JP3026457B2 - Private network packet monitoring method - Google Patents

Private network packet monitoring method

Info

Publication number
JP3026457B2
JP3026457B2 JP3007639A JP763991A JP3026457B2 JP 3026457 B2 JP3026457 B2 JP 3026457B2 JP 3007639 A JP3007639 A JP 3007639A JP 763991 A JP763991 A JP 763991A JP 3026457 B2 JP3026457 B2 JP 3026457B2
Authority
JP
Japan
Prior art keywords
packet
packets
failure
memory
address
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP3007639A
Other languages
Japanese (ja)
Other versions
JPH04240938A (en
Inventor
俊治 菅原
健一郎 村上
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP3007639A priority Critical patent/JP3026457B2/en
Publication of JPH04240938A publication Critical patent/JPH04240938A/en
Application granted granted Critical
Publication of JP3026457B2 publication Critical patent/JP3026457B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Landscapes

  • Data Exchanges In Wide-Area Networks (AREA)

Description

【発明の詳細な説明】DETAILED DESCRIPTION OF THE INVENTION

【0001】[0001]

【産業上の利用分野】この発明は複数の電子計算機を接
続した構内網(Local Area Network
以下LANと記す)において、イーサネット(Eth
ernet)一般にARP(Address Reso
lution Protocol)によりハードウェア
アドレス(Media Access Number)
を利用したTCP/IPプロトコルで行う場合に、障害
を発見するために行うパケット監視方法に関する。BACKGROUND OF THE INVENTION 1. Field of the Invention The present invention relates to a local area network (Local Area Network) connecting a plurality of computers.
Ethernet (Eth)
ernet) Generally, ARP (Address Reso)
hardware address (Media Access Number) using the lution protocol.
The present invention relates to a packet monitoring method that is performed to find a failure when the packet monitoring is performed using the TCP / IP protocol that utilizes the protocol.

【0002】[0002]

【従来の技術】LANは近年急速に伸びている技術であ
るが、その管理方法、特に障害が起こったときの対処方
法が確立されておらず、この難しさがLANの導入もし
くはLANの拡大を妨げる一原因となっている。従来に
おいては障害処理のため、プロトコルアナライザという
装置を使ってパケットを収集し、そのパケットを人手に
より分析して障害の原因を求めるのが通常であった。し
かし、プロトコルアナライザは単にパケットを取り込
み、人間にそれらの内容を提示するだけであるか、また
は簡単な統計的数値(トラフィックなど)を一定間隔で
計算し、問題が発生している場合に警告を発するのみで
あったため、以下のような問題点があった。2. Description of the Related Art Although LAN is a technology that has been rapidly growing in recent years, a management method thereof, particularly a method for coping with a failure, has not been established. It is one of the obstacles. Conventionally, for trouble processing, it has been usual to collect packets using a device called a protocol analyzer and analyze the packets manually to find the cause of the trouble. However, protocol analyzers simply capture packets and present their contents to humans, or calculate simple statistical figures (such as traffic) at regular intervals and alert you if a problem is occurring Since it only emitted light, there were the following problems.

【0003】[0003]

【発明が解決しようとする課題】取り込むパケットのデ
ータ総量が莫大で、その中から真の原因となるデータを
抽出するにはかなりの労力と時間を要する。間欠的な障
害も多く、データを取り込むときに障害が消えているこ
とがあり、パケットの収集自体が難しい。一般に原因が
分からないうちはその再現も難しく、必要なパケットが
取れない。The total amount of data of a packet to be captured is enormous, and it takes a considerable amount of labor and time to extract data that is a true cause from the packet. There are many intermittent failures, and the failures may disappear when data is captured, making it difficult to collect packets. Generally, if the cause is unknown, it is difficult to reproduce it, and the necessary packets cannot be obtained.

