[go: up one dir, main page]

JP3602711B2 - Traffic monitoring device - Google Patents

Traffic monitoring device Download PDF

Info

Publication number
JP3602711B2
JP3602711B2 JP5367798A JP5367798A JP3602711B2 JP 3602711 B2 JP3602711 B2 JP 3602711B2 JP 5367798 A JP5367798 A JP 5367798A JP 5367798 A JP5367798 A JP 5367798A JP 3602711 B2 JP3602711 B2 JP 3602711B2
Authority
JP
Japan
Prior art keywords
information
tcp
connection
protocol
packet
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP5367798A
Other languages
Japanese (ja)
Other versions
JPH11252111A (en
Inventor
智彦 大岸
彰 井戸上
聰彦 加藤
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
KDDI Corp
Original Assignee
KDDI Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by KDDI Corp filed Critical KDDI Corp
Priority to JP5367798A priority Critical patent/JP3602711B2/en
Publication of JPH11252111A publication Critical patent/JPH11252111A/en
Application granted granted Critical
Publication of JP3602711B2 publication Critical patent/JP3602711B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【0001】
【発明の属する技術分野】
本発明はインターネット等、ネットワーク間のパフォーマンス解析に有用なトラヒック監視装置に関する。
【0002】
【従来の技術】
インターネットの普及に伴い、特定の回線を流れるトラヒックの時間的変化など、インターネットのパフォーマンス解析が重要な課題となっている。
【0003】
このようなパフォーマンス解析を行うには、回線を流れるトラヒックを長時間監視して、それに基づいて各種の統計情報を生成する必要がある。
【0004】
一方、トラヒックの増大に伴い、インターネットのバックボーン回線はATM(非同期転送モード:Asynchronous Transfer Mode) 回線などの使用により、高速化されてきている。
【0005】
しかし、回線上に流れるパケットを加工せずに使用すると、時間に比例してデータ量が増大する。従って、ATM回線のような高速ネットワークに対してトラヒックを長時間監視する場合は、トラヒックデータの量が極めて膨大なものとなる。そのため、大容量の記憶装置と高速な処理装置が必要になる。
【0006】
【発明が解決しようとする課題】
そこで本発明の課題は、回線上に流れるパケットにできるだけ近い形でトラヒックデータを圧縮して蓄積するトラヒック監視装置を提供することである。
【0007】
【課題を解決するための手段】
上記課題を解決する請求項1に係る発明は、ネットワーク間回線からパケットを抽出し、抽出したパケットの少なくともIPヘッダを含むヘッダ部分を取り出すパケット取得手段と、前記パケット取得手段が取り出したヘッダ部分の内容から同パケット取得手段が抽出したパケットのパケット発信側ネットワークID及びパケット着信側ネットワークIDとの組み合わせ(以下、発着NIDと呼ぶ)を調べ、発着NID別に、前記回線上のトラヒックに関するデータ(以下、トラヒックデータと呼ぶ)を予め設定されたフォーマットで記録し、一定時間毎に発着NIDが同一種類のトラヒックデータ同士をまとめて蓄積するトラヒックデータ蓄積手段を備え
前記トラヒックデータとして、IPプロトコルに関する情報(以下、IP情報と呼ぶ)、TCPプロトコルに関する情報(以下、TCP情報と呼ぶ)、UDPプロトコルに関する情報(以下、UDP情報と呼ぶ)及びアプリケーションプロトコルに関する情報(以下、アプリケーションプロトコル情報と呼ぶ)のうち少なくとも1種類を用いると共に、
前記トラヒックデータとして前記TCP情報を用いる場合には、前記TCP情報が、コネクションに関しないTCP情報とコネクションに関するTCP情報とに区別され、
コネクションに関するTCP情報は、TCPコネクションを管理するコネクション管理テーブルを用いて、TCPの通信手順を考慮した情報の状態が識別されることを特徴とするトラヒック監視装置である。
【0013】
請求項に係る発明は、前記IP情報として少なくともIPパケット総数及びIPパケット総バイト数を含むことを特徴とするトラヒック監視装置である。
【0015】
請求項に係る発明は、前記コネクションに関しないTCP情報として少なくともTCPセグメント総数及びTCPセグメント総バイト数を含むことを特徴とするトラヒック監視装置である。
【0016】
請求項4、5に係る発明は、前記コネクションに関するTCP情報として少なくともコネクション数に関する情報を含み、又、TCPコネクション確立成功数、TCPコネクション確立失敗数、TCPコネクション確立平均時間、TCPコネクション持続平均時間、双方向のTCPコネクション毎の平均データ転送量のうち少なくとも1種類を含むことを特徴とするトラヒック監視装置である。
【0018】
請求項に係る発明は、前記アプリケーションプロトコル情報として、HTTPプロトコルに関する情報、FTPプロトコルに関する情報及びSMTPプロトコルに関する情報のうち少なくとも1つを含むことを特徴とするトラヒック監視装置である。
【0019】
【発明の実施の形態】
以下、本発明の実施の形態を説明する。
【0020】
(トラック監視装置の設計方針)
本発明の実施の形態の係るトラック監視装置の設計にあたり、以下の方針を立てた。
(1)一定時間毎(例えば、10分毎)に。IP、TCP、HTTP、FTP及びSMTP(Simple Mail Transfer Protocol:シンプルメール転送プロトコル)等の各プロトコルの統計情報を生成し、その時間的変化を解析可能とする。これらの情報は、発着ネットワークID及びアプリケーション毎に生成する。TCPでは、コネクションの確立時間や再送回数等、通信手順を考慮した情報も対象とする。
(2)インターネットのATM回線上を流れるIPパケットを取得し、一定時間のトラヒック量等を、トラヒックデータとして蓄積する。統計情報は、このデータを元に生成する。
(3)数カ月分のトラヒックデータを蓄積することを想定し、過去のデータは圧縮することが可能であるようなデータ構造を採用する。
【0021】
(機能)
本トラヒック監視装置には、特に、次のような統計情報を生成する機能を持たせた。
【0022】
IP情報については、
(1)ATM回線を流れる総パケット数及び総バイト数
(2)発着のネットワークID毎のパケット数及びバイト数
(3)上位のプロトコルの種別毎のパケット数及びバイト数
等である。
【0023】
TCP情報については、
(1)確立されたコネクション数
(2)コネクションの平均接続時間
(3)コネクション当たりの平均再送パケット数
(4)コネクション当たりの平均再送バイト数
等である。
【0024】
HTTP情報については、頻繁にアクセスされるサイト名等である。
【0025】
(装置構成)
本トラヒック監視装置は主として、CPUとソフトウェアを用いた計算機で図1に示すように構成した。但し、計算機はその能力に応じて、1台又は2台以上用いる。。
【0026】
図1に示すトラヒック監視装置1は155Mbpsの第1のATM回線11及び第2のATM回線12に接続され、その上を流れる双方向のパケットを取得するように構成する。
【0027】
また、図1に示すようにトラヒック監視装置1は、ソフトウェアにより、UNIXカーネル内に実装されるパケット取得モジュール(パケット取得手段)2と、ユーザプログラムとして実行されるトラヒックデータ蓄積モジュール(トラヒックデータ蓄積手段)3に加えて、データ集計及び画面表示を行う統計情報加工モジュール4から構成する。
【0028】
更に、トラヒック監視装置1は、第1のATM回線11に接続するためのATMボード5と、第2のATM回線12に接続するためのATMボード6を備えている。図1中、13及び14はATM回線に接続される各ネットワークのATMルータまたはATMスイッチを示す。
【0029】
(各モジュールについて)
パケット取得モジュール2では、IPパケットのキャプチャを行い、IP、TCP、HTTP等のヘッダ部分を取り出し、トラヒックデータ蓄積モジュール3へ通知する。
【0030】
トラヒックデータ蓄積モジュール3では、通知されたパケット情報を元に、一定時間毎にトラヒックデータを作成し、圧縮して蓄積する。
【0031】
図4に、トラヒックデータのフォーマット例を示す。例えば、トラヒックデータは、一定時間内にキャプチャされた、発着ネットワークID(発着NID:発NIDと着NID))及び発着ポート(well−known ポート:発側ポート番号と着側ポート番号)が同一であるIPパケットに対して作成され、前述の統計情報を作成するための情報を保持する。
【0032】
このように一定時間内に転送された複数のIPパケットに対応する情報を圧縮して蓄積することにより、ヘッダ部分を個別に識別する場合に比べて、蓄積すべきデータ量を減少させることができると共に、過去の記録については統計情報の生成の時間間隔を長くすることにより、データの圧縮が可能である。
【0033】
統計情報加工モジュール4は、蓄積されたトラヒックデータの集計及び画面表示を行う。これにより、或るネットワークIDが過去1ヶ月間にFTPにより受信したデータの総バイト数や、或るFTPサーバがTCPのコネクション確立に失敗した回数の1週間の分布など、詳細な統計情報を生成することができる。
【0034】
本トラヒック監視装置1は、パケット情報を圧縮、加工して蓄積することにより、高速なインターネットに対応して長時間運用することができる。
【0035】
(トラヒック監視装置1の実施例)
以下、図2及び図3に基づいて、トラヒック監視装置1の具体的な実施例を説明する。
【0036】
(パケット取得モジュール2の詳細)
先ず、図2を参照して、パケット取得モジュール2の詳細なパケット取得処理手順を以下に説明する。
【0037】
