네트워크 패킷 IP, Port Masking (치환/변환)” 모니터링, 분석
1. IP Field Operator Component
High-level의 IP Field Operator component를 데이터 경로에 삽입하면 다음 기능을 수행할 수 있다:
- Original 패킷의 Source-IP 및 Destination-IP (SIPo, DIPo)를 à New (SIPn, DIPn)으로 대체한다.
- 프로그래밍 가능한 방식으로 Source-port 및 Destination-port를 대체한다.
- 복제된 패킷 (Cloned-packet) 에 대한 Packet Field operation 도 허용한다.
- LTE나 5G 환경에서 볼 수 있는 Tunneled 환경 내의 Inner IP 대체까지도 지원된다.
- GTP Tunneled packets
- VxLAN Tunneled packets
- VxLAN + GTP dual tunneled packets
- Non-Tunneled 패킷의 IPv4, IPv6 는 물론, Tunneled 패킷의 Inner 및 Outer 헤더에서도 작용한다.
- Original IP-pair (SIPo, DIPo)에서 à New IP-pair (SIPn, DIPn)로의 mapping은 양 방향(bi-directional),
- 고 성능으로 동작하며, 사용자에 의한 구성/설정이 가능하다.
- Mapping 알고리즘에 사용자는 주요 parameter를 설정할 수 있으며, 주요 parameter 값 설정에 따라
- 동일한 Original IP-pair 에 대해 상이한 New IP-pair 값을 생성하도록 map 알고리즘이 설정된다.
- “Random-mapping” 모드와 “inc by value” 모드를 제공한다.
- IP address를 변경하는 동안 IP 헤더, TCP/UDP 헤더의 checksum을 업데이트 한다.
- 필요할 때 언제든 UI 상에서 “SIPo à SIPn”, “DIPo à DIPn” 사이의 mapping 내용을 확인하고, 파일로 다운로드 할 수 있다.
2. Illustration of the data path
IP Field Operator (IP mapper) component는 IVOS 내의 다른 모든 component와 함께 구성, 동작할 수 있다.
다음의 다이어그램은 IP Field Operator Component의 전형적인 두 가지 구성 방식이다.
2-1. Packet Field Operator in a Packet Capture Data Path
- 아래 그림은 Ingress Port와 Packet Capture Component 사이에 IP Mapper가 삽입된 것이다.
- 이 구성에서 Packet Capture component는 새롭게 mapping(치환) 된 IP address 패킷을 저장한다.
2-2. Packet Field Operator in a NetFlow Generation Data Path
- 아래 그림은 Ingress Port와 NetFlow Export Component 사이에 IP Mapper가 삽입된 것이다.
- 이 경우 NetFlow Exporter component는 새롭게 mapping(치환) 된 IP address flow record를 생성한다.
2-3. Packet Field Operator with Clone to preserve the original
- 이 구성의 경우, Packet Field Operator 는 패킷 복제 후에 적용된다.
- 따라서 다른 시스템들은 계속해서 Original IP address 패킷들을 가지게 된다.
3. Configuration
이 IP Field Operator (IP Mapper) component에는 두 개의 Configuration Section이 있다.
- Packet structure and Location of the IP to replace
예를 들면, VxLAN 이나 GTP가 사용하는 포트와 같이, 패킷 구조 타입을 나타내는 데 사용한다.
이는 치환(변환) 할 패킷의 inner 혹은 outer 주소이다.
3-1. Packet Structure and Location of the IP to Substitution(Translation)
- Packet Structure
- No Tunnel
- Ethernet + IP + UDP + VxLAN + Inner Ethernet
- Ethernet + IP + UDP + GTP + Inner IP
- Ethernet + IP + UDP + VxLAN + Ethernet + IP + UDP + GTP + Inner IP
- Location of IP to Substitution(Translation)
- Outer IP for tunneled packet
- Inner IP for tunneled packet
3-2. Configuration
- IP Field Operator component 추가는, 간단히 IP Field Operator component 를 drag & drop하여 디자인 캔버스에 아래와 같이 구성하면 된다.
Component 를 구성한 후, 클릭하면 아래와 같은 구성, 설정 항목을 볼 수 있다.
- Operate Src. IP: 패킷의 source IP 변환 시 선택
- Operate Dest . IP: 패킷의 destination IP 변환 시 선택
- Operate Sport: 패킷의 source Port 변환 시 선택
- Operate DPort: 패킷의 destination Port 변환 시 선택
– “Seeded Random” mode: Original IP 치환 mapping method로 “Seeded Random Sequence Setting” 설정 값 사용.
– “Inc by Value” mode: Src IP, Dst IP, Sport, DPort 필드 중 Enable된 필드 업데이트를 위해 “Inc by Value Settings”에 설정된 rule 사용.
- 아래 2가지 항목은 Map Method 설정이 “Seeded Random” 인 경우에만 적용.
- Clone (Copy) Packet: IP and/or Port 의 치환을 하기 전 패킷을 복제.
- Seed: 32-bit number로써 IP address mapping 을 위한 seed 로 사용.
- 아래 항목들은 Map Method 설정이 “Inc by Value” 인 경우에만 적용.
- New Pkt Count: Number of packets to create for each packet received
- SIP/DIP/SPort/DPort Value Base: The base value to add to original value
- Count: The number of increments before return the incremental value to the base value
3-3. Example of “Inc By Value”
아래 테이블은 “Inc By Value” 설정 및 적용 결과 예제이다
3-4. Look up the original IP from the masked value
치환된 값으로부터 original IP 확인을 위한 방법으로 “IP Mask Translator” 라는 Tool 기능 제공.
