- 1. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
Momentum介紹
2016/2
~ Utilize your traffic data ~
- 2. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
概念
2
為了更加活用數據資料
提供了開放式平台
在採用Open Architecture下,
為了將數據包靈活的使用目前已有
Viewer和安全性相關產品等做結合,
創造出更多的價值
Utilize Your Traffic DataGarbage in Garbage out!!
數據絕不掉包
如果輸入的封包是有問題的、那導出的的封包
也只會是無效的。
momentum Probe的價值就是在零掉包情況
下將數據包保存下來
將通信數據在Apps 上創造出新的價值。
準確地將所有通訊數據紀錄下來並且讓使用者更快速查詢
~ Utilize Your Traffic Data ~
Network , Security including forensics, IT sense.
We take your traffic data accurately and make sense of it.
- 3. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
主要特點
Open Architecture
搭配第三方軟體,可以將數據資料更快速的取出
並且作活用
Effective Search & Extract
更靈活的取出所需要的數據
Accuracy of Data Recording
數據完整的保存
3
~ Utilize your traffic data ~
- 4. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
取證
惡意軟件活動時數據資料的確保
問題發生時的證據情報(美國: e-discovery法)
安全性調査
入侵偵測
資料再生
攻撃分析
網路調査
排序調査
吞吐量・遅延分析
數據包解析
流量・解析的目的
4
網路安全
網路管理
證據保全
APP
性能監視
監測&
compliance
- 5. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
數據包・解析要件
5
• 10G網速的場合、約
1,500萬/秒數據包的記録
• 單一系統下不擷取何封包
• 透過接受其他產品的訊號將數
據等保存
• 問題發生後往往才開始找
問題
• 降低成本、長時間、必須
長時間儲存封包
• 在數據不全的時候、無法做出
真正的做出疑難排解
データを
ロス無く
記録する性能
長時間の
データ収集
大量なデータ
から必要な
データを抽出
他のシステム
との連携
重點:在特定的系統和LOG會無法做搭配
長時間的
數據収集在不掉包情況下將
數據完整保存下來
與其他第三方系統
做搭配
從大量的數據中
取出必要的資料
- 6. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
Reltime-
Indexing
Zero Loss
Data Record
Packet Search System(API)
momentum Probe Type-R/C
“ UTILIZE Your Traffic Data ”
為了靈活的運用數據資料
搭配數據包擷取・開放式平台。
momentum PSCLI
將必要的數據藉由CLI取出・下載
搭配介面
抓取PROBE
APPs
TAPAS Terilogy Advanced Platform for AppS
DNS Viewer
將數據包搭配各種DNS圖表結合而成専
用Viewer
PASTE
將特定的Syslog數據包保存
Lastline
Palo
Alto
etc
momentum
Orca
透過GUI將特定的
數據包下載
- 7. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
TYPE-R
TYPE-T
TYPE-C
ORCA V2
製品陣容
7
- 8. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
Momentum各種系列介紹
使用者介面 特徴
momentum DNS Viewer 透過圖表找出問題點,將問題點或自訂範圍將數據包下載
momentum Orca 透過WEB UI在龐大的數據庫中下載所需數據包
momentum PSCLI 透過客戶端在龐大的數據庫中下載所需數據包
Probe製品 功用
momentum Probe Type-T 10GE網速的環境下不掉包,數據包保存的旗艦型
momentum Probe Type-R 1GE網速的環境下不掉包、即時生成統計資料的標準型
momentum Probe Type-C 分散配置為目的的入門型
momentum Scalable Storage 可以讓Type-R/C容量追加的儲存型
momentum Probe Type-A 作為解析用的All-in-one型
- 9. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe 陣容
9
Type-T Type-R Type-C
特徴
旗艦型 持續抓取不掉包高性能型 分散配置為目的的入門型
介面 10GE×2 1GE×4 1GE×2 1GE×2
機架尺寸 4U 2U 1U 2U 1U
Time stamp 10奈秒 毫秒 毫秒
disk容量※1
64.8TB 28.8TB 4.8TB 48TB 16TB 8TB
HDD
0.9TB 10k rpm ×
72
1.2TB 10k rpm ×
24
0.6TB 10k rpm ×
8
4TB 7.2k rpm ×
12
4TB 7.2k rpm ×
4
2TB 7.2k rpm ×
4
SAS 2.5寸 SAS 2.5寸 SAS 3.5寸 SAS 3.5寸 SATA 3.5寸
RAID 5 5 5 5 0
電源冗長 ○ ○ ○ ○ -
PCAP取出 日期和時間
日期和時間、5Tupple的選擇
日期和時間、5Tupple的選擇
對應於各種模板