【0004】障害があるにもかかわらず、症状が出現し
ない例が多く、その場合にはかなり重大な事態になって
はじめて検出される恐れがある。しかも、障害が他のL
ANセグメントへ伝染してしまう恐れもあり、迅速な対
処が求められる。このためにも障害原因検出に必要なパ
ケットを迅速かつタイムリーに収集しなくてはならな
い。また従来のプロトコルアナライザ等のネットワーク
管理システムでは物理的な障害を発見する機能は持って
いたが、論理的な障害の発見はできない。[0004] Despite the failure, there are many cases in which the symptoms do not appear, in which case they may be detected only after a serious situation. Moreover, the obstacle is another L
There is a risk of transmission to the AN segment, and prompt measures are required. For this reason, it is necessary to quickly and timely collect packets necessary for detecting the cause of the failure. A conventional network management system such as a protocol analyzer has a function of detecting a physical failure, but cannot detect a logical failure.

【0005】[0005]

【課題を解決するための手段】この発明による構内網パ
ケット監視方法は、複数の電子計算機を接続した構内網
を流れるパケットを連続的に取り込んで、順次最も古い
ものを最も新しいものに書き替えて、容量N 1 の環状メ
モリにN 1 個記憶し、取り込んだ各パケットが障害の原
因となり得る特定の形式のパケットであるか、また障害
状態や障害になり得る特定の状態であるかを常時監視
し、それらが発見されると、それ以降に取り込まれるパ
ケットを容量N 2 のメモリに順次記憶し、メモリが満杯
になったら、環状メモリのN 1 個のパケットとメモリの
2 個のパケットのそれぞれの記憶内容を管理者へ提示
する。In order to solve the problems] local area network path that due to the present invention
The packet monitoring method is based on a private network connecting multiple computers.
Continuously captures packets flowing through
Instead of writing things to the most recent ones, of the annular main capacity N 1
Memory stores N 1 packets and each captured packet is the source of the failure.
Whether the packet is of a particular type that can cause
Continuous monitoring of conditions or specific conditions that could be a failure
When they are discovered, the
Sequentially store the packets in memory of capacity N 2, the memory is full
To become Once, cyclic memory N 1 pieces of the packet and the memory
The storage contents of each of the N 2 packets are presented to the administrator.

【0006】つまり障害のいくつかにおいては、その初
期段階に、障害原因となる可能性のある特定のパケット
が送出され、あるいは、正常な状態では生じない特定の
状態となるという事実がある。従ってEtherne
t、TCP/IPプロトコルに基づいたこのような特定
のパケットや特定の状態を常時監視し、これが発見され
た時に警告を発してその前後のパケットをネットワーク
管理者へ提示することにより、管理者は、その特定パケ
ットや特定状態の前後のパケットを調べれば容易に障害
原因を知ることができる。That is, in some of the failures, there is a fact that, at an early stage, a specific packet which may cause a failure is transmitted or a specific state which does not occur in a normal state. Therefore Etherne
t, by constantly monitoring such a specific packet or specific state based on the TCP / IP protocol, issuing an alert when this is discovered, and presenting the preceding and following packets to the network administrator, the administrator can The cause of the failure can be easily known by examining the specific packet and the packets before and after the specific state.

【0007】[0007]

【実施例】図1にこの発明の方法を実施するに用いる装
置構成の例を示す。LANのセグメント11にパケット
収集装置12が結合され、LANを流れるパケットが連
続的にパケット収集装置12に取り込まれる。パケット
収集装置12は従来のプロトコルアナライザに相当し、
パケットを収集し、統計的情報(各プロトコルごとのパ
ケット数、パケット総量、負荷率など)などを調べる。FIG. 1 shows an example of the configuration of an apparatus used to carry out the method of the present invention. A packet collector 12 is coupled to the LAN segment 11, and packets flowing through the LAN are continuously taken into the packet collector 12. The packet collection device 12 corresponds to a conventional protocol analyzer,
Collects packets and examines statistical information (number of packets for each protocol, total amount of packets, load factor, etc.).