パケット取得モジュール2はATMボード5、6を通してATM回線11、12を監視し、ATM回線11、12からそこに流れるパケットを抽出してする(図2のステップS1参照)。
【0038】
次に、パケット取得モジュール2は、取得したパケットからそのヘッダ部分のみを取り出す(ステップS2参照)。詳しくは、パケットのヘッダ部分からIP(インターネットプロトコル)の上位プロトコルを調べる。上位プロトコルがTCP(転送制御プロトコル:Transmission Control Protocol )及びUDP(ユーザデータグラムプロトコル:User Datagram Protocol)以外である場合は、IPヘッダのみを取り出す。上位プロトコルがTCP又はUDPである場合は、TCP又はUDPのポート番号から更に上位のアプリケーションプロトコルを調べ、アプリケーションプロトコル毎にそのフォーマットを解析して、アプリケーションプロトコルのヘッダ部分までを取り出す。
【0039】
パケット取得モジュール2は、上記のように取り出したIPヘッダ及びアプリケーションプロトコルのヘッダ部分をトラヒックデータ蓄積モジュール3へ渡す(ステップS3参照)。
【0040】
(トラヒックデータ蓄積モジュール3の詳細)
次に、図3を参照して、トラヒックデータ蓄積モジュール3の詳細なトラヒックデータ蓄積手順を以下に説明する。
【0041】
トラヒックデータ蓄積モジュール3は常時、データの圧縮を行うべき一定時間が経過したか否かを監視する(図3のステップS4参照)。
【0042】
一定時間が経過しない場合は、その間、パケット取得モジュール2から渡されたデータ(IPヘッダ又はアプリケーションプロトコルのヘッダ部分)があるか否かを調べる(ステップS5参照)。
【0043】
パケット取得モジュール2からデータが渡されていた場合は、そのデータに対応するトラヒックデータが既に存在しているか否かを調べ、そのトラヒックデータのIDを取得する(ステップS6参照)。詳しくは、パケット取得モジュール2から渡されたヘッダ部分から、パケット取得モジュール2が抽出したパケットの発着NID(発着ネットワークID)と発着ポート番号を調べることにより、対応するトラヒックデータを検出し、そのIDを取得する。対応するトラヒックデータが存在していない場合は、新規にIDを付して作成する。
【0044】
トラヒックデータのフォーマットとしては、発着NID及び発着ポートが同一であるIPパケットに対して作成され、大まかには、図4に符号7で示すように、IP情報、TCP情報又はUDP情報、並びに、HTTP情報という4種類の情報を記録対象とするようにしてある。
【0045】
まず、トラヒックデータ蓄積モジュール3は、IP情報を記録する(ステップS7参照)。
【0046】
IP情報の詳細としては、下記(1)〜(6)の情報を蓄積するものとしている。
(1)IPパケット総数
(2)IPパケット総バイト数
(3)パケット長の分布
(4)IPフラグメンテーション(IPデータグラムをカプセル化する際にサイズが最大転送単位を越えた場合に分割されたIPパケット)を含むIPパケット総数
(5)プロトコルID毎のIPパケット総数
(6)プロトコルID毎のIPパケット総バイト数
【0047】
次に、パケット取得モジュール2から渡されたヘッダ部分から、IPの上位プロトコルがTCP、UDP、それ以外(ICMP(インターネット制御メッセージプロトコル:Internet Control Message Protocol )やIGMP(インターネットグループ管理プロトコル:Internet Group Management Protocol)等)のいずれであるかを調べ、それぞれの場合について、後述のように別個の処理を行う(ステップS8参照)。
【0048】
IPの上位プロトコルがTCPの場合は、まず、コネクションに関しないTCP情報を記録する(ステップS9参照)。
【0049】
コネクションに関しないTCP情報の詳細としては、下記(1)〜(8)の情報を蓄積するものとしている。ここで、双方向とは、サーバ側(ポート番号でアプリケーションを識別する側)からの送信と、クライアント側からの送信とを区別することを意味する。TCPセグメントのタイプとしては、SYN、SYN+ACK、DT(データセグメント)、ACK、FIN(データあり)、FIN(データ無し)、RST、これら以外の異常タイプの8つに区別する。
(1)TCPセグメント総数(双方向)
(2)TCPセグメント総バイト数(双方向)
(3)MSS(最大セグメントサイズ:Maximum Segment Size)オプションを含むTCPセグメント総数(双方向)
(4)WSF(ウインドウスケールファクタ:Window Scale Factor )オプションを含むTCPセグメント総数(双方向)
(5)タイムスタンプ(Time Stamp)オプションを含むTCPセグメント総数(双方向)
(6)再送TCPセグメント数
(7)タイプ別のTCPセグメント総数(双方向)
(8)タイプ別のTCPセグメント総バイト数(双方向)
【0050】
次に、トラヒックデータ蓄積モジュール3は、TCPコネクションのIDを取得する(ステップS10参照)。詳細には、トラヒックデータ蓄積モジュール3はコネクション管理テーブルと状態遷移機能を備えており、抽出したパケットのTCP/IPヘッダから発着のIPアドレス及び発着のポート番号を抽出することにより、そのパケットのTCPコネクションを識別し、コネクション管理テーブルのリストから、同TCPコネクションのIDを取得する。識別したTCPコネクションがコネクション管理テーブルのリストにない場合は、当該TCPコネクションをコネクション管理テーブルに追加して新規に作成し、それのIDを取得する。
【0051】
そして、トラヒックデータ蓄積モジュール3は、状態遷移及びコネクション管理テーブルの更新をを行う(ステップS11参照)。詳細には、先に取得したTCPコネクションに対して、抽出したパケットのTCPヘッダを入力として与えることにより、状態遷移を行う。TCPの状態としては、CLOSED(コネクションなし)、 SYN_SENT(SYN送信済み)、ESTABLISHED(データ転送中)、INIT_FIN _SENT(FIN送信済み)及びRES _FIN _SENT(FIN 受信済み)の5種類を識別するものとしている。
【0052】
次に、トラヒックデータ蓄積モジュール3は、コネクションに関するTCP情報を蓄積する(ステップS12参照)。詳細には、先の状態遷移において得られるTCP情報の蓄積を行う。
【0053】
コネクションに関するTCP情報としては、下記(1)〜(6)の情報を蓄積するものとしている。ここでも、双方向とは、サーバ側からの送信と、クライアント側からの送信とを区別することを意味する。
(1)TCPコネクション確立成功数
(2)TCPコネクション確立失敗数
(3)TCPコネクション確立平均時間
(4)TCPコネクション持続平均時間
(5)TCPコネクション毎の平均データ転送量(双方向)
(6)TCPコネクション毎のスループット(双方向)
【0054】
次に、トラヒックデータ蓄積モジュール3は、TCPの上位プロトコル(アプリケーションプロトコル)を調べる(ステップS13参照)。詳細には、ポート番号よりアプリケーションプロトコルを識別して、そのアプリケーション固有の情報解析を行う。
【0055】
そして、TCP上のアプリケーションプロトコル毎に、そのアプリケーション固有の情報の蓄積を行う(ステップS14参照)。例えば、上位アプリケーションプロトコルがHTTP(Hyper Text Transfer Protocol:ハイパーテキスト転送プロトコル)であるならば、サイト毎のアクセス数などを蓄積する。
【0056】
TCP上のアプリケーション固有の情報を蓄積したら、一定時間経過監視の処理(ステップS4)に戻る。
【0057】
一方、IPの上位プロトコルの判定(ステップS8)において上位プロトコルがUDPの場合は、UDP情報を蓄積する(ステップS15参照)。
【0058】
UDP情報としては下記(1)〜(2)の情報を蓄積するものとしている。
(1)UDPデータグラム総数(双方向)
(2)UDPデータグラム総バイト数(双方向)
【0059】
更に、トラヒックデータ蓄積モジュール3は、UDP上のアプリケーションプロトコルをポート番号より識別してそのアプリケーション固有の情報を解析し、得られたアプリケーション固有の情報の蓄積を行う(ステップS16参照)。
【0060】
UDP上のアプリケーション固有の情報を蓄積したら、一定時間経過監視処理(ステップS4)に戻る。
【0061】
IPの上位プロトコルの判定(ステップS8)において上位プロトコルがTCPでも、UDPでもない場合は、一定時間経過監視の処理(ステップS4)に戻る。
【0062】
そして、圧縮すべき一定時間が経過した時、過去のトラヒックデータを、粒度の粗いトラヒックデータに圧縮して変換する(ステップS17参照)。
【0063】
圧縮としては、発着NIDが同一種類のトラヒックデータ同士をまとめたり、発着NIDと上位プロトコル(アプリケーションプロトコルであっても良い)が同一種類のトラヒックデータ同士をまとめたり、上位プロトコル(アプリケーションプロトコルであっても良い)が同一種類のトラヒックデータ同士をまとめて蓄積することにより、達成できる。
【0064】
同一種類毎にまとめて圧縮されたトラヒックデータ同士を、より長い一定時間毎に、更に同一種類毎にまとめて圧縮して蓄積することにより、粒度がより粗いトラヒックデータに圧縮しても良い。もちろん、必要に応じて何段階にも時間間隔を長くして次々に粒度が粗いトラヒックデータに圧縮しても良い。
【0065】
上記説明では、トラヒック監視装置1がインターネット中のATM回線に接続されているが、ATM回線以外の回線に接続されても良く、更には、インターネットに限らず、任意のネットワーク間の回線に接続されても良い。
【0066】
【発明の効果】
以上より、本発明によれば、ネットワーク間の回線上に流れるパケットにできるだけ近い形でトラヒックデータを圧縮して蓄積することができる。従って、高速なインターネット等に対応して、トラヒック監視を長時間運用すること事ができる。
【図面の簡単な説明】
【図1】本発明の実施の形態に係るトラヒック監視装置の構成例を示す図。
【図2】パケット取得手段の処理手順例を示す図。
【図3】トラヒックデータ蓄積手段の処理手順例を示す図。
【図4】トラヒックデータのフォーマット例を示す図。
【符号の説明】
1 トラヒック監視装置
2 パケット取得モジュール(パケット取得手段)
3 トラヒックデータ蓄積モジュール(トラヒックデータ蓄積手段)
4 統計情報加工モジュール
5、6 ATM回線
7 トラヒックデータフォーマット
11、12 ATMボード
13、14 ATMルータ又はATMスイッチ[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a traffic monitoring device useful for performance analysis between networks such as the Internet.
