具体的な情報を確認することで、ユーザーは各ネットワーク通信の全プロセスを 簡単に追跡することができ、なおかつネットワーク内のアウトオブオーダー転送 の障害を確定し、ネットワーク内のデータ通信状況をしっかりと把握することが できます。 4.19 ログ解析 Colasoft Capsa のログ解析機能は、ネットワーク内の HTTP ウェブサイトへのア クセス、E メール受発信、DNS ドメイン名解決、FTP 通信を素早く解析し、そ の解析結果をシステムのログビューアにアウトプットします。ユーザーは、これ らの情報をログとしてファイリングして保存し、後日確認することができます。 4.20 レポートのアウトプット Colasoft Capsa は、概要統計レポート、診断統計レポート、プロトコル統計レポ ート、TOP N シリーズレポート等を含めた、様々なタイプのレポートをアウト プットすることができ、さらに会社のロゴや名称、レポートタイトルの接頭辞、 レポート作成者、作成時間、レポート表示件数等のパラメータをカスタマイズす ることができます。 4.21 複数プロジェクトの進行とマルチネットワークカー ドに対応 本システムのネットワーク解析システムは、複数のプロジェクトを同時に進行さ せることができ、各プロジェクトで、1 つまたは複数のネットワークカードのパ ケットを同時にキャプチャしたり、複数のプロジェクトを進行しながら 1 つのネ ットワークカードのパケットを同時にキャプチャしたり、等の設定が可能です。 Copyright © 2013 Colasoft LLC. All rights reserved. 13 本システムの中心機能 5 本システムの中心機能 Colasoft Capsa は、障害診断、セキュリティ解析、性能評価などのマルチな機能 が一体となった総合ネットワーク解析システムです。ネットワーク内で転送され た最下層のパケットをキャプチャ、解析して、ネットワークの通信状況を有効に 反映させ、ネットワーク管理者が障害場所の位置特定やネットワーク障害の解決 を迅速かつ正確に行えるようサポートします。また、本システムのエキスパート 診断機能によって、技術能力を持たない非技術者でも、ネットワーク障害を素早 く排除することができ、ネットワークのセキュリティリスクを回避し、ネットワ ーク性能を向上させ、ネットワークの使用価値を増加させ、全ネットワークの持 続的な運営を確保することができます。 業界トップのネットワーク解析技術を誇る Colasoft Capsa は、現在の複雑なネッ トワークを精確に解析し、ネットワーク障害を排除し、ネットワークセキュリテ ィを向上させ、ネットワーク性能を評価し、包括的かつ高度なデータを提供でき るため、ネットワーク管理者にとって必須のツールです。 5.1 包括的なトラフィック解析 詳細な概要統計解析 ネットワークの総トラフィック ネットワークのブロードキャストトラフィック ネットワークのマルチキャストトラフィック ネットワーク内の内部トラフィック ネットワーク内の 1 つの IP エンドポイント(IP ホストコンピューター)の トラフィック ネットワーク内の 1 つの MAC エンドポイントのトラフィック ネットワーク内の 1 部門のトラフィック ネットワーク内の 1 つの VLAN のトラフィック ネットワーク内の 1 つのアプリケーション(プロトコル)のトラフィック ネットワーク内の受信(上り)トラフィック ネットワーク内の送信(下り)トラフィック ネットワーク内の受信(上り)パケット ネットワーク内の送信(下り)パケット ネットワーク内のパケット数 物理層のセッション統計 IP セッション統計 TCP セッション統計 UDP セッション統計 ネットワーク内のパケット数/秒 ネットワーク内のトラフィックの受発信比 ネットワーク内のパケットの受発信比 IP アドレス国グループ化 トラフィック、プロトコル、診断等の様々なアラーム通知の提供 5.2 インテリジェントな障害診断 ARP スキャン(自動識別) Copyright © 2013 Colasoft LLC. All rights reserved. 14 本システムの中心機能 ARP 中間者攻撃 ARP 接続切断攻撃 TCP スキャン攻撃 UDP スキャン攻撃 ICMP スキャン攻撃 データリンク層のエキスパート診断 ネットワーク層のエキスパート診断 トランスポート層のエキスパート診断 アプリケーション層のエキスパート診断 P2P アプリケーション解析 IP アドレス競合 ネットワークループ ワーム攻撃 DNS サービス障害 E メール受発信障害 HTTP アクセス障害 FTP ファイル転送障害 80 番、23 番、25 番、53 番、110 番ポートのプロキシーの自動識別 異常トラフィック解析 スパムトラフィック解析 トラフィック、プロトコル、診断等の様々なアラーム通知の提供 5.3 明確なプロトコル解析 カスタムプロトコルに対応 ネットワークアプリケーションを自動識別 ネットワークアプリケーションを自動解析 ネットワークアプリケーションの帯域幅使用状況を自動解析 