NetQuest네트워크 패킷 IP, Port Masking (Substitution/Translate)

네트워크 패킷 IP, Port Masking (치환/변환)” 모니터링, 분석



1. IP Field Operator Component

High-level의 IP Field Operator component를 데이터 경로에 삽입하면 다음 기능을 수행할 수 있다:

  • Original 패킷의 Source-IP 및 Destination-IP (SIPo, DIPo)를 à New (SIPn, DIPn)으로 대체한다.
  • 프로그래밍 가능한 방식으로 Source-port 및 Destination-port를 대체한다.
  • 복제된 패킷 (Cloned-packet) 에 대한 Packet Field operation 도 허용한다.
  • LTE나 5G 환경에서 볼 수 있는 Tunneled 환경 내의 Inner IP 대체까지도 지원된다.
    • GTP Tunneled packets
    • VxLAN Tunneled packets
    • VxLAN + GTP dual tunneled packets
  • Non-Tunneled 패킷의 IPv4, IPv6 는 물론, Tunneled 패킷의 Inner 및 Outer 헤더에서도 작용한다.
  • Original IP-pair (SIPo, DIPo)에서 à New IP-pair (SIPn, DIPn)로의 mapping은 양 방향(bi-directional),
  • 고 성능으로 동작하며, 사용자에 의한 구성/설정이 가능하다.
    • Mapping 알고리즘에 사용자는 주요 parameter를 설정할 수 있으며, 주요 parameter 값 설정에 따라
  • 동일한 Original IP-pair 에 대해 상이한 New IP-pair 값을 생성하도록 map 알고리즘이 설정된다.
  • “Random-mapping” 모드와 “inc by value” 모드를 제공한다.
  • IP address를 변경하는 동안 IP 헤더, TCP/UDP 헤더의 checksum을 업데이트 한다.
  • 필요할 때 언제든 UI 상에서 “SIPo à SIPn”, “DIPo à DIPn” 사이의 mapping 내용을 확인하고, 파일로 다운로드 할 수 있다.



2. Illustration of the data path

IP Field Operator (IP mapper) component는 IVOS 내의 다른 모든 component와 함께 구성, 동작할 수 있다.

다음의 다이어그램은 IP Field Operator Component의 전형적인 두 가지 구성 방식이다.

    2-1. Packet Field Operator in a Packet Capture Data Path

  • 아래 그림은 Ingress Port와 Packet Capture Component 사이에 IP Mapper가 삽입된 것이다.
  • 이 구성에서 Packet Capture component는 새롭게 mapping(치환) 된 IP address 패킷을 저장한다.


    2-2. Packet Field Operator in a NetFlow Generation Data Path

  • 아래 그림은 Ingress Port와 NetFlow Export Component 사이에 IP Mapper가 삽입된 것이다.
  • 이 경우 NetFlow Exporter component는 새롭게 mapping(치환) 된 IP address flow record를 생성한다.


    2-3. Packet Field Operator with Clone to preserve the original

  • 이 구성의 경우, Packet Field Operator 는 패킷 복제 후에 적용된다.
  • 따라서 다른 시스템들은 계속해서 Original IP address 패킷들을 가지게 된다.



3. Configuration

   이 IP Field Operator (IP Mapper) component에는 두 개의 Configuration Section이 있다.

  • Packet structure and Location of the IP to replace

          예를 들면, VxLAN 이나 GTP가 사용하는 포트와 같이, 패킷 구조 타입을 나타내는 데 사용한다.

           이는 치환(변환) 할 패킷의 inner 혹은 outer 주소이다.


    3-1. Packet Structure and Location of the IP to Substitution(Translation)

  • Packet Structure
    • No Tunnel
    • Ethernet + IP + UDP + VxLAN + Inner Ethernet
    • Ethernet + IP + UDP + GTP + Inner IP
    • Ethernet + IP + UDP + VxLAN + Ethernet + IP + UDP + GTP + Inner IP


  • Location of IP to Substitution(Translation)
    • Outer IP for tunneled packet
    • Inner IP for tunneled packet


   3-2. Configuration 

  • IP Field Operator component 추가는, 간단히 IP Field Operator component 를 drag & drop하여 디자인 캔버스에 아래와 같이 구성하면 된다.




