弊社が販売するntopngを利用したアプリケーション分析の方法をご紹介いたします。
文:ジュピターテクノロジー よしひろ
図1 iphoneのリアルタイムアプリケーション分析
図1はiphone7でWifiに接続し、Youtubeを再生したり、ZoomやTelegramアプリを起動したときのリアルタイムトラフィックグラフです。
本記事では、ntopngを活用したアプリケーション分析の方法をステップ・バイ・ステップで説明致します。
3つのアプリケーション分析アプローチ
ntopngのアプリケーション分析アプローチ方法は、以下3種類あります。
- トラフィック全体のアプリケーションから、どのユーザーが帯域を使っているか?の逆引きアプローチ
- どのIPがどのアプリケーションを使っているのか?の正引きアプローチ
- 社内イントラWEBシステム等、ローカルアプリケーションの登録
それぞれ、ご紹介します。
トラフィック全体からの逆引きアプローチ
全体トラフィックのアプリケーション分析は、以下の手順となります。
- 「インターフェイス」メニューをクリック
- 「グラフ」アイコンをクリック
- プルダウンメニューの上段「Topプロトコル」、下段「Topプロトコル」を選択
上記1-3で、直近5分間のトラフィックグラフとクライアント・サーバー間通信でスループットが多かったアプリケーションが表示されます。
所謂”Top N”アプリケーションですが、ntopngは”Top N”の数を制限しません。
指定した時間範囲内にインターフェイス上で検出されたアプリケーションを全て確認することができます。
図2 「Topプロトコル」,「Topプロトコル」画面
図2では③のRTSP,HTTP,EKRAN,TLSで全体トラフィックの81.2%を利用しているのが分かります。
トラフィック利用者の特定
それでは、図1の一番帯域消費量が多いRTSP(Real Time Streaming Protocol)をさらに追跡して、誰がRTSPを利用しているのか?、RTSPのサイトは何か?を特定しましょう。
ここで注意ですが、時間枠はデフォルトの直近5分ではなく、30m以上を選択してください。
直近5分ですと、メモリ内の情報がパージされる場合があり、グラフが表示されないことがあります。
図2は、30mを指定し図1の④RTSPのアクション列の虫眼鏡をクリックした図となります。
図2「RTSP」,「Top RTSP L7 Contacts」画面
図2の通り、プルダウンメニューの上段「RTSP」、下段「Top RTSP L7 Conctas」を選択した画面に遷移しています。
今回は、クライアント・サーバー間のホストが1組でしたが複数あれば表に表示されます。
クライアントにipcam2f, サーバーにipcam8f、スループットは1.01Mbit/s、合計バイト215.99MBということで弊社設置のIPカメラがRTSPの利用ユーザーであったことが分かりました。
では、このRTSPのトラフィックですがいくつのフローから構成され、どのようなポートを利用しているのでしょうか?
それでは、RTSPのフロー情報をみてみましょう。
特定アプリケーションのフロー情報参照
図2のアクション列の虫眼鏡マークをクリックしてください。
図3 「RTSP」,「ipcam2f⇔ipcam8f[RTSP]」画面
図3の通り、5つのフローから構成されそれぞれの送信元ポート番号、宛先ポート番号、フロー発生時刻、パケット数、スループット、合計バイトを確認することができます。
さらに、アクション列の下矢印アイコンをクリックするとフローのパケットが、紙アイコンを押すとテキストのフロー情報をダウンロードすることができます。
特定IPの利用アプリケーション正引きアプローチ
特定IPの利用アプリケーション分析は、以下の手順となります。
- 「ホスト」→「ホスト」メニューをクリック
- 分析を行うローカルホストを選択する
- 「グラフ」アイコンをクリック
- プルダウンメニューの上段「Topプロトコル」、下段「Topプロトコル」を選択
上記1-4で、直近5分間のトラフィックグラフとクライアント・サーバー間通信でスループットが多かったアプリケーションが表示されます。
後は、「特定アプリケーションのフロー情報参照」の操作と同様となります。
ローカルアプリケーションの登録
ntopngのアプリケーション分析は約250種類の判別が可能ですが、社内システム等の特殊な通信をUnknownプロトコルとしてntopngが認識している場合、任意のアプリケーション名として判別する方法があります。
登録方法は、ホスト名とポート番号の2種類があります。
ブログ記事「ntop Deep Packet Inspection(nDPI)未登録プロトコル設定」では、弊社社内で導入している証跡管理システムをアプリケーション名EKRANで登録する例をご紹介しております。
Unknownプロトコルを特定のアプリケーションに紐づけていけばネットワークトラフィックの可視化がさらに進みます。こちらを参考に、是非トライしてみてください。
本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
