momentum紹介資料【中文】

Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.

Momentum介紹 2016/2

～ Utilize your traffic data ～

Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD.

概念

2

為了更加活用數據資料提供了開放式平台

在採用Open Architecture下, 為了將數據包靈活的使用目前已有 Viewer和安全性相關產品等做結合,

創造出更多的價值

Utilize Your Traffic Data Garbage in Garbage out!!

數據絕不掉包

如果輸入的封包是有問題的、那導出的的封包也只會是無效的。

momentum Probe的價值就是在零掉包情況

下將數據包保存下來

將通信數據在Apps 上創造出新的價值。準確地將所有通訊數據紀錄下來並且讓使用者更快速查詢

~ Utilize Your Traffic Data ~

Network , Security including forensics, IT sense. We take your traffic data accurately and make sense of it.


主要特點

Open Architecture

搭配第三方軟體,可以將數據資料更快速的取出

並且作活用

Effective Search & Extract

更靈活的取出所需要的數據

Accuracy of Data Recording

數據完整的保存

3

～ Utilize your traffic data ～


取證

惡意軟件活動時數據資料的確保問題發生時的證據情報（美國： e-discovery法）

安全性調査

入侵偵測資料再生攻撃分析

網路調査排序調査吞吐量・遅延分析數據包解析

流量・解析的目的

4

網路安全

網路管理

證據保全

APP 性能監視

監測＆ compliance


數據包・解析要件

5

• 10G網速的場合、約

1,500萬/秒數據包的記録

• 單一系統下不擷取何封包

• 透過接受其他產品的訊號將數

據等保存

• 問題發生後往往才開始找

問題

• 降低成本、長時間、必須

長時間儲存封包

• 在數據不全的時候、無法做出

真正的做出疑難排解

データを

ロス無く

記録する性能

長時間の

データ収集

大量なデータ

から必要な

データを抽出

他のシステム

との連携

重點：在特定的系統和LOG會無法做搭配

長時間的

數據収集

在不掉包情況下將

數據完整保存下來

與其他第三方系統

做搭配

從大量的數據中

取出必要的資料


Reltime-Indexing

Zero Loss Data Record

Packet Search System(API)

momentum Probe Type-R/C

“ UTILIZE Your Traffic Data ”

為了靈活的運用數據資料

搭配數據包擷取・開放式平台。

momentum PSCLI 將必要的數據藉由CLI取出・下載

搭配介面

抓取PROBE

APPs

TAPAS Terilogy Advanced Platform for AppS

DNS Viewer

將數據包搭配各種DNS圖表結合而成専用Viewer

PASTE 將特定的Syslog數據包保存

Lastline Palo Alto

etc

momentum Orca

透過GUI將特定的

數據包下載


TYPE-R TYPE-T TYPE-C ORCA V2

製品陣容

7


Momentum各種系列介紹

使用者介面特徴

momentum DNS Viewer 透過圖表找出問題點,將問題點或自訂範圍將數據包下載

momentum Orca 透過WEB UI在龐大的數據庫中下載所需數據包

momentum PSCLI 透過客戶端在龐大的數據庫中下載所需數據包

Probe製品功用

momentum Probe Type-T 10GE網速的環境下不掉包,數據包保存的旗艦型

momentum Probe Type-R 1GE網速的環境下不掉包、即時生成統計資料的標準型

momentum Probe Type-C 分散配置為目的的入門型

momentum Scalable Storage 可以讓Type-R/C容量追加的儲存型

momentum Probe Type-A 作為解析用的All-in-one型


momentum Probe 陣容

9

Type-T Type-R Type-C

特徴旗艦型持續抓取不掉包高性能型分散配置為目的的入門型

介面 10GE×2 1GE×4 1GE×2 1GE×2

機架尺寸 4U 2U 1U 2U 1U

Time stamp 10奈秒毫秒毫秒

disk容量※1 64.8TB 28.8TB 4.8TB 48TB 16TB 8TB

HDD

0.9TB 10k rpm × 72

1.2TB 10k rpm × 24

0.6TB 10k rpm × 8

4TB 7.2k rpm × 12

4TB 7.2k rpm × 4

2TB 7.2k rpm × 4

SAS 2.5寸 SAS 2.5寸 SAS 3.5寸 SAS 3.5寸 SATA 3.5寸

RAID 5 5 5 5 0

電源冗長 ○ ○ ○ ○ -

PCAP取出日期和時間日期和時間、5Tupple的選擇

日期和時間、5Tupple的選擇對應於各種模板

FLOW統計－ ○ ○

使用者介面 GUI (mogui) GUI (momentum Orca) GUI(momentum Orca)

CLI CLI (PSCLI) CLI (PSCLI)