[0002]
[Prior art]
With the spread of the Internet, performance analysis of the Internet has become an important issue, such as the temporal change of traffic flowing through a specific line.
[0003]
In order to perform such a performance analysis, it is necessary to monitor traffic flowing through a line for a long time and generate various types of statistical information based on the monitoring.
[0004]
On the other hand, with an increase in traffic, the backbone line of the Internet has been sped up by using an ATM (Asynchronous Transfer Mode) line or the like.
[0005]
However, if a packet flowing on the line is used without processing, the data amount increases in proportion to time. Therefore, when monitoring traffic on a high-speed network such as an ATM line for a long time, the amount of traffic data becomes extremely large. Therefore, a large-capacity storage device and a high-speed processing device are required.
[0006]
[Problems to be solved by the invention]
Therefore, an object of the present invention is to provide a traffic monitoring device which compresses and accumulates traffic data in a form as close as possible to a packet flowing on a line.
[0007]
[Means for Solving the Problems]
The invention according to claim 1, which solves the above-mentioned problem, comprises: a packet acquisition unit that extracts a packet from an inter-network line and extracts a header portion including at least an IP header of the extracted packet; A combination of the packet ID on the packet originating side and the network ID on the destination side of the packet extracted by the packet acquisition means from the contents (hereinafter referred to as the originating and terminating NID) is checked, and data on the traffic on the line (hereinafter, referred to as the terminating and terminating NID) for each originating and terminating NID. Traffic data) is recorded in a preset format, and the traffic data having the same type of outgoing and incoming NIDs is collectively stored at regular time intervals .
As the traffic data, information related to an IP protocol (hereinafter, referred to as IP information), information related to a TCP protocol (hereinafter, referred to as TCP information), information related to a UDP protocol (hereinafter, referred to as UDP information), and information related to an application protocol (hereinafter, referred to) , And application protocol information).
When the TCP information is used as the traffic data, the TCP information is divided into TCP information that is not related to a connection and TCP information that is related to a connection,
TCP information concerning the connection, using the connection management table for managing the TCP connection, a traffic monitoring device status information in consideration of the TCP communication procedure wherein the Rukoto identified.
[0013]
The invention according to claim 2 is the traffic monitoring device, wherein the IP information includes at least the total number of IP packets and the total number of bytes of IP packets.
[0015]
The invention according to claim 3 is the traffic monitoring device, wherein the TCP information not related to the connection includes at least a total number of TCP segments and a total number of bytes of TCP segments.
[0016]
The invention according to claim 4 and 5, viewed contains information about at least the number of connections as the TCP information on the connection, also, TCP connection establishment success number, TCP connection establishment failure number, TCP connection establishment mean time, TCP connection duration Mean Time a traffic monitoring device according to claim including Mukoto at least one of the average data transfer amount for each TCP connection bidirectional.
[0018]
The invention according to claim 6 is the traffic monitoring device, wherein the application protocol information includes at least one of information on an HTTP protocol, information on an FTP protocol, and information on an SMTP protocol.
[0019]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, embodiments of the present invention will be described.
[0020]
(Design policy for truck monitoring equipment)
In designing the truck monitoring device according to the embodiment of the present invention, the following policy was established.
(1) Every fixed time (for example, every 10 minutes). The statistical information of each protocol such as IP, TCP, HTTP, FTP, and SMTP (Simple Mail Transfer Protocol) is generated, and its temporal change can be analyzed. These pieces of information are generated for each destination network ID and each application. TCP also targets information that takes communication procedures into account, such as the connection establishment time and the number of retransmissions.
