BRNO UNIVERSITY OF TECHNOLOGY FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS MASTER S THESIS AUTHOR

ˇ ´ UCEN ´I TECHNICKE ´ V BRNE ˇ VYSOKE BRNO UNIVERSITY OF TECHNOLOGY

ˇ ´ICH TECHNOLOGI´I FAKULTA INFORMACN ˇ ´ICH SYSTEM ´ ´ U ˚ USTAV INFORMACN FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

´ PRO UZIVATELEM ˇ ˇ ´IZENE ´ QOS SYSTEM R

´ PRACE ´ DIPLOMOVA MASTER’S THESIS

´ AUTOR PRACE AUTHOR

BRNO 2007

ˇ OLDRICH PLCHOT

ˇ ´ UCEN ´I TECHNICKE ´ V BRNEˇ VYSOKE BRNO UNIVERSITY OF TECHNOLOGY

ˇ ´ICH TECHNOLOGI´I FAKULTA INFORMACN ˇ ´ICH SYSTEM ´ ´ U ˚ USTAV INFORMACN FACULTY OF INFORMATION TECHNOLOGY DEPARTMENT OF INFORMATION SYSTEMS

´ PRO UZIVATELEM ˇ ˇ ´IZENE ´ QOS SYSTEM R USER ORIENTED QOS SYSTEM

´ DIPLOMOVA´ PRACE MASTER’S THESIS

´ AUTOR PRACE

ˇ OLDRICH PLCHOT

AUTHOR

´ VEDOUC´I PRACE SUPERVISOR

BRNO 2007

ˇ KASP ˇ AREK ´S ´ Ing. TOMA

Abstrakt Tento diplomov´ y projekt se zab´ yv´a moˇznostmi operaˇcn´ıho syst´emu GNU/Linux v oblasti zajiˇstˇen´ı kvality poskytovan´ ych s´ıt’ov´ ych sluˇzeb. Pr´ace porovn´av´a a hodnot´ı prostˇredky k zajiˇstˇen´ı kvality sluˇzeb dostupn´e v operaˇcn´ım syst´emu GNU/Linux. C´ılem pr´ace je diskutovat nedostatky a pˇrednosti tˇechto prostˇredk˚ u a navrhnout syst´em, kter´ y ˇreˇs´ı problematiku zajiˇstˇen´ı kvality sluˇzeb. Navrˇzen´ y syst´em vyuˇz´ıv´a heuristiky, kter´a umoˇzn´ı uˇzivateli nastavit kvalitu sluˇzeb i bez nutnosti studovat specifick´e vlastnosti komunikaˇcn´ıch protokol˚ u na u ´rovni s´ıt’ov´e nebo aplikaˇcn´ı vrstvy. Souˇc´ast´ı projektu je tak´e teoretick´ yu ´vod do problematiky kvality sluˇzeb a architektury poˇc´ıtaˇcov´ ych s´ıt´ı.

Kl´ıˇ cov´ a slova Linux, TCP/IP, IPv6, kvalita sluˇzeb, QoS, Iptables, router, HTB, j´adro, ISO/OSI, paket, hlaviˇcka paketu, neuronov´e s´ıtˇe, klasifikace, datov´ y tok, pcap

Abstract This master’s thesis deals with the possibilities how to guarantee the quality of service in the area of computer networks using a GNU/Linux operating system. This work compares and evaluates tools which are necessary to guarantee the quality of service. The goal of this work is to discuss the advantages and disadvantages of these tools and to design a system which handles the problem of quality of service. Designed system uses a heuristics, which allows the user to set up the quality of service system without studying specific properties of communication protocols on the network or application layer. This work also includes a theoretical introduction into the quality of service and computer networks.

Keywords Linux, TCP/IP, IPv6, quality of service, QoS, Iptables, router, HTB, kernel, ISO/OSI, packet, packet header, neural networks, classification, data flow, pcap

Citace Oldˇrich Plchot: Syst´em pro uˇzivatelem ˇr´ızen´e QoS, diplomov´a pr´ace, Brno, FIT VUT v Brnˇe, 2007

Syst´ em pro uˇ zivatelem ˇ r´ızen´ e QoS Prohl´ aˇ sen´ı Prohlaˇsuji, ˇze jsem tento diplomov´ y projekt vypracoval samostatnˇe pod veden´ım Ing. Tom´ aˇse Kaˇsp´ arka. Uvedl jsem vˇsechny liter´arn´ı prameny a publikace, ze kter´ ych jsem ˇcerpal. ....................... Oldˇrich Plchot 15. kvˇetna 2007

Podˇ ekov´ an´ı R´ad bych na tomto m´ıstˇe podˇekoval pˇredevˇs´ım panu Ing. Tom´aˇsi Kaˇsp´arkovi za odbornou pomoc, poskytnutou pˇri ˇreˇsen´ı probl´em˚ u spojen´ ych s t´ımto projektem.

c Oldˇrich Plchot, 2007.

Tato pr´ ace vznikla jako ˇskoln´ı d´ılo na Vysok´em uˇcen´ı technick´em v Brnˇe, Fakultˇe informaˇcn´ıch technologi´ı. Pr´ ace je chr´ anˇena autorsk´ym z´ akonem a jej´ı uˇzit´ı bez udˇelen´ı opr´ avnˇen´ı autorem je nez´ akonn´e, s v´yjimkou z´ akonem definovan´ych pˇr´ıpad˚ u.