ネットワークアプリケーションのパケット数の統計を自動作成 特定のネットワークアプリケーションを使用しているホストコンピュータ ーを自動特定 プロトコルのフィールドデコード、16 進数デコード、ASCII デコード、 EBCDIC デコードを自動実行 異常なプロトコルアプリケーションを識別 偽造パケットを識別 OSI 7 階層と統計に基づいてプロトコルを表示 トラフィック、プロトコル、診断等の様々なアラーム通知を提供 5.4 詳細なコネクション解析 ネットワーク内の物理エンドポイント間の通信コネクションを解析 ネットワーク内の IP エンドポイント間の通信コネクションを解析 ネットワーク内の TCP 通信コネクションを解析 TCP 通信を再構成、復元 TCP 転送がアウトオブオーダーでないかを確認 ネットワーク内の UDP 通信データを解析 ネットワーク内の BT ダウンロードを解析 ネットワーク内の通信コネクションをマトリックス表示 Copyright © 2013 Colasoft LLC. All rights reserved. 15 本システムの中心機能 TCP セッション、TCP コネクション性能を直観的に解析(TCP コネクショ ンシーケンス図) トラフィック、プロトコル、診断等の様々なアラーム通知を提供 5.5 強力なセキュリティ解析 ネットワーク攻撃を迅速に特定・解析 ネットワークのその他の異常行為を解析 ネットワーク内に潜むセキュリティホールを解析 ウエブサイトアクセスセキュリティ解析 E メール受発信セキュリティ解析 DNS セキュリティ解析 FTP ファイル転送セキュリティ解析 端末アクセスセキュリティ解析 ネットワークのセキュリティ基準を素早く設定 トラフィック、プロトコル、診断等の様々なアラーム通知を提供 5.6 能率的な性能評価 ネットワークのアウトバウンド帯域幅の最大値を確定 ネットワークのアウトバウンド帯域幅の利用率を確定 ネットワーク内部の帯域幅使用状況を確定 パケットサイズ分布を確定 ネットワークのアップグレード効果を確定 TCP コネクション成功率を解析 スパムアプリケーションとサービスアプリケーションのトラフィックを測 量 ネットワークの転送性能を評価 ネットワーク管理者のネットワーク性能基準の設定をサポート アプリケーション性能を精確に解析 トラフィック、プロトコル、診断等の様々なアラーム通知を提供 5.7 豊富で直観的なレポート 概要統計レポート 基本解析レポート エキスパート解析レポート プロトコル解析レポート TOP N レポート Copyright © 2013 Colasoft LLC. All rights reserved. 16 技術指標 6 技術指標 6.1 ネットワークタイプ Colasoft Capsa は以下のネットワークタイプに対応しています。 Ethernet II、Ethernet 802.3、802.1Q VLANs、02.11 WLAN ワイアレス 高速イーサネット(10M/100M/1000M) レイヤ 2 スイッチとレイヤ 3 スイッチのネットワーク環境 6.2 推奨システム環境 Colasoft Capsa の推奨環境は以下の通りです。 CPU:Inter Core Duo 2.4GHz 以上 RAM:4GB 以上 ブラウザ:Internet Explorer 6.0 以上 OS:Windows XP /2003/Vista/2008/Windows 7/8(64 ビット版を含む) 6.3 対応しているネットワークアダプター Colasoft Capsa は以下のアダプターに対応しています。 10M イーサネットアダプタ 100M イーサネットアダプタ 1000M イーサネットアダプタ 6.4 対応しているパケットフォーマット Colasoft Capsa は以下のタイプのパケットファイルに対応しています。 Colasoft Packet File(v6)(*.cscpkt) Colasoft Raw Packet File(*.rawpkt) Accellent 5Views Packet File(*.5vw) EtherPeek Packet File(V7)(*.pkt) EtherPeek Packet File(V9)(*.pkt) HP Unix Nettl Packet File(*.TRCO;TRC1) Libpcap(tcpdump,Ethereal,etc.)(*.cap) Microsoft Network Monitor2.x(*.cap) Novell LANalyer(*.tr1) Network Instruments Observer v9.0(*.bfr) NetXRay2.0,and Windows Sniffer(*.cap) Sun_Snoop(*.Snoop) Copyright © 2013 Colasoft LLC. All rights reserved. 