本ブログ記事では、ntop製品の1つ高速ネットワークトラフィック分析ツールntopng最大の特長であるL7アプリケーション分析機能をご紹介します。
文:ジュピターテクノロジー よしひろ
(2021/02/05 リリース前に関連する文章を修正、可読性を向上するために改行挿入、別記事リンクを作成)
2020年5月現在、コロナ禍でテレワーク継続中です。
ntopngを活用してテレワーク期間中に社内ネットワークのトラフィックを分析してみました。
今現在、社内ネットワークのトラフィックはどのようになっているのでしょうか。
弊社のテレワーク環境に興味のある方は、ブログ記事「実録、ntopng™でテレワーク導入時のトラブルを解決」も合わせてお読みください。
ntop社のntopngは、2020年5月時点で248個のアプリケーションを判別することができます。
このL7アプリケーション分析は、同じくntop社が開発するnDPI(ntop Deep Packet Inspection)ライブラリがその役割を担っており、このライブラリのバージョンが上がるごとに、対応するアプリケーション数が増えます。
現在nDPIがサポートしているアプリケーションに関しては、こちらでご確認頂けます。
テレワーク期間中のアプリケーション概要把握
テレワークが始まった4月初旬から現在までどのようなアプリケーションが利用されてきたかを分析します。
こういったある程度長い期間の分析は、ntopngの「インターフェイス」メニューの「グラフ」メニューを活用します。
図1 インターフェイスグラフ画面
図1では、分析期間を4月1日~5月7日に変更し、プルダウンメニューで「Topプロトコル」を選択しています。
グラフは主に使用量が多いアプリケーション数種とその他、傾向やEMA,SMAといった指標で生成されています。
また、画面中段より下の表でそれぞれのアプリケーションの利用状況が数値化されています。
グラフでアプリケーションの利用量を日時で統計的に把握し、さらなる詳細は表のデータを辿っていくという見方が一般的です。
表1にテレワーク期間中に利用された主なアプリケーションをまとめてみました。
表1 Top5アプリケーション
unknownが目立ちますが、こちらはnDPIのカスタム定義により、さらに見える化(実際にntopng画面にプロトコル名が表示される)していくことが可能です。
nDPIのカスタム定義に関しては、別途記事「ntop Deep Packet Inspection(nDPI)未登録プロトコル設定」で詳細に説明しておりますので、ご参照ください。
図1の画面だけ(「インターフェイス」の「グラフ」メニュー)で期間中のトラフィックの概要を瞬時に把握することができました。
ZoomとGmailトラフィックをフィルタリング
次にZoomとGmailを対象に、それぞれのアプリケーションがntopng上でどのように表示されるか試してみました。
以下の画面はntopngの「フロー」メニュー画面でアプリケーション「Zoom」でフィルタをかけた画面です。
画面に「アクティブなZoomフロー」と表示され、ntopngがリアルタイムで検知したZoomに関するフローを表示してくれます。
図2 アクティブなZoomフロー
図2の画像を左クリックして、拡大表示してください。
Zoomトラフィックが捕縛できており、ホストやそれぞれのスループットまで1画面で確認することができます。
さらに、詳細データを確認する場合は、アプリケーション、IPアドレスやポートのリンクをクリックすることで、それぞれの画面にジャンプできます。
次に、Gmailでフィルタしてみます。
図3 アクティブなGmailフロー
期待通りGmailのトラフィックだけが表示され、プロトコル情報、ホストやサーバー、クライアント比率をひとつの画面で確認することができます。
アプリケーションのリアルタイム表示
図2及び図3は「アクティブなXXフロー」といった、現在監視対象インターフェィスに流れている特定フローに関する情報でした。
最後に「インターフェィス」メニューのホーム画面に戻って、現在社内ネットワーク全体で利用されているアプリケーションをリアルタイムで確認してみます。
画面左のメニューパネルから「インターフェイス」をクリックします。
「インターフェイス」メニューのホーム画面は、社内ネットワーク内でIP v4及びIP v6アドレスを保有するデバイスが、「何のアプリケーションをどれくらいの割合/トラフィック量」で利用しているかをリアルタイムで確認することができます。
図4 インターフェスのホーム画面
本記事では、アプリケーション分析概要ということで詳細はお見せしておりませんが、ntopngは監視対象期間を絞ったうえで、送信者・受信者までフィルタリング表示し、かつ該当ホストまでドリルタウンして対象トラフィックを追跡することができます。
さらに、オプションのn2diskをインストールすれば、目的とするパケットをピンポイントで収集し最終的にWiresharkで分析することができます。
こちらの徹底したドリルダウンと分析方法も今後ブログ記事化していきますので、お楽しみに!
本記事で扱っているntop社のnProbe, ntopngという製品ですが、ご興味のある方は以下のリンクから弊社までお問い合わせください!
※以下のリンクより、製品名”ntopng”もしくは”nProbe”でお問い合わせください。
