+米国Riverbed Technology (CACE Technologies) 社 Gigabit対応 パケットキャプチャNIC TurboCap
※2015年よりお伝えしておりますように、米国Riverbed社から案内があり、TurboCapシリーズついに終売となりました。これまでのご愛顧どうもありがとうございました。後継となる製品としては、弊社ではProfitap社のProfiSharkシリーズがあります。どうかよろしくお願いいたします→ProfiSharkシリーズ
|
TurboCapはGigabitEthernetに対応したパケットキャプチャ、送信が可能なWindows/Linux用NICです。2つのギガビットポート、専用のCPU、メモリをもち、パケットロストのない完全なキャプチャと送信が可能なPCIエクスプレス接続のアダプタです。 |
|
Turbocapの2つのギガビットポートをタップのように中継してフルレートのパケットキャプチャを行えます。また、2つのポートのパケットを集約してキャプチャを行うこともできます。基幹ネットワークの大容量のトラフィックに対しても完全にパケットを取得できるので、企業のトラフィック分析、証拠保全、攻撃検知などに適します。DoSのような64バイトフレームの集中はもちろん、9234バイトのジャンボフレームにも対応しています。 |
+概要
TurboCapは、フルレート(ロスレス)の同時2ポートのパケットキャプチャ機能、2つのポートのトラフィックを集約して、1つのpcapファイルとする機能、2つのポートをリピータのように用いる設定可能な透過的パススルーモードを備えた2つのGigabitEthernetポートをもつパケットキャプチャ専用NICです。TurboCapはWiresharkと統合化されていることにより、Wiresharkの多彩な機能を用いてパケットを解析できます。また、TurboCaoはWinPcap/LibpcapのAPIをサポートしているので、これを利用したアプリケーションを作成してパケットを取得することも可能です。TurboCapはPCI Expressインタフェースに対応し、GigabitEthernetポートを2つ持ちます。TuboCapはWindowsXP/VistaおよびFedora Core 10に対応したデバイスドライバが付属しています。
+ノンサンプリングでフルキャプチャ!
一般的に、ルータやレイヤ3スイッチなどのxFlowやsFlowなどといったフロー分析機能やネットワーク統計機能を用いてパケットキャプチャを行った場合、トラフィックはどうしても一定時間ごとのサンプリング(標本パケットの取得)によるトラフィック分析となり、本当の通信を見失ってしまう可能性があります。特にサンプリングベースの場合は、時間的に小さい64バイトのパケット(片方向のDoS攻撃やARPなど)を見失ってしまうことが少なくありません。また、一般のNICを用いてパケットキャプチャを行った場合には、140Mbps程度で最小フレーム長(64バイト)について、パケットのロスを生じてしまいます。(CPU利用率も100%近くなります。)
これに対して、TurboCapでギガビットイーサネットのトラフィックをパケットキャプチャした場合には、すべてのパケットを落とすことなく、また、CPU利用率をあげることなく安定してフルレートのパケットキャプチャが可能になります。
+TurboCap2とTurboCap4の2シリーズ展開
主要な機能 |
|
|
|
TurboCap2 |
|
|
〇 |
〇 |
Wiresharkとの統合化 |
〇 |
〇 |
|
〇 |
〇 |
|
〇 |
〇 |
|
1対2ポートの集約および
全実装ボードの集約 |
1対2ポートの集約および
全実装ボードの集約 |
|
2 ポート |
4 ポート |
|
PCIエクスプレス
4レーン(×4) |
PCIエクスプレス
レーン(×8) |
|
いけりりへ相談を
USD1995
¥199,500以下 割引 |
いけりりへ相談を
USD2995
\299,500以下 割引 |
+2つのポートでキャプチャしたパケットの集約
たとえば、社内側、DMZ側など、同時に2つのポートでキャプチャを取得して、時系列に分析することなどはよくあることです。TurboCapでは、2つのキャプチャ専用のGigabitEthernetポートのトラフィックを集約して、1つのキャプチャファイルとすることができます。この機能は、ボード集約ポート(BAP:Board Aggrigating Port)の設定で行えます。さらに、TurboCapを複数導入することによって、2つ以上のポートの集約を行うこともできます。たとえば2枚のTurboCapを用いて4つのポートのトラフィックを1つのキャプチャファイルにまとめることができます。 |
+パススルーモードで透過的とに全二重トラフィックをキャプチャ
ネットワークやサーバーなどの設定を変更しないで、パケットキャプチャを行いたい場合は多くあります。そこで、TurboCapはあたかもネットワークタップのように動作することで、透過的に全二重のトラフィックをキャプチャすることができます。パススルーモードでは、TurboCapの1つのポートに入出力するトラフィックはもう片方のポートにそのまま再度送受信されるのっで、既存のネットワークやサーバーに影響を与えずにギガビットでのパケットキャプチャを行うことができます。