17 技術指標 Visual Network Traffic Capture(*.cap) 6.5 診断イベントの種類 Colasoft Capsa は、アプリケーション層、トランスポート層、ネットワーク層、 データリンク層の障害診断を行い、診断イベントの種類は以下の 40 種類に及び ます。 アプリケーション層 HTTP:疑わしいセッション HTTP:サーバーの応答が遅 い HTTP:要求されたページが 無効 SMTP:疑わしいセッション POP3:疑わしいセッション FTP:疑わしいセッション HTTP:サーバーエラー DNS:サーバーの応答が遅い HTTP:クライアントエラー DNS:サーバーエラー DNS:ホストまたはドメイン が存在しない SMTP:サーバーがエラーを返 した POP3:サーバーがエラーを返 した FTP:サーバーがエラーを返 した SMTP:サーバーの応答が遅い POP3:サーバーの応答が遅い FTP:サーバーの応答が遅い トランスポート層 TCP:接続の拒否 TCP:再接続の試行 TCP:応答が遅い TCP:パケット再送 TCP:無効なチェックサム TCP:確認の重複 TCP:ポートスキャン TCP:SYN ストーム TCP:ヘッダーのオフセットエ ラー IP:無効なチェックサム IP:TTL が低すぎる ICMP:送信元抑制 ICMP:目的地に到達不能 ICMP:ネットワークに到達 ICMP:ホストにリダイレク ト ICMP:ホストに到達不能 ICMP:ネットワークにリダイ レクト ARP:リクエストストーム ARP:リクエストされていない レスポンスが多すぎる ネットワーク層 ICMP:ポートに到達不能 IP:アドレスの競合 データリンク層 ARP:スキャン ARP:違法なフォーマット 6.6 対応しているプロトコル Colasoft Capsa が対応しているプロトコル:AARP, AARP Prbe, AARP Request, AARP Response, ACNET, AFP, AH, AIM, ARP, ARP Request, ARP Response, Auditd, BFTP, BGP, BOOTP, Biff, BitTorrent, CDC, CDP, CFS, CFTP, CGMP, CIFS, CMIP-Agent, CMIP-Man, COPS, CRIP, CRTP, CRUDP, CTF, Cisco-fna, Cisco-sys, Cisco-tna, Citrx ICA, DCCP, DCP, DDP,DECnet, DHCP, DIAG, DNS, DNS Error, DNS Query, DSR, Daytime, Discard, EGP, EIGRP, EIGRP Hello, EIGRP Query, EIGRP Reply, EIGRP Update, ESP, Echo, Emfis-cntl, Emfis-data, Ethernet - Other, Ethernet 802.2, Ethernet 802.3, Ethernet II, Ethernet SNAP, Ethernet SNAP - Other, Copyright © 2013 Colasoft LLC. All rights reserved. 18 技術指標 eMule, FC, FCoE, FCP, FTP, FTP Ctrl, DTP Data, Finger, GDP, GGP, GRE, GTP, Gopher, H.225, H.323, HMP, HSRP, HTTP, HTTP Proxy, HTTPS, Http-mgmt, IBM-app, ICMP, ICMP DestUnreach, ICMP Echo Reply, ICMP Echo Req, ICMP Redirect, ICMP Time Ex, ICMPv6, ICP, IDFP, IDPR, IDRP, IGAP, IGMP, IGRP, IMAP, IAMP3, IAMP4, IMAP4/SSL, IP, IP - Other, IP Fragment, IPX, IPv6, IRC, IRC/SSL, IRTP, ISL, ISMP, ISO-IP, ISO-TP0, ISO-TP4, Kerberos, L2F, L2TP, LDAP, LDAPS, LPD, La-maint, Login, Loopback, MGCP, MPLS, MPLS Etype2, MPM, MPM-snd, MPP, MSN, MSP, MSRDP, MSSQL, Mcidas, Mit-ml-dev, Mnet-discovery, Mobile IP, Msg-auth, NAMP, NARP, NBDGM, NBIPX, NBNS, NBSSN, NCP, NETBLT, NFS, NLSP, NMSP, NNTP, NNTP/SSL, NPP, NSRMP, NTP, Nameserver, NetBEUI, NetBIOS, Ni-ftp, OSPF, OSPF DDs, OSPF Hello, OSPF LSA, OSPF LSR, OSPF LSU, PIM, PIP, PIPE, POP2, POP3, POP3/SSL, PPP, PPP