フロー × DNS による解析

フローを用いて宛先毎にトラフィックを追跡したい場合、IPアドレス毎のトラフィックを集計することが考えられます。

送信先IPアドレス/時系列

トラフィックの多いIPアドレスが把握できても、そのトラフィックの用途が判断できません。
例えば、203.69.81.58(12:40頃 橙色のスパイク)は、どのサービス向けのトラフィックなのかがわかりません。

$ host 203.69.81.58
58.81.69.203.in-addr.arpa domain name pointer 203-69-81-58.HINET-IP.hinet.net.

DNSの逆引きを行うと hinet.net であることが分かります。

数値のみのIPアドレスよりも文字列である逆引き名の方が識別し易いので、DNSの逆引きとは厳密には異なりますが、送信先IPアドレスのネットワーク名(IRR)毎にトラフィックを集計します。

送信先IPアドレスのネットワーク名(IRR)/時系列

HINET-NETは、ISP(Internet Service Provider)ですが、トラフィックの用途までは分かりません。
GOOGLEも確認できますが、GOOGLE宛のトラフィックが、YouTubeなのか?Gmailなのか?までは判断できません。
また、AKAMAIやCLOUDFLARENETといったCDNも見られますが、どのOTTなのかが分かりません。

このため、フローにDNS情報を関連付けて、OTTサイト名毎にトラフィックを集計します。

OTTサイト名(DNS)/時系列

GOOGLE宛のトラフィックは、google.com, youtube.com, gmail.com などのOTTサイトであると推測できます。
また、CDNを利用していると思われる netflix.com, apple.com, などのOTTサイトが確認できます。

OTTサービス名毎のトラフィックも集計します。

OTTサービス名/時系列

Youtube, Netflix, Line, Twitter, Dropbox, SpotifyなどのOTTサービス名が確認できます。

前述までの時系列チャートでは、IPアドレス⇔OTT/CDNなどの関連が把握できないため、サンキー・ダイアグラムを用います。

CDN → OTTプロバイダー → OTTサービス → OTTサイト → ネットワーク名

Microsoft(OTTプロバイダー列)は、CDNは Akamai, Microsoft Azure, Edgecastを利用していることが分かります。
TWNIC-TW(ネットワーク名)は、GoogleやAkamaiのキャッシュサーバーを自ネットワーク上に構築してしていることが推測できます。

CDN → OTTプロバイダー → OTTサービス → OTTサイト → ネットワーク名
Google Youtube googlevideo.com TWNIC-TW
Akamai Avast Avast avast.com

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です