【0008】この収集されたパケットはパケット照合装
置13に送られる。パケット照合装置13は図2に示す
ように、パケット収集装置12から収集したパケットを
直ちに転送してもらい(S1 )、環状メモリ領域B1に
そのパケットの内容を記憶する(S2 )。つまり領域B
1の最初の番地から順次パケットを記憶し、領域B1の
最終番地になると、再び領域B1の最初の番地から順次
記憶することが行われる。その環状メモリ領域B1に記
憶されたパケットが障害の原因となり得る特定のパケッ
トであるか、また障害状態又は障害になり得る特定の状
態(一般に通常の状態と異なる特定の状態)かの各監視
項目に該当するかを調べ、つまり障害を発見するかをチ
ェックする(S3 )。障害を発見しない時は、次々と収
集装置12からパケットを転送する。[0008] The collected packets are sent to the packet matching device 13. As shown in FIG. 2, the packet collating device 13 has the packet collected from the packet collecting device 12 immediately transferred (S 1 ), and stores the contents of the packet in the annular memory area B 1 (S 2 ). That is, the area B
Packets are sequentially stored from the first address of area 1, and when the last address of area B1 is reached, storage is sequentially performed again from the first address of area B1. Each monitoring item indicating whether the packet stored in the annular memory area B1 is a specific packet that can cause a failure, or a failure state or a specific state that can cause a failure (specific state different from a normal state in general) Is checked, that is, it is checked whether a failure is found (S 3 ). When a failure is not found, packets are transferred from the collection device 12 one after another.

【0009】転送して来たパケットが特定のパケットと
一致したり、特定の状態となった場合、つまり障害を発
見した場合は、その後もパケット収集装置12からのパ
ケット転送を継続するが(S4 )、環状メモリ領域B1
ではなく環状メモリ領域B2にその最初の番地からその
パケットの内容を順次記憶する(S5 )。領域B2への
記憶が満杯、つまりその最終番地になったかをチェック
し(S6 )、最終番地になると領域B1,B2に記憶さ
れている内容をファイルなどに書き(S7 )、これと共
に警報を発生し、ネットワーク管理者へ知らせる。ネッ
トワーク管理者はその警報を聞き、前記ファイルを読み
出し、表示器に表示させ、その内容を調べることによ
り、障害発生以前に障害原因を知ることができる。When the transferred packet matches a specific packet or enters a specific state, that is, when a failure is found, the packet transfer from the packet collection device 12 is continued after that (S 4 ), annular memory area B1
Rather sequentially stores the contents of the packet from its initial address in the annular memory area B2 (S 5). Full storage of the area B2, i.e. checks becomes the last address (S 6), it becomes the last address modify the contents stored in the area B1, B2 etc. in the file (S 7), the alarm with which Occurs and informs the network administrator. The network manager listens to the alarm, reads out the file, displays the file on the display, and examines the contents thereof, so that the cause of the failure can be known before the failure occurs.

【0010】このようにネットワーク管理者へ提示する
パケットとしては、障害が発見された時点からさかのぼ
って100〜500パケット程度と、発見された後10
0〜500パケット程度とがあれば障害原因の解析には
十分であり、つまり通常は前後の10パケット程度でよ
いが、障害によっては広い範囲にわたって調べる必要が
あり、このためには領域B1,B2をそれぞれ100〜
500番地程度にしておけばよい。[0010] As described above, the number of packets to be presented to the network administrator is about 100 to 500 packets from the point in time when the failure was discovered, and 10 to 500 packets after the failure was discovered.
If there is about 0 to 500 packets, it is sufficient for analysis of the cause of the failure, that is, usually about 10 packets before and after, but depending on the failure, it is necessary to investigate over a wide range. Each 100 ~
It should be about 500 addresses.

