• 2012.09.07
• [技術入門コラム]

パケットキャプチャー入門
NetEvidence開発エンジニアによる技術入門コラム
「第３回　データの取得と再現」

前回の内容では、「バラバラの状態で送信されたパケットがどのように組み立てられるのか」について簡単にお伝えしました。
今回は、そうした仕組みの中で、「NetEvidenceがどのように関わり、データを復元しているのか」について簡単にご説明します。

「データの取得と再現」

■NetEvidenceによるデータの取得

前回、パケットには説明書が添付されており、送信先ではその情報を元にデータを組み立て、元の状態に復元できることをお伝えしました。
逆に言うと、その説明書さえあれば、本来の送信先以外でもデータを組み立て、復元できることを意味します。

NetEvidenceはその特性を利用して、取得したパケットから元の状態を復元します。
まずネットワーク上に分岐点を作成し、取得したいパケットがNetEvidenceにコピーされるようにします。
NetEvidenceはコピーされたパケットに含まれる説明書を利用し、元のデータを組み立てます。

■まとめ

これまでの内容をまとめますと、

• ・「パケット」には、送信元でバラバラに分解して、送信先で組み立てる特性がもともと備わっている。
• ・NetEvidenceはその特性を利用して、分解された状態のパケットから、元のデータを組み立てる。

ということになります。
つまり、「NetEvidenceは、ネットワークの特性をうまく活用して、元のデータを組み立てている」といえます。

元のデータの組み立ては、そうした形で実現できます。
しかし、ネットワークを流れる通信を全て記録し内容を簡単に検索できるようにすること、また、人が読める形で過去の通信状況を再現することは決して容易ではありません。

次回は、NetEvidenceにおける記録精度の追及や、検索機能、内容の再現などについてご説明します。

（by Hacchan）

＞＞＞　技術入門コラムの一覧をみる　＜＜＜