- IP Mask component 가 구성되어 있는 경우, 서비스 도메인 상태와 상관 없이 도메인 메뉴에서
- “IP Mask Translator” 기능을 사용할 수 있음
도메인 서비스가 실행중인 경우,
- 도메인 “Real-time Viewer” 에서 “IP Mask Translator” 기능을 사용할 수 있음
아래 그림은 “IP Mask Translator” 기능이 실행되었을 때 화면
- “Masked IP to Original IP …” : Translate the masked IP back to Original.
- “Original IP to Masked IP …” : Translates the Original IP to masked value.
The following shows the typical three steps to use translator:
- Edit or paste in IP, multiple IPs can be separated by “,” 또는 " " or new line.
- Edit or past in IP pair in the format of A.B.C.D-E.F.G.H
- Click the “Masked IP to Original IP …” or “Original IP to Masked IP …”
- The result will be displayed in the result window
4. 패킷 수집, 분석 및 트래픽 모니터링
가. 실시간 트래픽 Raw Packet Capture & Record (Full, Filtered, Slice, etc)
나. 트래픽 실시간/사후 pcap extract (특정 패킷 and/or 특정 세션)
다. 실시간 전수 패킷 수집/저장, full NetFow 생성/export (v9, IPFIX)
라. 트래픽 현황, 통계 모니터링/분석
- 트래픽 현황,분포,추이 모니터링
- 네트워크 성능 모니터링, 분석
- 트래픽 Conversation & 트랜잭션 분석
- Burst 분석 및 Traffic Scan
- TCP KPI 모니터링 (zero window, retransmission, out of order, etc)
- 패킷 분석 및 Troubleshooting
- 트래픽 Connection 플로우 챠트 분석
- DNS Transactions
- HTTP Transactions
- SIP Call Record
- SSL/TLS Connections and Certification
- etc
- 저장된 데이터 내 특정 세션 트래픽 추출 기능
- 저장된 데이터 내 트래픽 들 중, Timeline 기반 추출할 시간 범위 및 대상 지정
- 특정 connection, 특정 세션, 특정 패턴이 포함된 세션 등
"Key Feature & Function Components"
#트래픽분석 #패킷수집 #필터링 #패킷추출 #트랜잭션분석 #IP-Port-Substitution # IP-Port-Translation #IP-Port-Replacement #IP-Mapping #IP치환 #IP변환
네트워크 패킷 IP, Port Masking (치환/변환)” 모니터링, 분석
1. IP Field Operator Component
High-level의 IP Field Operator component를 데이터 경로에 삽입하면 다음 기능을 수행할 수 있다:
2. Illustration of the data path
IP Field Operator (IP mapper) component는 IVOS 내의 다른 모든 component와 함께 구성, 동작할 수 있다.
다음의 다이어그램은 IP Field Operator Component의 전형적인 두 가지 구성 방식이다.
2-1. Packet Field Operator in a Packet Capture Data Path
2-2. Packet Field Operator in a NetFlow Generation Data Path
2-3. Packet Field Operator with Clone to preserve the original
3. Configuration
이 IP Field Operator (IP Mapper) component에는 두 개의 Configuration Section이 있다.
예를 들면, VxLAN 이나 GTP가 사용하는 포트와 같이, 패킷 구조 타입을 나타내는 데 사용한다.
이는 치환(변환) 할 패킷의 inner 혹은 outer 주소이다.
3-1. Packet Structure and Location of the IP to Substitution(Translation)
3-2. Configuration
Component 를 구성한 후, 클릭하면 아래와 같은 구성, 설정 항목을 볼 수 있다.
– “Seeded Random” mode: Original IP 치환 mapping method로 “Seeded Random Sequence Setting” 설정 값 사용.
– “Inc by Value” mode: Src IP, Dst IP, Sport, DPort 필드 중 Enable된 필드 업데이트를 위해 “Inc by Value Settings”에 설정된 rule 사용.
3-3. Example of “Inc By Value”
아래 테이블은 “Inc By Value” 설정 및 적용 결과 예제이다
3-4. Look up the original IP from the masked value
치환된 값으로부터 original IP 확인을 위한 방법으로 “IP Mask Translator” 라는 Tool 기능 제공.
도메인 서비스가 실행중인 경우,
아래 그림은 “IP Mask Translator” 기능이 실행되었을 때 화면
The following shows the typical three steps to use translator:
4. 패킷 수집, 분석 및 트래픽 모니터링
가. 실시간 트래픽 Raw Packet Capture & Record (Full, Filtered, Slice, etc)
나. 트래픽 실시간/사후 pcap extract (특정 패킷 and/or 특정 세션)
다. 실시간 전수 패킷 수집/저장, full NetFow 생성/export (v9, IPFIX)
라. 트래픽 현황, 통계 모니터링/분석
- DNS Transactions
- HTTP Transactions
- SIP Call Record
- SSL/TLS Connections and Certification
- etc
- 저장된 데이터 내 트래픽 들 중, Timeline 기반 추출할 시간 범위 및 대상 지정
- 특정 connection, 특정 세션, 특정 패턴이 포함된 세션 등
"Key Feature & Function Components"
#트래픽분석 #패킷수집 #필터링 #패킷추출 #트랜잭션분석 #IP-Port-Substitution # IP-Port-Translation #IP-Port-Replacement #IP-Mapping #IP치환 #IP변환