【0011】ところで障害を起す可能性がある特定のパ
ケットや特定の状態としては次のようなものが考えられ
る。 ・Etherフレームのターゲットハードウエアアドレ
スがブロードキャストアドレスであり、IPデータグラ
ムのターゲットIPアドレスの下位1バイトが0または
255以外のものが発見されたとき(通常は0または2
55である)。 ・EtherフレームがARP(Address Re
solution Protocol)のうちのAdd
ress Requestパケットであり、そのターゲ
ットとなるIPアドレスの下位1バイトが255もしく
は0であるものが発見されたとき。 ・ARP Address Requestパケットの
個数をn、ARP Replyパケットの個数をmとし
たとき、n<mとなったとき(つまり通常は問合せ数n
より回答数mが大となることはない)。ただし、本不等
式の評価は5から10秒ごとに行い、この間、n,mの
値がともに変わらなければ、n,mともに0とする。 ・同一ネットワークセグメント以外(つまり送り手のI
PアドレスをAs 、受け手のIPアドレスをAr 、ネッ
トマスクをmsk(msk=ffffff00(十六進
数表示)であることが多い)と置いた時に、As &ms
k≠Ar &mskのとき。ここでAS 、Ar 、mskは
32ビットのデータで、&はビットごとの“and”オ
ペレータを意味する)で、送り手は監視ネットワークと
同一のセグメントにあるとき、Etherフレームのタ
ーゲットハードウエアアドレスがそのセグメントに直接
つながっているIPルータもしくはゲートウエイのもの
でないパケットが見つかったとき。 ・同一ネットワークセグメント以外(つまり送り手のI
PアドレスをAs 、受け手のIPアドレスをAr 、ネッ
トマスクをmsk(msk=ffffff00(十六進
数表示)であることが多い)と置いた時に、As &ms
k≠Ar &mskのとき。ここでAS 、Ar 、mskは
32ビットのデータで、&はビットごとの“and”オ
ペレータを意味する)で、送り手は監視ネットワークと
同一のセグメントにあるとき、Etherフレームの受
け手のハードウエアアドレスがそのセグメントに直接つ
ながっているIPルータもしくはゲートウエイのもので
ないパケットが見つかったとき。 ・送り手のIPアドレスが他のネットワークのものであ
り、送り手のハードウエアアドレスがIPルータもしく
はゲートウエイ以外のものであるとき。 ・ICMP Time Exceededパケットが出
現したとき。 ・ICMP Parameter Problemパケ
ットが出現したとき。 ・5から10秒間隔に、次のいずれかの状態を調べ、そ
れが検出できたとき。By the way, the following can be considered as a specific packet or a specific state that may cause a failure. When the target hardware address of the Ether frame is a broadcast address and a lower byte of the target IP address of the IP datagram is other than 0 or 255 (usually 0 or 2)
55). The Ether frame is an ARP (Address Re
solution Protocol)
When a request request packet in which the lower one byte of the target IP address is 255 or 0 is found. When the number of ARP Address Request packets is n and the number of ARP Reply packets is m, n <m (that is, the number of queries is usually n)
The number of answers m does not become larger.) However, the evaluation of this inequality is performed every 5 to 10 seconds. During this time, if both the values of n and m do not change, both n and m are set to 0. -Other than the same network segment (that is, sender I
When the P address is A s , the recipient's IP address is A r , and the netmask is msk (msk = ffffff00 (often hexadecimal notation)), A s & ms
When k ≠ A r & msk. Where A S , A r , and msk are 32-bit data, and & means an “and” operator for each bit), and when the sender is on the same segment as the monitoring network, the target hardware of the Ether frame When a packet is found that is not from an IP router or gateway directly connected to the segment. -Other than the same network segment (that is, sender I
When the P address is A s , the recipient's IP address is A r , and the netmask is msk (msk = ffffff00 (often hexadecimal notation)), A s & ms
When k ≠ A r & msk. Here, A S , A r , and msk are 32-bit data, and & means an “and” operator for each bit.) When the sender is in the same segment as the monitoring network, the hardware of the receiver of the Ether frame is When a packet whose IP address is not the IP router or gateway directly connected to the segment is found. When the sender's IP address is of another network and the sender's hardware address is other than an IP router or gateway. -When an ICMP Time Exceeded packet appears. -When an ICMP Parameter Problem packet appears. -When any of the following states is checked at intervals of 5 to 10 seconds and it is detected.