(2) An IP packet flowing on an ATM line of the Internet is acquired, and a traffic amount for a certain period of time is accumulated as traffic data. Statistical information is generated based on this data.
(3) Assuming that traffic data for several months is accumulated, a data structure that can compress past data is adopted.
[0021]
(function)
In particular, the traffic monitoring device has a function of generating the following statistical information.
[0022]
For IP information,
(1) The total number of packets and the total number of bytes flowing through the ATM line (2) The number of packets and the number of bytes for each originating / departing network ID (3) The number of packets and the number of bytes for each type of higher-level protocol
[0023]
For TCP information,
(1) Number of established connections (2) Average connection time of connection (3) Average number of retransmitted packets per connection (4) Average number of retransmitted bytes per connection
[0024]
The HTTP information is a frequently accessed site name or the like.
[0025]
(Device configuration)
This traffic monitoring device was mainly configured by a computer using a CPU and software as shown in FIG. However, one computer or two or more computers are used according to their capabilities. .
[0026]
The traffic monitoring device 1 shown in FIG. 1 is connected to a 155 Mbps first ATM line 11 and a second ATM line 12, and is configured to acquire a bidirectional packet flowing thereover.
[0027]
As shown in FIG. 1, the traffic monitoring device 1 includes a packet acquisition module (packet acquisition means) 2 implemented in a UNIX kernel by software, and a traffic data accumulation module (traffic data accumulation means) executed as a user program. 3) In addition to the above, the statistical information processing module 4 which performs data aggregation and screen display is configured.
[0028]
Further, the traffic monitoring device 1 includes an ATM board 5 for connecting to a first ATM line 11 and an ATM board 6 for connecting to a second ATM line 12. In FIG. 1, reference numerals 13 and 14 denote ATM routers or ATM switches of each network connected to the ATM line.
[0029]
(For each module)
The packet acquisition module 2 captures an IP packet, extracts a header part such as IP, TCP, and HTTP, and notifies the traffic data storage module 3 of the header.
[0030]
The traffic data storage module 3 creates traffic data at regular intervals based on the notified packet information, compresses the data, and stores it.
[0031]
FIG. 4 shows a format example of the traffic data. For example, in the traffic data, the outgoing / incoming network ID (outgoing / incoming NID: outgoing NID and incoming NID) and the outgoing / incoming port (well-known port: outgoing port number and incoming port number) captured within a fixed time are the same. It is created for a certain IP packet and holds information for creating the aforementioned statistical information.
[0032]
As described above, by compressing and storing information corresponding to a plurality of IP packets transferred within a fixed time, the amount of data to be stored can be reduced as compared with a case where header portions are individually identified. At the same time, for past records, data can be compressed by increasing the time interval of generation of statistical information.
[0033]
The statistical information processing module 4 performs totalization of accumulated traffic data and screen display. As a result, detailed statistical information such as the total number of bytes of data received by FTP for a certain network ID in the past month and the distribution of the number of times a certain FTP server failed to establish a TCP connection for one week is generated. can do.
[0034]
By compressing, processing, and accumulating the packet information, the traffic monitoring device 1 can be operated for a long time corresponding to the high-speed Internet.
[0035]
(Example of traffic monitoring device 1)
Hereinafter, a specific embodiment of the traffic monitoring device 1 will be described with reference to FIGS.
[0036]
(Details of packet acquisition module 2)
First, referring to FIG. 2, a detailed packet acquisition processing procedure of the packet acquisition module 2 will be described below.
[0037]
The packet acquisition module 2 monitors the ATM lines 11 and 12 through the ATM boards 5 and 6, and extracts packets flowing therefrom from the ATM lines 11 and 12 (see step S1 in FIG. 2).
[0038]
Next, the packet acquisition module 2 extracts only the header portion from the acquired packet (see step S2). Specifically, a higher-level protocol of IP (Internet Protocol) is checked from the header part of the packet. If the upper layer protocol is other than TCP (Transmission Control Protocol) and UDP (User Datagram Protocol), only the IP header is extracted. If the upper layer protocol is TCP or UDP, the upper layer application protocol is checked from the TCP or UDP port number, the format is analyzed for each application protocol, and the application protocol header is extracted.