保存期間※ 約200小時約90小時約17小時約140小時約43小時約28小時

抓取性能 20G全速抓取 4G 全速抓取 2G 全速抓取不保證2G全速抓取

※保存時間試算方式、Type-T平均5Gbps、Type-R/Type-C平均500Mbps。

Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. Terilogy, CO., LTD. All rights reserved. Terilogy and Terilogy logo are trademarks of Terilogy, CO., LTD. 10

Type-A ScalableStorage

特徴解析工具型Probe 容量追加用型

介面 1GE×2 1GE×2

機架尺寸 2U 2U

Time stamp - -

disk容量※1 16TB 48TB

HDD 4TB 7.2k rpm × 14 4TB 7.2k rpm × 12

SAS 3.5吋 SAS 3.5吋

RAID 5 5

電源冗長 ○ ○

PCAP取出日期和時間、5Tupple的選擇 -

FLOW統計－

使用者介面 GUI (momentum Orca)

-

CLI (PSCLI)

解析工具 SteelCentralPacketAnalyzer/Wireshark -

保存期間※ 約43時間約140時間

抓取性能不保證2G全速抓取 -

momentum Probe 陣容


momentum Probe Type-R

持續抓取不掉包高性能型

4Gbps / 2Gbps全速抓取

豪秒 Time stamp

數據目錄・統計情報生成

電源冗長

28.8TB / 4.8TB以上大容量HDD

高轉速HDD採用

數據資料索引生成

FLOW統計資料生成

Time

５tuple

VLAN ID

URL

DNS

容錯

採用RAID5對應HDD故障可能性

11

Type-R


momentum Probe Type-R Loader Template

tmplate id 0 1 2 3 4 7 8 fields/tmplate name all_off mil_sec 5tuple icmp http vlan_tag dns

TEMPLATE_ID ○ ○ ○ ○ ○ ○ ○ PROTOCOL ○ ○ ○ ○ ○

IPV4_SRC_ADDR ○ ○ ○ ○ ○ IPV4_DST_ADDR ○ ○ ○ ○ ○

L4_SRC_PORT ○ ○ ○ ○ L4_DST_PORT ○ ○ ○ ○

ICMP_TYPE ○ ○ HTTP_URL / DNS_Name ○ ○

TOS VLAN_L1 ○ VLAN_L2 ○ DNS_ID ○ DNS_QR ○ DNS_RD ○ DNS_RA ○

DNS_Rcode ○ DNS_Type ○ MIL_SEC ○

12

Type-R momentum Probe Type-R可透過選擇Loader Template

改變Real-Time生成的索引。


momentum Probe Type-C

Packet Capture for Everywhere

1.6Gbps的效能

豪秒 Time stamp

大容量Storage

價格合理

13

Type-C

分散配置為目的的入門型

8TB / 16TB/48TB大容量Storage

小型的1U Chassis採用

數據資料索引生成

FLOW統計資料生成

Time

５tuple

※ 對應Template id 0 1 2


momentum Probe Type-C Loader Template

tmplate id 0 1 2 fields/tmplate name all_off mil_sec 5tuple

TEMPLATE_ID ○ ○ ○ PROTOCOL ○

IPV4_SRC_ADDR ○ IPV4_DST_ADDR ○

L4_SRC_PORT ○ L4_DST_PORT ○

ICMP_TYPE HTTP_URL / DNS_Name

TOS VLAN_L1 VLAN_L2 DNS_ID DNS_QR DNS_RD DNS_RA

DNS_Rcode DNS_Type MIL_SEC ○

14

Type-C momentum Probe Type-C可透過選擇Loader Template

改變Real-Time生成的索引


Scalable Storage

長期保存為目的的擴張型

Storage

48TB大容量Storage

電源冗長

RAID５

價格合理

15

48TB大容量Storage

可複數台追加

即使大容量保存,也能順暢的

檢索/取出,PSS Broker

容錯

採用RAID5對應HDD故障可能性


momentum Probe Type-T

20Gbps 零掉包・資料保存

10ns Time stamp

大容量Storage

容錯性

「通信數據包全部保存」

momentum Probe Type-T是不管Frame size 、不管資料存取、及突發的流量等、在20Gbps全速的流量下「全部保存」

可以在不影響數據包抓取時將資料取出

16

Type-T


momentum Probe Type-T 使用者介面

提供名為Drsh CLI的客戶

端

透過CLI來操作網路設備

※ 提供操作幫助的機能 / 文字補完機

能 / 命令歷史記錄機能

drsh> start service drive recorder drive_recorder Starting momentum Drive Recorder ...Starting uOS Momentum Drive Recorder StorePCAP ... Starting uOS momentum Probe pcap ...[ OK ] Starting uOS uOSv3 Probe Capture ...[ OK ] [ OK ]