FLOW統計 - ○ ○
使用者介面
GUI (mogui) GUI (momentum Orca) GUI(momentum Orca)
CLI CLI (PSCLI) CLI (PSCLI)
保存期間※ 約200小時 約90小時 約17小時 約140小時 約43小時 約28小時
抓取性能 20G全速抓取 4G 全速抓取 2G 全速抓取 不保證2G全速抓取
※保存時間試算方式、Type-T平均5Gbps、Type-R/Type-C平均500Mbps。
- 10. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 10
Type-A ScalableStorage
特徴 解析工具型Probe 容量追加用型
介面 1GE×2 1GE×2
機架尺寸 2U 2U
Time stamp - -
disk容量※1
16TB 48TB
HDD
4TB 7.2k rpm × 14 4TB 7.2k rpm × 12
SAS 3.5吋 SAS 3.5吋
RAID 5 5
電源冗長 ○ ○
PCAP取出 日期和時間、5Tupple的選擇 -
FLOW統計 -
使用者介面
GUI (momentum Orca)
-
CLI (PSCLI)
解析工具 SteelCentralPacketAnalyzer/Wireshark -
保存期間※ 約43時間 約140時間
抓取性能 不保證2G全速抓取 -
momentum Probe 陣容
- 11. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-R
持續抓取不掉包高性能型
4Gbps / 2Gbps全速抓取
豪秒 Time stamp
數據目錄・統計情報生成
電源冗長
28.8TB / 4.8TB以上大容量HDD
高轉速HDD採用
數據資料索引生成
FLOW統計資料生成
Time
5tuple
VLAN ID
URL
DNS
容錯
採用RAID5對應HDD故障可能性
11
Type-R
- 12. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-R
Loader Template
tmplate id 0 1 2 3 4 7 8
fields/tmplate name all_off mil_sec 5tuple icmp http vlan_tag dns
TEMPLATE_ID ○ ○ ○ ○ ○ ○ ○
PROTOCOL ○ ○ ○ ○ ○
IPV4_SRC_ADDR ○ ○ ○ ○ ○
IPV4_DST_ADDR ○ ○ ○ ○ ○
L4_SRC_PORT ○ ○ ○ ○
L4_DST_PORT ○ ○ ○ ○
ICMP_TYPE ○ ○
HTTP_URL / DNS_Name ○ ○
TOS
VLAN_L1 ○
VLAN_L2 ○
DNS_ID ○
DNS_QR ○
DNS_RD ○
DNS_RA ○
DNS_Rcode ○
DNS_Type ○
MIL_SEC ○
12
Type-R
momentum Probe Type-R可透過選擇Loader Template
改變Real-Time生成的索引。
- 13. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-C
Packet Capture for Everywhere
1.6Gbps的效能
豪秒 Time stamp
大容量Storage
價格合理
13
Type-C
分散配置為目的的入門型
8TB / 16TB/48TB大容量Storage
小型的1U Chassis採用
數據資料索引生成
FLOW統計資料生成
Time
5tuple
※ 對應Template id 0 1 2
- 14. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-C
Loader Template
tmplate id 0 1 2
fields/tmplate name all_off mil_sec 5tuple
TEMPLATE_ID ○ ○ ○
PROTOCOL ○
IPV4_SRC_ADDR ○
IPV4_DST_ADDR ○
L4_SRC_PORT ○
L4_DST_PORT ○
ICMP_TYPE
HTTP_URL / DNS_Name
TOS
VLAN_L1
VLAN_L2
DNS_ID
DNS_QR
DNS_RD
DNS_RA
DNS_Rcode
DNS_Type
MIL_SEC ○
14
Type-C
momentum Probe Type-C可透過選擇Loader Template
改變Real-Time生成的索引
- 15. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
Scalable Storage
長期保存為目的的擴張型
Storage
48TB大容量Storage
電源冗長
RAID5
價格合理
15
48TB大容量Storage
可複數台追加
即使大容量保存,也能順暢的
檢索/取出,PSS Broker
容錯
採用RAID5對應HDD故障可能性
- 16. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-T
20Gbps 零掉包・資料保存
10ns Time stamp
大容量Storage
容錯性
「通信數據包全部保存」
momentum Probe Type-T是不管Frame size 、不管資料存取、及突
發的流量等、在20Gbps全速的流量下「全部保存」
可以在不影響數據包抓取時將資料取出
16
Type-T
- 17. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-T
使用者介面
提供名為Drsh CLI的客戶
端
透過CLI來操作網路設備
※ 提供操作幫助的機能 / 文字補完機
能 / 命令歷史記錄機能
drsh> start service drive recorder
drive_recorder
Starting momentum Drive Recorder ...Starting uOS Momentum
Drive Recorder StorePCAP ...
