01_momentum_Apps » 01_DNS_Viewer

Trend画面のRequest Response （Cache） Trend機能がIPv6に対応しました。

Trend画面のRequest Response （Cache） Trend機能の設定にIPv6のCIDRを指定できるようになりました。
連係動作するmomentum ProbeがIPv6に対応したものを使用した際に、有効な拡張です。

CacheDNSのCIDRとしてIPv4とIPv6の両方を指定する場合の設定例：

# grep -A2 "^cachedns:" /opt/momentum_client/data/config.yaml
cachedns:
  # cidr : cache dns server CIDR network (up to 2 entries) (192.168.2.0/24)
  cidr: 10.2.0.0/16 10::/64
#

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式が拡張されています。
従来の設定はそのまま継続して利用することが可能です。
今回の更新で、cachednsのcidrの設定に、IPv6のCIDRを指定することができるようになりました。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-3.01.00-20180320.tgz

TOP10 Clients画面のexclude_range_topview機能（除外レンジ機能）がIPv6に対応しました。

TOP10 Clients画面のexclude_range_topview機能（除外レンジ機能）がIPv6に対応しました。
連係動作するmomentum ProbeがIPv6に対応したものを使用した際に、有効な拡張です。

IPv4とIPv6のrangeを除外する場合の設定例：

# grep -v "#" /opt/momentum_client/data/config.yaml | grep -A 2 exclude_range_topview
exclude_range_topview:
  state: on
  cidr: 192.168.2.0/24 2001:db8::/32
#

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式が拡張されています。
従来の設定はそのまま継続して利用することが可能です。
今回の更新で、exclude_range_topviewのcidrの設定に、IPv6のCIDRを指定することができるようになりました。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-3.00.00-20180223.tgz

CentOSのリポジトリの変更に対応しました。

CentOSのrepoが変更され、これまで前提としていたRPMだけが導入された状態ではDNS viewerのinstallerが動作しない状態となったため、前提としてインストールされるRPMの情報を更新しました。
利用方法はこれまでどおりです。

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.10.00-20180213.tgz

Trend画面にJump機能が追加されました。

注目している時間帯の調査のため、前の日・次の日・前の週・次の週のそれぞれの同じ時間帯にジャンプして表示する機能が追加されました。
この機能により、注目する時間帯を、その前後の日や前後の週と比較して調査を進めることができるようになりました。

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.09.00-20180125.tgz

httpdとsshdの設定が改善されました。

潜在的に脆弱性となる可能性のあるhttpdとsshdの設定が改善されました。
DNS viewerの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.08.00-20171124.tgz

httpdの設定が改善されました。

潜在的に脆弱性となる可能性のあるhttpdの設定が改善されました。
DNS viewerの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.07.00-20171117.tgz

同梱のPSCLI-Rubyが2.8.0に更新されました。

momentum Probeから情報取得するツールとして同梱しているPSCLI-Rubyが2.8.0に更新されました。
DNS viewerの使用方法はこれまでと変わりません。

設定：

本リリースの変更に際し、DNS viewerの設定に関して、設定書式は変更されていません。
従来の設定はそのまま継続して利用することが可能です。
PSCLI-Ruby部分の設定書式は変更されていますが、DNS viewerの通常の利用において注意する必要がある部分はありません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.06.00-20171106.tgz

同梱されているPSCLI-Rubyにおいて、新しいloaderがサポートされました。

HTTPのURL情報を解釈できる仕組み（loader2_12）の利用がサポートされました。
loader2_12では、5tuple（source IP、destination IP、source port、destination port、protocol）に加え、HTTPのURLを検索条件に使った統計情報の検索が可能です。

DNS viewerの一部として使うことにおいてはなんら変更はありませんが、DNS viewerに同梱のPSCLI-Rubyを使ってloader2_12の動作するPSSを利用することができるようになりました。

動作イメージ：
DNS viewerに同梱のPSCLI-Rubyを使って、loader2_12の動作するPSSを利用する動作イメージです。
HTTP通信のpacketのURL部分に対し、前方一致、中間一致、後方一致での検索が可能です。
この動作例では、ある時間帯の通信に対し、秒毎の流量を確認、中間一致で内容を絞り込んで内容を確認、中間一致で絞り込んだ状態での秒毎の流量を確認、それをそのままpcapとして保存、を実施しています。

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c I
フィールドタイプID:
   0.TEMPLATE_ID
   1.PROTOCOL
   2.IPV4_SRC_ADDR
   3.IPV4_DST_ADDR
   4.L4_SRC_PORT
   5.L4_DST_PORT
   6.ICMP_TYPE
   70.HTTP_URL_NO_QUERY
入力インターフェース:
   1.eth1_0
   2.eth2_0
開始時間:2017/05/10 13:52:00
PCAPバッファサイズ:314572800byte
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,2367,971120
2017/05/10 10:06:28,2496,1251546
2017/05/10 10:06:29,3020,1250407
2017/05/10 10:06:30,2311,1251129
2017/05/10 10:06:31,2350,1249824
2017/05/10 10:06:32,2067,1250594
2017/05/10 10:06:33,2806,1250660
2017/05/10 10:06:34,2699,1250529
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -f '70'
HTTP_URL_NO_QUERY,パケット数,パケットサイズ
cloudtriage.terilogy.com:/packages/innova_analytics_log/js/log.js,1,542
cloudtriage.terilogy.com:/index.php/tools/packages/innova_analytics_log/post.php,2,2099
cloudtriage.terilogy.com:/files/4614/4887/3222/header_top.jpg,1,528
cloudtriage.terilogy.com:/packages/innova_template_practice/themes/innova_template_practice/css/bootstrap.css,1,566
cloudtriage.terilogy.com:/packages/innova_blog/js/jquery.leanModal.min.js,2,1065
cloudtriage.terilogy.com:/files/9914/4618/4519/top_002.gif,1,525
・
　中略
・
cloudtriage.terilogy.com:/packages/innova_blog/css/modal.css,2,1069

# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c FH -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' 
開始時間,パケット数,パケットサイズ
2017/05/10 10:06:27,0,0
2017/05/10 10:06:28,0,0
2017/05/10 10:06:29,1,141
2017/05/10 10:06:30,37,20243
2017/05/10 10:06:31,2,1368
2017/05/10 10:06:32,2,1850
2017/05/10 10:06:33,1,1036
2017/05/10 10:06:34,0,0
# ruby /opt/momentum_client/pscli/pscli.rb -a 172.16.180.9 -c P -t 20170510100627 -d 8 -s 1 -n '70=*terilogy*' -p /root/tmp/output-1.pcap
2017/05/10 10:06:27 >>> 0 byte
2017/05/10 10:06:28 >>> 0 byte
2017/05/10 10:06:29 >>> 157 byte
2017/05/10 10:06:30 >>> 20,835 byte
2017/05/10 10:06:31 >>> 1,400 byte
2017/05/10 10:06:32 >>> 1,882 byte
2017/05/10 10:06:33 >>> 1,052 byte
2017/05/10 10:06:34 >>> 0 byte
              TOTAL >>> 25,350 byte
# 

本機能により、さまざまな観点での詳細調査を実現します。

設定：
この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.05.00-20170511.tgz

Given IP機能から、その特定IPの関連する解析を行う機能が拡張されました。

現在Given IP機能から使用できる機能は次のものです。

1. 特定IPがDNSクライアントの場合の解析機能
   1. 特定のIPに関するRequest - TOP10 Names機能
   2. 特定のIPに関するRequest - TOP10 Destinations機能（ver2.04.00で追加）
   3. 特定のIPに関するResponse - RCODE機能
2. 特定IPがDNSサーバの場合の解析機能
   1. 特定のIPに関するResponse - TOP10 Destinations機能（ver2.04.00で追加）

これまでのGiven IP機能からさらに詳細に掘り下げた調査を実施できるようになりました。

画面イメージ：
Request - TOP10 Destinations from Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するRequest - TOP10 Destinations画面を利用できます。
この機能は、特定IPがDNSクライアントの場合に、どのIPに問い合わせを行っているかを可視化します。
画面例は、「10.2.140.58」に関するRequest - TOP10 Destinationsを表示した状態の画面例です。

Response - TOP10 Destinations from Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するResponse - TOP10 Destinations画面を利用できます。
この機能は、特定IPがDNSサーバの場合に、どのIPに回答を行っているかを可視化します。
画面例は、「10.2.1.1」に関するResponse - TOP10 Destinationsを表示した状態の画面例です。

また、これらの機能から関連するpcapデータをいくつもの絞り込み方式で取り出すことができます。
例としては次のような取り出しができます。

1. 対象の時間帯のすべてのpacketを含むpcapのダウンロード
2. 対象の時間帯のすべてのDNSのpacketを含むpcapのダウンロード
3. 対象の時間帯の対象のIPに関するすべてのpacketを含むpcapのダウンロード

本機能により、さまざまな観点での詳細調査を実現します。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.04.00-20170406.tgz

特定のIPに関するResponse RCODE機能が追加されました。

Given IP機能から、その特定IPの関連するResponse RCODE機能を利用できるようになりました。
この機能により、注目する特定のIPがどのようなRCODEのDNS responseを受信する結果となる通信を実施しているのかを確認することができます。

これまでのGiven IP機能からさらに詳細に掘り下げた調査を実施できるようになりました。

画面イメージ：
Response RCODE to Given-IP画面
Given IP機能のDetail viewグラフのサブメニューから、対象データに関するResponse RCODE画面を利用できます。
画面例は、「10.2.200.159」に関するResponse RCODEを表示した状態の画面例です。

また、これらの機能から関連するpcapデータをいくつもの絞り込み方式で取り出すことができます。
例としては次のような取り出しができます。

1. 対象の時間帯のすべてのpacketを含むpcapのダウンロード
2. 対象の時間帯のすべてのDNSのpacketを含むpcapのダウンロード
3. 対象の時間帯の対象のIPに関するすべてのpacketを含むpcapのダウンロード

本機能により、さまざまな観点での詳細調査を実現します。

この機能拡張に際し、設定ファイルに変更は行われていません。

設定については、 wiki - 設定ファイル と wiki - NXDomain通知用設定 を参照ください。

upgrade時に引継ぎができる要素は、次のとおりです。

ダウンロード：
DNSviewer-2.03.00-20161017.tgz