擷取服務開始的命令字元實際案例

Type-T


momentum Probe Type-T 使用者介面（WEB GUI）


momentum Probe Type-T的性能組成

轉換方式透過RAID群組將寫入/讀出的處理效能極致化

當寫入群組DISK到達一定容量時,自動做群組的轉換

可以手動切換群組DISK

19

實現零丟包

Type-T


momentum Probe Type-A

Probe上所收集起來的資料直接在同一個hardware上做分析的

All in One 型

Probe機能

Orca/PSGUI-WIN

SteelCentralPacketAnalyzer*

Wireshark

20

◆將通過WAN端的數據包收集下來、不需要將

資料移動的其他分析儀器上,直接在本機上

做解析

◆因為在Probe上已經安裝了分析工具、所以不

需要用其他方式將數據導至其他設備上

◆在保固合約內一年提供兩次支援分析協助

※第三次以後會斟酌收費

* Riverbed社製品

Type-A


各種Type特性

Type-T Type-R Type-C Type-A

數據無遺失的取得・保存 ◎ ○ △ △

長時間保存 ◎ ○ ○ ○

數據檢索・取出 △ ◎ ◎ ◎

通過API與其他產品合作 - ◎ ◎ -

容錯 ◎ ○ ○/△ 16TB / 8TB

○

解析工具需另裝需另裝需另裝本機

額外擴充儲存空間 × ○ ○ ×

21


ORCA V2

momentum WEB UI

22


momentum Orca™ 是將 Probe的流量統計後圖形化、

在透過Web UI 來下載pcap檔

momentum Orca

23

主要

機能

圖形化表示 Time chart

（Bps/Byte/Packets）時間指定

Drill down

特定流量指定流量

TopN

TopN Host

TopN App

Pcap下載

從圖表下載日期・流量指定

不顯示圖表下載日期・流量指定

全部確認

必要情報

取出


momentum Orca 連結構成

Traffic Capture

http

管理用網路

管理者PC

24

momentum Orca

Network

Probe type-R/C

API（ZeroMQ）

流量統計情報

數據資料

Web瀏覽器

操作

検索

•條件: 時間/5Tuple/等

圖表表示

•流量統計情報 PCAP檔取得


momentum Orca 指定條件

25

指定Probe Capture Interface指定

Protocol・IP位址・ PORT指定

日期・持續時間指定

指定方向


momentum Orca 圖示表示

右クリックでドリルダウン

26

Time chart

X軸時間

Y軸 Bps、Packet Size, Packet Counts


momentum Orca 層層挖掘

點滑鼠右鍵可Drill down

27

Drill down

Top10 Applications + Others


momentum Orca PCAP下載

28

從圖表上下載PCAP檔


momentum Orca PCAP下載

File name

Interval

Direction

Both or One way

下載all or selected data

指定條件

點選「Download pcap」

29

從圖表上下載PCAP檔

不顯示圖表下載


詳細解析工具 ※Riverbed SteelCentral Packet Analyzer

從圖表上選擇想要查詢對象、在Drill down將問題點找出

可以將分析圖存為REPORT

①流量非常大伺服器・選擇客戶端 ②選擇Transaction Diagram

③確認伺服器・客戶端的流程後、移動到想查詢的圖表上、滑鼠右鍵sent to wireshark

④Wireshark自動起動、將剛才選取的封包檔保存

30


導入事例

31


某金融業使用者

32

AggregationSW Gr

Gr

機種 momentum Type-R 28.8TB

目的 Troubleshooting

用途① 網路出現問題時、可以在已佈署momentum的網路重點位置取得封包並且調查、當有需要重現當時候的情況時、就需要將封包不斷保存以隨時在現

用途② 為了了解數據包是從哪個截點上取得,將導入Tap的數據包加上VLANtag分組,在從Probe端確認VLANtag是否都有被抓取

選定理由在市面上能夠數據包擷取不掉包的產品、系統上架後還要能正確取得所需要情報、且價格比起其他產品廉價是選定的原因。

為了在前段AggregationSW上加上VLANtag、在數據包抓取装置上能讓VLANtag被判別、所以這個條件檢索是需要的。

數據包資料

索引

必要情報

流量可視化

(從流量統計生成）

PCAP資料

從統計資料做drill-down

統計資料和擷取的資料做結合

流量統計資料

確認全体抽出


momentum+Orca

momentum + Orca構成

33

Traffic Capture

http 管理用網路

管理者PC

條件指定/検索：Probe/Interface/時間/5-Tuple等

趨勢圖表示：取得指定的流量統計情報再以圖表表示

PCAP下載：符合指定條件的PCAP檔下載

API(ZeroMQ) [流量統計情報/數據包資料]