Starting uOS momentum Probe pcap ...[ OK ]
Starting uOS uOSv3 Probe Capture ...[ OK ]
[ OK ]
擷取服務開始的命令字元實際案例
Type-T
- 18. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 18
momentum Probe Type-T
使用者介面(WEB GUI)
- 19. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-T的
性能組成
轉換方式
透過RAID群組將寫入/讀出的處理效能極致化
當寫入群組DISK到達一定容量時,自動做群組的轉換
可以手動切換群組DISK
19
實現 零丟包
Type-T
- 20. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-A
Probe上所收集起來的資料直接在同一個
hardware上做分析的
All in One 型
Probe機能
Orca/PSGUI-WIN
SteelCentralPacketAnalyzer*
Wireshark
20
◆將通過WAN端的數據包收集下來、不需要將
資料移動的其他分析儀器上,直接在本機上
做解析
◆因為在Probe上已經安裝了分析工具、所以不
需要用其他方式將數據導至其他設備上
◆在保固合約內一年提供兩次支援分析協助
※第三次以後會斟酌收費
* Riverbed社製品
Type-A
- 21. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
各種Type特性
Type-T Type-R Type-C Type-A
數據無遺失的取得・保存 ◎ ○ △ △
長時間保存 ◎ ○ ○ ○
數據檢索・取出 △ ◎ ◎ ◎
通過API與其他產品合作 - ◎ ◎ -
容錯 ◎ ○ ○/△
16TB / 8TB
○
解析工具 需另裝 需另裝 需另裝 本機
額外擴充儲存空間 × ○ ○ ×
21
- 22. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
ORCA V2
momentum WEB UI
22
- 23. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca™ 是將 Probe的流量統計後圖形化、
在透過Web UI 來下載pcap檔
momentum Orca
23
主要機能
圖形化表示
Time chart
(Bps/Byte/Packets)
時間指定
Drill down
特定流量 指定流量
TopN
TopN Host
TopN App
Pcap下載
從圖表下載 日期・流量指定
不顯示圖表下載 日期・流量指定
全部確認
必要情報
取出
- 24. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca 連結構成
Traffic
Capture
http
管理用網路
管理者PC
24
momentum Orca
Network
Probe type-R/C
API
(ZeroMQ)
流量統計
情報
數據資料
Web瀏覽器
操作
検索
•條件: 時間
/5Tuple/等
圖表表示
•流量統計情報 PCAP檔取得
- 25. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca 指定條件
25
指定Probe
Capture Interface指定
Protocol・IP位址・
PORT指定
日期・持續時間指定
指定方向
- 26. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca 圖示表示
右クリックでドリルダウン
26
Time chart
X軸 時間
Y軸 Bps、Packet Size, Packet Counts
- 27. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca 層層挖掘
點滑鼠右鍵可Drill down
27
Drill down
Top10 Applications + Others
- 28. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca PCAP下載
28
從圖表上下載PCAP檔
- 29. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Orca PCAP下載
File name
Interval
Direction
Both or One way
下載all or selected
data
指定條件
點選「Download pcap」
29
從圖表上下載PCAP檔
不顯示圖表下載
- 30. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
詳細解析工具
※Riverbed SteelCentral Packet Analyzer