図のように、送信される通信と受信される通信は異なるポートに送られるため、個々に分析することもできます。また、BAP(ボード集約ポート)の設定により、送受信される通信をまとめて1つのキャプチャファイルにすることもできます。 |
+TurboCapの性能
TurboCapと最適化されたドライバによって、ロスのないフルレートの2ポート同時のパケットキャプチャを行うことができます。TurboCapのドライバは、WinPcap/libpcapライブラリに統合化されており、WiresharkやWindump,TCPDUMP、NTOPをはじめ、自製のWinPcapのAPIを用いるアプリケーションで利用できます。ただし、アプリケーション側のメモリ、CPU、ハードディスクの利用方法によって、パフォーマンスは変化します。たとえば、Wiresharkの負荷としては、以下のページをご参考ください。
→Wiresharkのパフォーマンス(http://wiki.wireshark.org/Performance)
+フルレートのギガビットイーサネットでのパケット送信機能
TurboCapはパケットキャプチャするだけではなく、フルレートでGigabitEthernetのパケットを2つのポートを用いて動じに送信することができます。これはストレステストなどでも利用することができます。TurboCapのAPIは脆弱性テストツールや負荷テストツールなどの広いアプリケーションで利用することができます。また、送信するパケットのサイズは64バイトの最小フレームから、9234バイトのジャンボフレームまで対応しています。
+TurboCapでの時刻印情報
TurboCapでは、CPUの利用などに応じて、いくつかの時刻印の記録方法を選択することができます。これにより、用途に応じて正確な時刻を記録したパケットキャプチャを作成することができます。
-
Polling Mode. ポーリングモードでは、TurboCapにパケットが到着すると、CPUのタスク切り替え処理がポーリングして回ってくる順番に応じて、できるだけだけ早い時間が記録されます。通常、CPUが記録する時刻はたいへん正確(マイクロ秒精度)ですが、CPUの負荷を必要としてます。
-
Timer Mode. タイマーモードでは、TurboCapに入ってくるパケットについて、1ms単位のタイマーを定期的に適用します。この場合は、CPUに与える負荷は少ないですが、精度はミリ秒単位になります。
-
Off. オフにすると、タイムスタンプ値はゼロにセットされます。
+TurboCapの仕様と推奨ハードウエア
対応OS:Windows(XP/Vista/7(予定))およびLinux(Fedora Core 10)
インタフェース:4レーンのPCIExpress(x4 or x8 PCI Express slots)
CPU:Pentium-D(デュアルコア)もしくはマルチプロセッサ 2.8GHz以上
メモリ:2GB以上
HDD:ロスレスでパケットキャプチャを保存するには、ディスクアレイを推奨します。(SSDやRAID0等)
※ディスク容量と速度はフルレートでのパケットキャプチャにとって重要なので、注意ください。
+TurboCapのライセンスと価格
TurboCapのライセンスは以下になります。→TurboCap Software License Agreement.
また、パッケージにはハードウエアのTurboCap本体とデバイスドライバを含みます。
ご購入はいけりりにご相談ください +TurboCapのお問い合わせ
パケットキャプチャ・無線LANは信頼と技術のいけりり★ネットワークサービスへ!→
Wiresharkに関する主な活動(Sharkfestほか)
Wireshark 開発者会議 Sharkfest'08 にてWireshark開発者のGelard Comb氏および
Wireshark UniversityのLaura Chapel氏といけりり★ネットワークサービス竹下恵
http://www.cacetech.com/SHARKFEST.08/
Sharkfest 2008 (米国マウンテンビュー フットヒル大学 2008年)
→Wireshark関連はこちらを
主な著書 AirPcapはもちろん、Wi-SpyやWiresharkの保守やサポートもやってます!どうかよろしくお願いします。
パケットキャプチャ入門 ― LANアナライザ
Wireshark 活用術 ― 竹下 恵 著
B5判 344ページ 定価:2,940円(税込)本体2,800円+税 ISBN:978-4-89797-678-5
パケットキャプチャ実践技術
-- Wiresharkによるパケット解析応用編 -- 竹下 恵 著
B5判 432ページ 定価:3,570円(税込)(本体:3,400円+税)
ISBN:978-4-89797-796-6
パケットキャプチャ入門 改訂版― LANアナライザ
Wireshark 活用術 ― 竹下 恵 著
B5判 408ページ 定価:2,940円(税込)本体2,800円+税 ISBN:978-4-89797-875-8 |