【0012】(1)60バイトのetherフレーム数
をm、すべてのフレーム数をnとしたとき n≧250 m/n≧0.9 であるとき。(1) When the number of 60-byte ether frames is m and the number of all frames is n: n ≧ 250 m / n ≧ 0.9

【0013】(2)40バイトの大きさのIPデータグ
ラムを含むetherフレームの数をm、IPデータグ
ラムを含むetherフレームの個数をnとするとき、 n≧250 m/n≧0.9 であるとき。 ・送り手のハードウエアアドレスの先頭の1ビットの値
が1であるパケットを発見したとき。 ・このほか登録されていないプロトコルのパケットを発
見した時。(2) When the number of ether frames including an IP datagram having a size of 40 bytes is m, and the number of ether frames including an IP datagram is n, n ≧ 250 m / n ≧ 0.9 One day. When a packet in which the value of the first bit of the hardware address of the sender is 1 is found.・ When a packet of a protocol not registered is found.

【0014】ただし、これらの監視のために図1に示し
た装置をネットワークセグメントごとに用い、以下の3
つのデータを各ネットワークセグメントごとに用意す
る。 ・ネットワーク(IP)アドレス ・ネットワーク(IP)アドレスマスク ・セグメントにつながれているIPルータとゲートウエ
イのハードウエアアドレスHowever, for the purpose of monitoring, the apparatus shown in FIG. 1 is used for each network segment, and the following three items are used.
One data is prepared for each network segment. -Network (IP) address-Network (IP) address mask-Hardware address of IP router and gateway connected to the segment

【0015】[0015]

【発明の効果】以上述べたようにこの発明によればパケ
ット収集装置12にパケットが取り込まれると直ちにパ
ケット照合装置13で障害となる可能性がある特定のパ
ケットか、特定の状態かが常時調べられ、これらが発見
されると、その前後の所定量のパケットが管理者に提示
されるため、多くの場合に障害が早期に発見される。間
欠的な障害にもタイムリーなデータの収集が可能とな
る。ネットワーク管理者へは必要とされるパケットを含
む比較的少ない量のパケットが提示されるため、人手に
よる障害原因の解析などの作業時間がかなり短縮され
る。症状がおもてに現れ難いような障害でも発見され
る。As described above, according to the present invention, as soon as a packet is captured by the packet collecting device 12, the packet collating device 13 constantly checks whether the packet is a specific packet or a specific state that may cause a failure. When these are found, a predetermined amount of packets before and after them are presented to the administrator, and in many cases, a failure is found early. Timely data collection is possible even for intermittent failures. Since a relatively small amount of packets, including the required packets, are presented to the network administrator, the work time for manually analyzing the cause of the failure and the like is significantly reduced. It is also found in disorders where symptoms are difficult to manifest in the front.

【図面の簡単な説明】[Brief description of the drawings]

【図1】この発明の方法を実施するために用いられる装
置の一例を示すブロック図。FIG. 1 is a block diagram showing an example of an apparatus used to carry out the method of the present invention.

【図2】図1中のパケット照合装置の動作例を示す流れ
図。FIG. 2 is a flowchart showing an operation example of the packet matching device in FIG. 1;

───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 昭60−206344(JP,A) 特開 昭59−202756(JP,A) 特開 平1−200747(JP,A) 特開 平2−5653(JP,A) (58)調査した分野(Int.Cl.7,DB名) H04L 12/24 H04L 12/26 H04L 12/28 H04L 12/56 H04L 29/14 ────────────────────────────────────────────────── ─── Continuation of front page (56) References JP-A-60-206344 (JP, A) JP-A-59-202756 (JP, A) JP-A-1-200747 (JP, A) JP-A-2- 5653 (JP, A) (58) Fields investigated (Int. Cl. 7 , DB name) H04L 12/24 H04L 12/26 H04L 12/28 H04L 12/56 H04L 29/14

Claims (1)