從圖表上選擇想要查詢對象、在Drill down將問題點找出
可以將分析圖存為REPORT
①流量非常大伺服器・選擇客戶端 ②選擇Transaction Diagram
③確認伺服器・客戶端的流程後
、移動到想查詢的圖表上、滑鼠右鍵sent to wireshark
④Wireshark自動起動、將剛才選取的封包檔保存
30
- 31. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
導入事例
31
- 32. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
某金融業使用者
32
AggregationSW
Gr
Gr
機種 momentum Type-R 28.8TB
目的 Troubleshooting
用途①
網路出現問題時、可以在已佈署momentum的網路重點位置取得封包並且調查、當有需要重現當時候的情
況時、就需要將封包不斷保存以隨時在現
用途②
為了了解數據包是從哪個截點上取得,將導入Tap的數據包加上VLANtag分組,在從Probe端確認VLANtag是
否都有被抓取
選定理由
在市面上能夠數據包擷取不掉包的產品、系統上架後還要能正確取得所需要情報、且價格比起其他產品廉
價是選定的原因。
為了在前段AggregationSW上加上VLANtag、在數據包抓取装置上能讓VLANtag被判別、所以這個條件
檢索是需要的。
數據包
資料
索引
必要情報
流量可視化
(從流量統計生成)
PCAP資料
從統計資料
做drill-down
統計資料和擷取
的資料做結合
流量統計
資料
確認全体 抽出
- 33. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum+Orca
momentum + Orca構成
33
Traffic
Capture
http
管理用網路
管理者PC
條件指定/検索:Probe/Interface/時間/5-Tuple等
趨勢圖表示:取得指定的流量統計情報再以圖表表示
PCAP下載:符合指定條件的PCAP檔下載
API(ZeroMQ)
[流量統計情報/數據包資料]
Network
momentum Probe
Type-R/C
momentum Orca
- 34. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
金融業使用者實例
momentum + Orca實際案例
34
momentum Probe
Arista7150S
VLAN Tag給予
Aggregation
SilcingInside SW Inside SW
Sever SW Sever SW
對外網路
momentum Orca
DMZ SW
DMZ SW
從各段的TAPか流入的數據包任意的加上VLANtag、
在各Port做100byte的Slicing來提高収容効率、
在從Probe端確認VLANtag是否都有被抓取
OutSide SW OutSide SW
Middle SW Middle SW
DMZ伺服器群組
Identity
VLAN
VLAN/ICMP/5Tuple的目錄作成。
作為統計情報然後保存。
在Orca篩選條件下加入指定
VLAN功能。
提供將想查詢的流量範圍做縮小
的功能。
重點:在Slicing(100Byte)提高收容效率、簡單利用VLANtag截取點,毎(系統単
位)的趨勢圖、就能夠取得PCAP檔。
伺服器群組
※示意圖
- 35. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
某電力公司
35
機種 momentum Type-R 28.8TB
目的 取證
用途①
使用NGFW做流量的檢測及威脅的封鎖、當NGFW的log實際偵測的問題和封鎖後但是詳細的流量內容無法
確認下、搭配momentum做事後取證的工作
用途② 為了確認威脅的檢測和封鎖的通信是否正確、搭配封包截取收集做事後查證
選定理由①
Momentum和PaloAlto公司的NGFW做配合、由NGFW的log畫面(Detailed Log View)將符合的PCAP檔做取
得,更能有效地縮短查詢時間。
選定理由②
NGFW的log資訊透過APPS將數據包導到外部伺服器保存、不依靠momentum的Storage的容量,可以更有
效的利用Storage空間。
只將次世代防火牆做
檢測的資料取出、自
動保存
① 數據包截取& Real time Indexing
④ 取出符合的數據包・下載⑤ Web 登入
② 威脅檢測
③ Syslog
⑥ Log Link
數據包下載
砂箱
病毒碼文件
黑名單
=Detailed Log View=
- 36. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
某運輸企業
36
機種 momentum Type-R 28.8TB
目的 trouble shooting
用途① 為了業務系統更快速的trouble shooting、配置數據包截取設備
用途② 為了確認網路各節點流量、需要持續數據包抓取及流量監控