[0039]
The packet acquisition module 2 passes the IP header and the application protocol header portion extracted as described above to the traffic data storage module 3 (see step S3).
[0040]
(Details of the traffic data storage module 3)
Next, referring to FIG. 3, a detailed traffic data storage procedure of the traffic data storage module 3 will be described below.
[0041]
The traffic data storage module 3 constantly monitors whether or not a predetermined time for compressing data has elapsed (see step S4 in FIG. 3).
[0042]
If the fixed time has not elapsed, it is checked whether there is data (IP header or application protocol header) passed from the packet acquisition module 2 during that time (see step S5).
[0043]
If data has been passed from the packet acquisition module 2, it is checked whether or not traffic data corresponding to the data already exists, and the ID of the traffic data is acquired (see step S6). More specifically, the corresponding traffic data is detected by examining the outgoing / incoming NID (outgoing / incoming network ID) and the outgoing / incoming port number of the packet extracted by the packet acquiring module 2 from the header portion passed from the packet acquiring module 2, and detecting the corresponding traffic data. To get. If there is no corresponding traffic data, it is created with a new ID.
[0044]
The format of the traffic data is created for IP packets having the same outgoing / incoming NID and incoming / outgoing port. Generally, as shown by reference numeral 7 in FIG. 4, IP information, TCP information or UDP information, and HTTP Four types of information, information, are to be recorded.
[0045]
First, the traffic data storage module 3 records IP information (see step S7).
[0046]
As the details of the IP information, the following information (1) to (6) is stored.
(1) Total number of IP packets (2) Total number of bytes of IP packets (3) Distribution of packet length (4) IP fragmentation (IP fragmentation when the size exceeds the maximum transfer unit when encapsulating IP datagrams) (5) Total number of IP packets for each protocol ID (6) Total number of bytes for IP packets for each protocol ID
Next, from the header portion passed from the packet acquisition module 2, the upper protocol of the IP is TCP, UDP, or the other (ICMP (Internet Control Message Protocol) or IGMP (Internet Group Management Protocol: Internet Group Management Protocol)). Protocol)), and a separate process is performed for each case as described below (see step S8).
[0048]
When the upper protocol of the IP is TCP, first, TCP information not relating to the connection is recorded (see step S9).
[0049]
As the details of the TCP information not related to the connection, the following information (1) to (8) is stored. Here, bidirectional means to distinguish between transmission from the server side (the side that identifies an application by a port number) and transmission from the client side. The TCP segment types are classified into eight types: SYN, SYN + ACK, DT (data segment), ACK, FIN (with data), FIN (no data), RST, and other abnormal types.
(1) Total number of TCP segments (bidirectional)
(2) Total number of bytes in TCP segment (bidirectional)
(3) Total number of TCP segments including MSS (Maximum Segment Size) option (bidirectional)
(4) Total number of TCP segments including WSF (Window Scale Factor) option (bidirectional)
(5) TCP segment total number including time stamp (Time Stamp) option (bidirectional)
(6) Number of retransmitted TCP segments (7) Total number of TCP segments by type (bidirectional)
(8) Total number of bytes in TCP segment by type (bidirectional)
[0050]
Next, the traffic data storage module 3 acquires the ID of the TCP connection (see step S10). In detail, the traffic data storage module 3 has a connection management table and a state transition function, and extracts the incoming / outgoing IP address and the incoming / outgoing port number from the TCP / IP header of the extracted packet, thereby obtaining the TCP / IP of the packet. The connection is identified, and the ID of the TCP connection is acquired from the list in the connection management table. If the identified TCP connection is not in the list of the connection management table, the TCP connection is added to the connection management table, newly created, and its ID is acquired.
[0051]
