パケットフィルタリングとは-ネットワーク可視化を効率化する方法の一つ-
パケットフィルタリングとは、広義には、あらかじめ設定したフィルタ条件にもとづいて、ルータなどの通信機器が受信したパケットのヘッダ情報などから、そのパケットを通過、もしくは破棄する機能です。
一方で、ネットワーク解析やトラブルシュートを行う際に、指定されたルールに合致するパケットのみをキャプチャ、もしくは破棄することもパケットフィルタリングと呼ばれています。
この記事では説明を簡略化する為に、パケットキャプチャ装置におけるパケットフィルタリング機能を指して「パケットフィルタリング」としています。
パケットフィルタルールとして設定できる代表的な項目としては、プロトコルやポート番号、IPアドレスやMACアドレスなどがあります。(パケットキャプチャ製品によって設定項目は異なる場合があります。)
2つのパケットフィルタリング-プレフィルタリングとポストフィルタリング-
パケットフィルタリングの方法としては主に以下の2種類のやり方が考えられます。
- ・プレフィルタリング:受信したパケットをストレージに書き込む手前でパケットフィルタリングを行う
- ・ポストフィルタリング:ストレージに保存されたパケットデータからフィルタ条件に合致するパケットのみを外部に抽出
パケットフィルタリングのメリット-使い方に応じたフィルタリングで解析を効率化-
■ プレフィルタリングのメリット
例えば、特定のパケットを対象に解析やトラブルシューティングを行う場合、全てのパケットをキャプチャすると解析に不要なパケットもパケット装置内のストレージに書き込まれてしまい、不要なデータでストレージ領域が圧迫されてしまいます。
プレフィルタリング機能で解析に必要なパケットを指定して保存、もしくは不要なパケットを指定して破棄することで、ストレージ領域を節約することが可能です。
■ ポストフィルタリングのメリット
全てのパケットをキャプチャして記録しておく必要があるケースではポストフィルタリングが有効です。
キャプチャしたパケットはPCAPファイル形式で保存されるのが一般的ですが、通信トラブルが発生した際に、キャプチャ済みの全てのPCAPファイルを目視で確認して関連性が疑われるパケットを探し出すのは手間がかかります。
また、外部へ大量のデータを転送しようとすると時間がかかります。
ポストフィルタリング機能を使ってトラブル発生が疑われる時間帯や被疑装置のIPアドレスなどを指定して対象パケットを絞り込んでデータを外部に転送することで、対象のデータを目視で探す手間やデータを外部に取り出す時間を短縮することが可能です。
弊社のnG-iCAPは、プレフィルタリングとポストフィルタリングのいずれの機能も備えたパケットキャプチャ装置の為、ネットワーク解析やトラブルシューティングの効率化に貢献します。
[⇒nG-iCAPの詳細はこちらをクリック]
また弊社では、ネットワーク装置のミラーポートやネットワークタップ(TAP)に接続して高度なフィルタリング機能を提供するネットワークパケットブローカー製品も取り扱っています。
[⇒ネットワークパケットブローカーの詳細はこちらをクリック]
ご興味をお持ちのかたはお気軽にお問合せください。