  Component 를 구성한 후, 클릭하면 아래와 같은 구성, 설정 항목을 볼 수 있다.

  • Operate Src. IP: 패킷의 source IP 변환 시 선택
  • Operate Dest . IP: 패킷의 destination IP 변환 시 선택
  • Operate Sport: 패킷의 source Port 변환 시 선택
  • Operate DPort: 패킷의 destination Port 변환 시 선택


  • Map Method

           – “Seeded Random” mode: Original IP 치환 mapping method로 “Seeded Random Sequence Setting” 설정 값 사용.

           – “Inc by Value” mode: Src IP, Dst IP, Sport, DPort 필드 중 Enable된 필드 업데이트를 위해 “Inc by Value Settings”에 설정된 rule 사용.  


  • 아래 2가지 항목은 Map Method 설정이 “Seeded Random” 인 경우에만 적용.
    • Clone (Copy) Packet: IP and/or Port 의 치환을 하기 전 패킷을 복제.
    • Seed: 32-bit number로써 IP address mapping 을 위한 seed 로 사용.


  • 아래 항목들은 Map Method 설정이 “Inc by Value” 인 경우에만 적용.
    • New Pkt Count: Number of packets to create for each packet received
    • SIP/DIP/SPort/DPort Value Base: The base value to add to original value
    • Count: The number of increments before return the incremental value to the base value



   3-3. Example of “Inc By Value” 

아래 테이블은 “Inc By Value” 설정 및 적용 결과 예제이다



   3-4. Look up the original IP from the masked value 

     치환된 값으로부터 original IP 확인을 위한 방법으로 “IP Mask Translator” 라는 Tool 기능 제공.

  • IP Mask component 가 구성되어 있는 경우, 서비스 도메인 상태와 상관 없이 도메인 메뉴에서
  • “IP Mask Translator” 기능을 사용할 수 있음



도메인 서비스가 실행중인 경우,

  • 도메인 “Real-time Viewer” 에서 “IP Mask Translator” 기능을 사용할 수 있음



아래 그림은 “IP Mask Translator” 기능이 실행되었을 때 화면

  • “Masked IP to Original IP …” : Translate the masked IP back to Original.
  • “Original IP to Masked IP …” : Translates the Original IP to masked value.


The following shows the typical three steps to use translator:

  • Edit or paste in IP, multiple IPs can be separated by “,” 또는 " " or new line.
  • Edit or past in IP pair in the format of A.B.C.D-E.F.G.H
  • Click the “Masked IP to Original IP …” or “Original IP to Masked IP …”
  • The result will be displayed in the result window




4. 패킷 수집, 분석 및 트래픽 모니터링






가. 실시간 트래픽 Raw Packet Capture & Record (Full, Filtered, Slice, etc)



나. 트래픽 실시간/사후 pcap extract (특정 패킷 and/or 특정 세션)




다. 실시간 전수 패킷 수집/저장, full NetFow 생성/export (v9, IPFIX)


라. 트래픽 현황, 통계 모니터링/분석

  •  트래픽 현황,분포,추이 모니터링
  •  네트워크 성능 모니터링, 분석
  •  트래픽 Conversation & 트랜잭션 분석
  •  Burst 분석 및 Traffic Scan
  •  TCP KPI 모니터링 (zero window, retransmission, out of order, etc)





  • 패킷 분석 및 Troubleshooting
  • 트래픽 Connection 플로우 챠트 분석


  • 트랜잭션 분석

     - DNS Transactions

     - HTTP Transactions

     - SIP Call Record

     - SSL/TLS Connections and Certification

     - etc




  • 필터링 기능 및 Slicing 기능



  • 저장된 데이터 내 특정 세션 트래픽 추출 기능

            - 저장된 데이터 내 트래픽 들 중, Timeline 기반 추출할 시간 범위 및 대상 지정

            - 특정 connection, 특정 세션, 특정 패턴이 포함된 세션 등




"Key Feature & Function Components"









#트래픽분석 #패킷수집 #필터링 #패킷추출 #트랜잭션분석 #IP-Port-Substitution # IP-Port-Translation #IP-Port-Replacement #IP-Mapping #IP치환 #IP변환