(57)【特許請求の範囲】(57) [Claims] 【請求項1】 複数の電子計算機を接続した構内網にお
いて、 その構内網を流れるパケットを連続的に取り込んで、順
次最も古いものを最も新しいものに書き替えて容量N 1
の環状メモリにN 1 個記憶し、 上記 取り込んだ各パケットが障害の原因となり得る特定
の形式のパケットであるか、また障害状態や障害になり
得る特定の状態であるかを常時監視し、それらが発見さ
れると、それ以降に取り込まれるパケットを容量N 2
メモリに順次記憶し、 上記メモリが満杯になったら、上記環状メモリのN 1
のパケットと上記メモリのN 2 個のパケットのそれぞれ
の記憶内容 を管理者へ提示することを特徴とする構内網
パケット監視方法。1. A local area network that is connected to the plurality of the electronic computer incorporating the packet flowing through the local area network continuously, sequentially
Rewrite the next oldest one with the newest one and have the capacity N 1
Cyclic memory N 1 pieces stored in the monitor or a particular type of packet that the packet taken above can cause failure and whether a particular state may become fault or failure at all times, they When There is found, the packet volume N 2 to be incorporated subsequently
Sequentially stored in the memory, when the memory becomes full, one of the annular memory N
Each N 2 pieces of packets of the packet and the memory
A private network packet monitoring method, characterized by presenting the storage contents of a private network to an administrator.
JP3007639A 1991-01-25 1991-01-25 Private network packet monitoring method Expired - Fee Related JP3026457B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP3007639A JP3026457B2 (en) 1991-01-25 1991-01-25 Private network packet monitoring method

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP3007639A JP3026457B2 (en) 1991-01-25 1991-01-25 Private network packet monitoring method

Publications (2)

Publication Number Publication Date
JPH04240938A JPH04240938A (en) 1992-08-28
JP3026457B2 true JP3026457B2 (en) 2000-03-27

Family

ID=11671401

Family Applications (1)

Application Number Title Priority Date Filing Date
JP3007639A Expired - Fee Related JP3026457B2 (en) 1991-01-25 1991-01-25 Private network packet monitoring method

Country Status (1)

Country Link
JP (1) JP3026457B2 (en)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4807171B2 (en) * 2006-07-10 2011-11-02 日産自動車株式会社 Communication network system and error verification method

Also Published As

Publication number Publication date
JPH04240938A (en) 1992-08-28

Similar Documents

Publication Publication Date Title
US7587762B2 (en) Intrusion detection system and network flow director method
EP1297440B1 (en) Security camera for a network
US7889656B2 (en) Binned duration flow tracking
US7379426B2 (en) Routing loop detection program and routing loop detection method
US6137782A (en) Automatic network traffic analysis
JP3510658B2 (en) Network analysis method
JP3329842B2 (en) Network monitor device and system
EP1999890B1 (en) Automated network congestion and trouble locator and corrector
US20060028999A1 (en) Flows based visualization of packet networks with network performance analysis, troubleshooting, optimization and network history backlog
US20190007292A1 (en) Apparatus and method for monitoring network performance of virtualized resources
US8254388B2 (en) Management device to investigate path states of network and network system
EP3082293B1 (en) Switching device and packet loss method therefor
JP2004528648A5 (en)
US10742672B2 (en) Comparing metrics from different data flows to detect flaws in network data collection for anomaly detection
US20190007285A1 (en) Apparatus and Method for Defining Baseline Network Behavior and Producing Analytics and Alerts Therefrom
KR100249845B1 (en) Internet protocol traffic monitoring method
JP3026457B2 (en) Private network packet monitoring method
US7706273B2 (en) Port tracking on dynamically negotiated ports
JP2002164890A (en) Diagnostic apparatus for network
JP2000041039A (en) Device and method for monitoring network
WO2000005594A1 (en) Automatic network traffic analysis
JP2001094573A (en) Instrument for measuring quality of traffic
CN110572381A (en) intelligent learning system and method applied to electric power safety protection device
Iheagwara et al. A comparative experimental evaluation study of intrusion detection system performance in a gigabit environment
CN116170322B (en) Network topology discovery method combining active and passive detection

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees