フローを用いて宛先毎にトラフィックを追跡したい場合、IPアドレス毎のトラフィックを集計することが考えられます。
送信先IPアドレス/時系列
トラフィックの多いIPアドレスが把握できても、そのトラフィックの用途が判断できません。
例えば、203.69.81.58(12:40頃 橙色のスパイク)は、どのサービス向けのトラフィックなのかがわかりません。
$ host 203.69.81.58
58.81.69.203.in-addr.arpa domain name pointer 203-69-81-58.HINET-IP.hinet.net.
DNSの逆引きを行うと hinet.net であることが分かります。
数値のみのIPアドレスよりも文字列である逆引き名の方が識別し易いので、DNSの逆引きとは厳密には異なりますが、送信先IPアドレスのネットワーク名(IRR)毎にトラフィックを集計します。
送信先IPアドレスのネットワーク名(IRR)/時系列
HINET-NETは、ISP(Internet Service Provider)ですが、トラフィックの用途までは分かりません。
GOOGLEも確認できますが、GOOGLE宛のトラフィックが、YouTubeなのか?Gmailなのか?までは判断できません。
また、AKAMAIやCLOUDFLARENETといったCDNも見られますが、どのOTTなのかが分かりません。
このため、フローにDNS情報を関連付けて、OTTサイト名毎にトラフィックを集計します。
OTTサイト名(DNS)/時系列
GOOGLE宛のトラフィックは、google.com, youtube.com, gmail.com などのOTTサイトであると推測できます。
また、CDNを利用していると思われる netflix.com, apple.com, などのOTTサイトが確認できます。
OTTサービス名毎のトラフィックも集計します。
OTTサービス名/時系列
Youtube, Netflix, Line, Twitter, Dropbox, SpotifyなどのOTTサービス名が確認できます。
前述までの時系列チャートでは、IPアドレス⇔OTT/CDNなどの関連が把握できないため、サンキー・ダイアグラムを用います。
CDN → OTTプロバイダー → OTTサービス → OTTサイト → ネットワーク名
Microsoft(OTTプロバイダー列)は、CDNは Akamai, Microsoft Azure, Edgecastを利用していることが分かります。
TWNIC-TW(ネットワーク名)は、GoogleやAkamaiのキャッシュサーバーを自ネットワーク上に構築してしていることが推測できます。
CDN → | OTTプロバイダー → | OTTサービス → | OTTサイト → | ネットワーク名 |
---|---|---|---|---|
Youtube | googlevideo.com | TWNIC-TW | ||
Akamai | Avast | Avast | avast.com |