Then, the traffic data storage module 3 changes the state and updates the connection management table (see step S11). Specifically, the state transition is performed by giving the TCP header of the extracted packet as an input to the previously acquired TCP connection. As the TCP status, five types of CLOSED (no connection), SYN_SENT (transmitted SYN), ESTABLISHED (during data transfer), INIT_FIN_SENT (transmitted FIN), and RES_FIN_SENT (received FIN) are identified. I have.
[0052]
Next, the traffic data storage module 3 stores TCP information related to the connection (see step S12). Specifically, the TCP information obtained in the previous state transition is stored.
[0053]
It is assumed that the following information (1) to (6) is accumulated as the TCP information relating to the connection. Again, bidirectional means to distinguish between transmission from the server and transmission from the client.
(1) Number of TCP connection establishment successes (2) Number of TCP connection establishment failures (3) TCP connection establishment average time (4) TCP connection duration average time (5) Average data transfer amount for each TCP connection (bidirectional)
(6) Throughput per TCP connection (bidirectional)
[0054]
Next, the traffic data storage module 3 checks the upper protocol (application protocol) of TCP (see step S13). Specifically, an application protocol is identified from a port number, and information unique to the application is analyzed.
[0055]
Then, information specific to the application is stored for each application protocol on the TCP (see step S14). For example, if the upper application protocol is HTTP (Hyper Text Transfer Protocol), the number of accesses for each site is stored.
[0056]
After the application-specific information on the TCP is accumulated, the process returns to the process of monitoring the elapse of a predetermined time (step S4).
[0057]
On the other hand, when the upper protocol is UDP in the determination of the upper protocol of the IP (step S8), the UDP information is accumulated (see step S15).
[0058]
The following information (1) and (2) is stored as UDP information.
(1) Total number of UDP datagrams (bidirectional)
(2) Total number of bytes of UDP datagram (bidirectional)
[0059]
Further, the traffic data storage module 3 identifies the application protocol on the UDP from the port number, analyzes the application-specific information, and stores the obtained application-specific information (see step S16).
[0060]
After accumulating the application-specific information on the UDP, the process returns to the elapse of a predetermined time monitoring process (step S4).
[0061]
If the upper protocol is neither TCP nor UDP in the determination of the upper protocol of the IP (step S8), the process returns to the process of monitoring the elapse of a certain time (step S4).
[0062]
Then, when a certain time to be compressed has elapsed, the past traffic data is compressed and converted into coarse-grained traffic data (see step S17).
[0063]
As compression, the originating and terminating NIDs combine traffic data of the same type, the originating and terminating NID and the higher-level protocol (which may be an application protocol) group together traffic data of the same type, and the upper-level protocol (application protocol). Can be achieved by collectively storing traffic data of the same type.
[0064]
The traffic data compressed collectively for each type may be compressed for a longer period of time, and further collectively compressed for each type, and accumulated, so that traffic data having a coarser granularity may be compressed. Of course, if necessary, the time interval may be lengthened in any number of steps, and the data may be compressed one after another into coarse-grained traffic data.
[0065]
In the above description, the traffic monitoring device 1 is connected to an ATM line in the Internet. However, the traffic monitoring device 1 may be connected to a line other than the ATM line. May be.
[0066]
【The invention's effect】
As described above, according to the present invention, traffic data can be compressed and stored in a form as close as possible to a packet flowing on a line between networks. Therefore, traffic monitoring can be operated for a long time corresponding to the high-speed Internet or the like.
[Brief description of the drawings]
FIG. 1 is a diagram showing a configuration example of a traffic monitoring device according to an embodiment of the present invention.
FIG. 2 is a diagram illustrating an example of a processing procedure of a packet acquisition unit.
FIG. 3 is a diagram showing an example of a processing procedure of a traffic data storage unit.
FIG. 4 is a diagram showing a format example of traffic data.
[Explanation of symbols]
1 traffic monitoring device 2 packet acquisition module (packet acquisition means)
3 Traffic data storage module (traffic data storage means)
4 Statistics information processing module 5, 6 ATM line 7 Traffic data format 11, 12 ATM board 13, 14 ATM router or ATM switch

Claims (6)

ネットワーク間回線からパケットを抽出し、抽出したパケットの少なくともIPヘッダを含むヘッダ部分を取り出すパケット取得手段と、
前記パケット取得手段が取り出したヘッダ部分の内容から同パケット取得手段が抽出したパケットのパケット発信側ネットワークID及びパケット着信側ネットワークIDとの組み合わせ(以下、発着NIDと呼ぶ)を調べ、発着NID別に、前記回線上のトラヒックに関するデータ(以下、トラヒックデータと呼ぶ)を予め設定されたフォーマットで記録し、一定時間毎に発着NIDが同一種類のトラヒックデータ同士をまとめて蓄積するトラヒックデータ蓄積手段とを備え、
前記トラヒックデータとして、IPプロトコルに関する情報(以下、IP情報と呼ぶ)、TCPプロトコルに関する情報(以下、TCP情報と呼ぶ)、UDPプロトコルに関する情報(以下、UDP情報と呼ぶ)及びアプリケーションプロトコルに関する情報(以下、アプリケーションプロトコル情報と呼ぶ)のうち少なくとも1種類を用いると共に、
前記トラヒックデータとして前記TCP情報を用いる場合には、前記TCP情報がコネクションに関しないTCP情報とコネクションに関するTCP情報とに区別され
前記コネクションに関するTCP情報は、TCPコネクションを管理するコネクション管理テーブルを用いて、TCPの通信手順を考慮した情報の状態が識別されること特徴とするトラヒック監視装置。 Packet acquisition means for extracting a packet from an inter-network line and extracting a header portion including at least an IP header of the extracted packet;
From the contents of the header portion extracted by the packet acquisition unit, the combination of the packet transmission side network ID and the packet reception side network ID of the packet extracted by the packet acquisition unit (hereinafter referred to as the transmission / reception NID) is examined. Traffic data storage means for recording data relating to traffic on the line (hereinafter referred to as traffic data) in a preset format, and collectively storing traffic data having the same type of outgoing and incoming NIDs at regular time intervals; ,
As the traffic data, information relating to the IP protocol (hereinafter, referred to as IP information), information relating to the TCP protocol (hereinafter, referred to as TCP information), information relating to the UDP protocol (hereinafter, referred to as UDP information), and information relating to the application protocol (hereinafter, referred to) , And application protocol information).
When the TCP information is used as the traffic data, the TCP information is distinguished into TCP information related to no connection and TCP information related to a connection ,
TCP information on the connection, using the connection management table for managing the TCP connection, TCP state identified Rukoto features and to belt Rahikku monitoring device information in consideration of the communication procedure. 前記IP情報として、少なくともIPパケット総数及びIPパケット総バイト数を含むことを特徴とする請求項1に記載のトラヒック監視装置。The traffic monitoring device according to claim 1, wherein the IP information includes at least a total number of IP packets and a total number of bytes of the IP packets. 前記コネクションに関しないTCP情報として少なくともTCPセグメント総数及びTCPセグメント総バイト数を含むことを特徴とする請求項1又は請求項2に記載のトラヒック監視装置。The traffic monitoring device according to claim 1 or 2 , wherein the TCP information not related to the connection includes at least a total number of TCP segments and a total number of bytes of TCP segments. 前記コネクションに関するTCP情報として少なくともコネクション数に関する情報を含むことを特徴とする請求項1乃至請求項3のいずれかに記載のトラヒック監視装置。Traffic monitoring device according to any one of claims 1 to 3, characterized in that it comprises information about at least the number of connections as the TCP information about the connection. 前記コネクションに関するTCP情報として、TCPコネクション確立成功数、TCPコネクション確立失敗数、TCPコネクション確立平均時間、TCPコネクション持続平均時間、双方向のTCPコネクション毎の平均データ転送量のうち少なくとも1種類を含むことを特徴とする請求項1乃至請求項3に記載のトラヒック監視装置。The TCP information on the connection includes at least one of a TCP connection establishment success number, a TCP connection establishment failure number, a TCP connection establishment average time, a TCP connection duration average time, and an average data transfer amount for each bidirectional TCP connection. The traffic monitoring device according to claim 1, wherein: 前記アプリケーションプロトコル情報として、HTTPプロトコルに関する情報、FTPプロトコルに関する情報及びSMTPプロトコルに関する情報のうち少なくとも1つを含むことを特徴とする請求項1乃至請求項5のいずれかに記載のトラヒック監視装置。Examples application protocol information, traffic monitoring device according to any one of claims 1 to 5, characterized in that it comprises information about the HTTP protocol, at least one of information about the information and SMTP protocols for FTP protocol.
JP5367798A 1998-03-05 1998-03-05 Traffic monitoring device Expired - Fee Related JP3602711B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP5367798A JP3602711B2 (en) 1998-03-05 1998-03-05 Traffic monitoring device

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP5367798A JP3602711B2 (en) 1998-03-05 1998-03-05 Traffic monitoring device

Publications (2)

Publication Number Publication Date
JPH11252111A JPH11252111A (en) 1999-09-17
JP3602711B2 true JP3602711B2 (en) 2004-12-15

Family

ID=12949464

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5367798A Expired - Fee Related JP3602711B2 (en) 1998-03-05 1998-03-05 Traffic monitoring device

Country Status (1)

Country Link
JP (1) JP3602711B2 (en)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001285400A (en) 2000-03-29 2001-10-12 Kddi Corp How to collect traffic statistics
KR20010103247A (en) * 2000-05-09 2001-11-23 조용인 Method and system for providing ip network traffic measurement
KR100566213B1 (en) * 2001-10-26 2006-03-29 주식회사 케이티 Flow-based Traffic Sampling Method in IP Networks

Also Published As

Publication number Publication date
JPH11252111A (en) 1999-09-17

Similar Documents

Publication Publication Date Title
Mellia et al. Measuring IP and TCP behavior on edge nodes with Tstat
Thompson et al. Wide-area Internet traffic patterns and characteristics
US7440409B2 (en) Network traffic monitoring system and monitoring method
US8848528B1 (en) Network data flow collection and processing
Balakrishnan et al. TCP behavior of a busy Internet server: Analysis and improvements
US7623466B2 (en) Symmetric connection detection
Duffield et al. Trajectory sampling for direct traffic observation
US7010592B2 (en) Method for collecting statistical traffic data
WO2002021296A1 (en) Statistics collection for network traffic
US20060028999A1 (en) Flows based visualization of packet networks with network performance analysis, troubleshooting, optimization and network history backlog
WO2002021297A1 (en) Architecture to thwart denial of service attacks
WO2002021771A1 (en) Device to protect victim sites during denial of service attacks
CN101335686A (en) Method for carrying out data flow analysis and management on network appliance
WO2002021279A1 (en) Thwarting source address spoofing-based denial of service attacks
Mellia et al. Measuring IP and TCP behavior on Edge Nodes
Mellia et al. Tstat: TCP statistic and analysis tool
Dubendorfer et al. A framework for real-time worm attack detection and backbone monitoring
JP3602711B2 (en) Traffic monitoring device
Dunnigan et al. Flow characterization for intrusion detection
Bagal et al. Comparative study of RED, ECN and TCP Rate Control
Miller et al. the nature of the beast: recent traffic measurements from an Internet backbone
Aracil et al. Analysis of Internet Services in IP over ATM networks
Cisco NetFlow Services Solutions Guide
JP2001094573A (en) Equipment for measuring traffic quality
KR101222209B1 (en) Combined system for collecting/analyzing internet protocol packet and method thereof

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20040212

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040217

A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040416

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20040831

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20040924

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081001

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20081001

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20101001

Year of fee payment: 6

LAPS Cancellation because of no payment of annual fees