Network

momentum Probe Type-R/C

momentum Orca


金融業使用者實例

momentum + Orca實際案例

34

momentum Probe

Arista7150S

VLAN Tag給予Aggregation

Silcing Inside SW Inside SW

Sever SW Sever SW

對外網路

momentum Orca

DMZ SW

DMZ SW

從各段的TAPか流入的數據包任意的加上VLANtag、在各Port做100byte的Slicing來提高収容効率、在從Probe端確認VLANtag是否都有被抓取

OutSide SW OutSide SW

Middle SW Middle SW

DMZ伺服器群組

Identity VLAN

VLAN/ICMP/5Tuple的目錄作成。作為統計情報然後保存。

在Orca篩選條件下加入指定VLAN功能。提供將想查詢的流量範圍做縮小的功能。

重點：在Slicing(100Byte)提高收容效率、簡單利用VLANtag截取點,毎（系統単位）的趨勢圖、就能夠取得PCAP檔。

伺服器群組

※示意圖


某電力公司

35


目的取證

用途① 使用NGFW做流量的檢測及威脅的封鎖、當NGFW的log實際偵測的問題和封鎖後但是詳細的流量內容無法確認下、搭配momentum做事後取證的工作

用途② 為了確認威脅的檢測和封鎖的通信是否正確、搭配封包截取收集做事後查證

選定理由① Momentum和PaloAlto公司的NGFW做配合、由NGFW的log畫面(Detailed Log View)將符合的PCAP檔做取得,更能有效地縮短查詢時間。

選定理由② NGFW的log資訊透過APPS將數據包導到外部伺服器保存、不依靠momentum的Storage的容量,可以更有效的利用Storage空間。

只將次世代防火牆做檢測的資料取出、自動保存

① 數據包截取＆ Real time Indexing

④ 取出符合的數據包・下載 ⑤ Web 登入

② 威脅檢測

③ Syslog

⑥ Log Link

數據包下載

砂箱

病毒碼文件黑名單

＝Detailed Log View＝


某運輸企業

36


目的 trouble shooting

用途① 為了業務系統更快速的trouble shooting、配置數據包截取設備

用途② 為了確認網路各節點流量、需要持續數據包抓取及流量監控

選定理由為了重要的業務系統、需要在數據包不遺失情況下持續截取。然後、也為了導入其他系統再統合後做運用、合理的價位也是考量選項

數據包資訊

索引

必要情報

流量的可視化

(從流量統計生成）

PCAP資料

從統計資料

做drill-down


流量統計資料

確認全部取出 Probe type-R

Probe type-R

Internet

基準線

Probe type-R

Probe

momentum Orca


過程 Aggregation core

Probe type-R

伺服器・DB

PC

momentum Orca momentum PSCLI

CLI commands

流量統計情報數據包資訊

某製造企業

數據包資訊

索引

必要情報

流量的可視化

(從流量統計生成

PCAP資料

從統計資料做drill-down


流量統計資料

確認全部取出


目的 trouble shooting

用途① 網路經常性發生問題、現有的網管系統無法找出原因、且長期的一直有業務上CASE、所以需要迅速的做出 trouble shooting來讓業務保持無問題

用途② Internet通信的解析

選定理由因為一直有使用WireShark做數據分析、但是之前設備有數據包遺失、系統上架困難等因素導致正確資訊取得困難、所以需要不會數據包遺失的設備做配合。

因為有大量數據需要長期的做保存、也需要複數的截取装置，合理價格也是考量原因。


某ISP

38

機種 momentum Type-R 28.8TB＋mometum-SW+數據保存用Storage伺服器

目的 trouble shooting ※希望長期保存

用途① 因對於DNS伺服器的攻擊増加、伺服器長期受到影響。最初使用TCPdump來取得數據包，再利用Wireshark等來分析攻擊、但是因為資料量過於龐大，進行除錯時花費太多時間、所以配置以利於縮短解析時間

用途② DNS通信的視覺化・且可以以秒為単位做範圍縮小篩選

選定理由過去有受過DDoS攻撃、也使用wireshark做調査解析、且花費時間。所以為了縮短分析時間、且預防類今後類似事情、所以決定要更効率的運用視覺化的圖表來作為調査

藉由趨勢圖來選擇想查找的時間、且可由圖表將pcap做下載、詳細解析也變得更容易而且還能長期保存數據

monitoring

統計情報詳細情報

流量數據數據包資料

解析工具 DNS Viewer

絞り込んで抽出

因為是被動的收集數據所以對於系統沒有

影響！

自動生成實現從統計資料中

做層層挖掘來更快速找出問題點

統計情報和詳細情報的資料來源完全一致

momentum + DNS Viewer

PCAP Drill down


Technology

momentum紹介資料【中文】