選定理由
為了重要的業務系統、需要在數據包不遺失情況下持續截取。
然後、也為了導入其他系統再統合後做運用、合理的價位也是考量選項
數據包
資訊
索引
必要情報
流量的可視化
(從流量統計生成)
PCAP資料
從統計資料
做drill-down
統計資料和擷取
的資料做結合
流量統計
資料
確認全部 取出Probe
type-R
Probe
type-R
Internet
基準線
Probe
type-R
Probe
momentum Orca
- 37. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 37
過程 Aggregation core
Probe
type-R
伺服器・
DB
PC
momentum Orca momentum PSCLI
CLI
commands
流量統計情報
數據包資訊
某製造企業
數據包
資訊
索引
必要情報
流量的可視化
(從流量統計生成
PCAP資料
從統計資料
做drill-down
統計資料和擷取
的資料做結合
流量統計
資料
確認全部 取出
機種 momentum Type-R 28.8TB
目的 trouble shooting
用途①
網路經常性發生問題、現有的網管系統無法找出原因、且長期的一直有業務上CASE、所以需要迅速的做出
trouble shooting來讓業務保持無問題
用途② Internet通信的解析
選定理由
因為一直有使用WireShark做數據分析、但是之前設備有數據包遺失、系統上架困難等因素導致正確資訊
取得困難、所以需要不會數據包遺失的設備做配合。
因為有大量數據需要長期的做保存、也需要複數的截取装置,合理價格也是考量原因。
- 38. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
某ISP
38
機種 momentum Type-R 28.8TB+mometum-SW+數據保存用Storage伺服器
目的 trouble shooting ※希望長期保存
用途①
因對於DNS伺服器的攻擊増加、伺服器長期受到影響。最初使用TCPdump來取得數據包,再利用
Wireshark等來分析攻擊、但是因為資料量過於龐大,進行除錯時花費太多時間、所以配置以利於縮短解
析時間
用途② DNS通信的視覺化・且可以以秒為単位做範圍縮小篩選
選定理由
過去有受過DDoS攻撃、也使用wireshark做調査解析、且花費時間。所以為了縮短分析時間、且預防類今
後類似事情、所以決定要更効率的運用視覺化的圖表來作為調査
藉由趨勢圖來選擇想查找的時間、且可由圖表將pcap做下載、詳細解析也變得更容易
而且還能長期保存數據
monitoring
統計情報 詳細情報
流量數據 數據包資料
解析工具DNS Viewer
絞り込んで抽出
因為是被動的收集數
據所以對於系統沒有
影響!
自動生成
實現從統計資料中
做層層挖掘來更快速
找出問題點
統計情報和詳細情報
的資料來源完全一致
momentum + DNS Viewer
PCAP
Drill down
- 39. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 39
![Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum Probe Type-T
使用者介面
提供名為Drsh CLI的客戶
端
透過CLI來操作網路設備
※ 提供操作幫助的機能 / 文字補完機
能 / 命令歷史記錄機能
drsh> start service drive recorder
drive_recorder
Starting momentum Drive Recorder ...Starting uOS Momentum
Drive Recorder StorePCAP ...
Starting uOS momentum Probe pcap ...[ OK ]
Starting uOS uOSv3 Probe Capture ...[ OK ]
[ OK ]
擷取服務開始的命令字元實際案例
Type-T](https://image.slidesharecdn.com/momentum-161101090308/85/momentum-17-320.jpg)
![Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.
momentum+Orca
momentum + Orca構成
33
Traffic
Capture
http
管理用網路
管理者PC
條件指定/検索:Probe/Interface/時間/5-Tuple等
趨勢圖表示:取得指定的流量統計情報再以圖表表示
PCAP下載:符合指定條件的PCAP檔下載
API(ZeroMQ)
[流量統計情報/數據包資料]
Network
momentum Probe
Type-R/C
momentum Orca](https://image.slidesharecdn.com/momentum-161101090308/85/momentum-33-320.jpg)