CHAP, PPP FCC, PPP IPCP, PPP LCP, PPP LQP, PPP PAP, PPP Padding, PPPoE, PPPoE Discovery, PPPoE Session, PPTP, PPlive, PRM, PTP, PUP, PVP, Password-chg, Pdap, Pwdgen, Q.931, QQ, QQ keep Alive, QQ Login, QQ Logout, QQ Other, QQ RecvMsg, QQ Send Msg, Qotd, RAMP, RAP, RARP, RARP Request, RARP Response, RCP, RDP, RGMP, RIP, RIP Reply, RIP Request, RIPX, RIPv1, RIPv2, RIPv3, RIPv4, RIS, RJE, RLOGIN, RLP, RPC, RSH, RSVP, RSVP_tunnel, RTCP, RTELNET, RTP, RTP AV, RTP Audio, RTP CelB, RTP DVI4, RTP Dynamic, RTP G.711, RTP G.723, RTP G.728, RTP G.729, RTP GSM, RTP H.261, RTP H.263, RTP JPEG, RTP MP2T, RTP MPV, RTP Video, RTSP, Radius, Radius-acct, Radius-dynauth, Re-mail-ck, Rexec, Rtsps, Rwhois, SAP, SAP, SAP Reply, SAP Request, SCC Security, SCCP, SCTP, SDRP, SER, SFTP, SGMP, SGMP-traps, SIP, SKIP, SLP, SMB, SMTP, SMTP/LSA, SMTP/SSL, SNMP, SNMP Trap, SNP, SNPP, SPS, SPX, SQL, SSDP, SSH, SShell, STP, Send, Sflow, Statsrv, Submission, Supdup, Swift-rvf, Systat, T.120, TCP, TCP - Other, TELNET, TFTP, TLSP, TNS, TRIP, Tacacs, Tacacs-ds, Tacnews, Time, Tunnel, UDP, UDP Other, ULS, UMA, VLAN, VLAN EType2, VRRP, WINS, Who, WhoIs, Windows NLB, X-Window, X.400, XDAS, XNS, XNS-auth, XNS-ch, XNS-mail, XNS-time, Yahoo Messenger, SIP, SDP, MEGACO/H.248, MGCP, 931, SAP, H.225, RMI, Oracle, MMS, GOOSE, SMV, GMRP 6.7 デコード可能なプロトコル Colasoft Capsa がデコード可能なプロトコル:AH, ARP, BGP, BitTorrent, BOOTP, CDP, CGMP, CIFS, COPS, DHCP, DNS, EGP, EIGRP, eMule, ESP, Ethernet 802.2, Ethernet 802.3, Ethernet II, Ethernet SNAP, Finger, FCoE, FTP Ctrl, FTP Data, GGP, Gopher, GRE, HSRP, HTTP, ICMP, ICMPv6, ICP, IGMP, IGRP, IP, IPv6, IPX, ISL, ISMP, L2F, L2TP, LPD, MPLS, MSN, MSSOL, NBDGM, NBNS, NBSSN, NCP, OSPF, POP3, PPP, PPP CHAP, PPP IPCP, PPP LCP, PPP PAP, PPPoE, PPPoE Discovery, PPPoE Session, PPTP, QQ, RARP, RGMP, RIPv1, RIPv2, RSVP, SAP, SCTP, SMB, SMTP, SPX, SSH, TCP, TELNET, TFTP, TNS, UDP, VLAN, VRRP, SIP, SDP, MEGACO/H.248, MGCP, 931, SAP, H.225, RMI, Oracle, MMS, GOOSE, SMV, GMRP 6.8 リアルタイムのキャプチャ、デコード、解析 Colasoft Capsa は、ネットワーク内のパケットをリアルタイムでキャプチャし、 デコードし、解析します。 6.9 マイクロ秒の精度 Colasoft Capsa のパケットキャプチャ時間はマイクロ秒の精度です。 Copyright © 2013 Colasoft LLC. All rights reserved. 19
© Copyright 2024 Paperzz