Obsah ´ 1 Uvod

5

2 Kvalita sluˇ zeb (QoS)

6

3 Z´ akladn´ı principy s´ıt’ov´ e architektury 3.1 Referenˇcn´ı OSI model . . . . . . . . . 3.2 Sada protokol˚ u TCP/IP . . . . . . . . 3.2.1 Protokol ICMP . . . . . . . . . 3.2.2 Protokol TCP . . . . . . . . . . 3.2.3 Protokol UDP . . . . . . . . . 3.3 IPv6 . . . . . . . . . . . . . . . . . . . 3.3.1 Automatick´ a konfigurace . . . 3.3.2 Bezpeˇcnost . . . . . . . . . . . 3.3.3 Kvalita sluˇzeb . . . . . . . . . .

. . . . . . . . .

8 8 9 10 11 12 12 13 14 15

4 Prostˇ redky pro podporu QoS v linuxu 4.1 Iptables - paketov´ y filter v Linuxu . . . . . . . . . . . . . . . . . . . . . . . 4.1.1 Syntaxe a pouˇzit´ı iptables . . . . . . . . . . . . . . . . . . . . . . . .

18 20 20

ˇ ızen´ı kvality sluˇ 5 R´ zeb pomoc´ı klasifikace datov´ ych tok˚ u 5.1 N´ avrh syst´emu pro ˇr´ızen´ı QoS pomoc´ı anal´ yzy datov´ ych tok˚ u . . . . . . . .

23 25

6 Implementace navrˇ zen´ eho syst´ emu 6.1 Zachyt´ av´ an´ı paket˚ u. . . . . . . . . . . . . . 6.2 Rozˇrazen´ı paket˚ u do jednotliv´ ych tok˚ u . . . 6.3 Vytvoˇren´ı charakteristick´eho vektoru . . . . 6.4 Klasifik´ ator datov´ ych tok˚ u. . . . . . . . . . 6.5 Nastaven´ı priorit paket˚ um pomoc´ı iptables . 6.6 Sch´ema ˇrad´ıc´ıch discipl´ın . . . . . . . . . .

. . . . . .

28 28 29 30 32 35 36

7 Pouˇ zit´ı a testy syst´ emu 7.1 instalace a pouˇzit´ı . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2 Testy pamˇet’ov´e sloˇzitosti a v´ ypoˇcetn´ı n´aroˇcnosti . . . . . . . . . . . . . . .

38 38 39

8 Z´ avˇ er

41

A Grafick´ e zn´ azornˇ en´ı typ˚ u provozu

45

1

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

. . . . . . . . .

. . . . . .

B Popis technick´ eho vybaven´ı B.1 Testovac´ı poˇc´ıtaˇce . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.1 Server . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . B.1.2 Pracovn´ı stanice . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

2

49 49 49 49

Seznam tabulek 3.1 3.2

ISO/OSI model . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Zn´ azornˇen´ı TCP/IP do ISO/OSI modelu . . . . . . . . . . . . . . . . . . . .

8 10

6.1

Klasifikace do tˇr´ıd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

35

7.1

Z´ avislost obsazen´e pamˇeti na poˇctu spojen´ı . . . . . . . . . . . . . . . . . .

40

3

Seznam obr´ azk˚ u 2.1

Typick´e pˇripojen´ı s´ıtˇe do internetu . . . . . . . . . . . . . . . . . . . . . . .

7

3.1 3.2 3.3

Form´ at link-local IPv6 adresy . . . . . . . . . . . . . . . . . . . . . . . . . . Form´ at IPv6 hlaviˇcky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Form´ at IPv4 hlaviˇcky . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

14 15 16

4.1

Cesta paketu j´ adrem linuxu . . . . . . . . . . . . . . . . . . . . . . . . . . .

21

5.1 5.2 5.3

Interaktivn´ı provoz pˇres SSH . . . . . . . . . . . . . . . . . . . . . . . . . . Neinteraktivn´ı provoz pˇres SSH . . . . . . . . . . . . . . . . . . . . . . . . . Sch´ema navrˇzen´eho syst´emu pro ˇr´ızen´ı QoS . . . . . . . . . . . . . . . . . .

24 25 27

6.1 6.2

Plnˇe propojen´ a dopˇredn´ a s´ıt’ s jednou skrytou vrstvou a bias neurony . . . Sigmoid´ aln´ı aktivaˇcn´ı funkce . . . . . . . . . . . . . . . . . . . . . . . . . . .

34 35

7.1

Z´ avislost obsazen´e pamˇeti na poˇctu spojen´ı . . . . . . . . . . . . . . . . . .

40

A.1 A.2 A.3 A.4 A.5 A.6

Typ Typ Typ Typ Typ Typ

45 46 46 47 47 48

1 2 3 4 5 6

-

Download . . . . . Streamovan´e video Interaktivn´ı traffic . Reˇzie spojen´ı . . . . Voice over IP . . . Upload . . . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

4

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

. . . . . .

Kapitola 1

´ Uvod Dneˇsn´ı svˇet si nelze pˇredstavit bez moˇznosti snadn´e a rychl´e komunikace, internetu a multim´edi´ı. St´ ale v´ıce poˇc´ıtaˇcov´ ych s´ıt´ı, a to jak mal´ ych, tak rozlehl´ ych, je pˇripojov´ano k internetu a vznik´ a potˇreba tyto s´ıtˇe chr´anit a zajistit jejich uˇzivatel˚ um moˇznost pohodlnˇe, bezpeˇcnˇe a efektivnˇe pracovat. Vˇetˇsina mal´ ych a stˇredn´ıch s´ıt´ı pˇripojovan´ ych do internetu ˇreˇs´ı probl´em u ´zk´eho hrdla v pˇr´ıpadˇe konektivity do t´eto mezin´arodn´ı s´ıtˇe. V mnoha pˇr´ıpadech dok´ aˇze vhodnˇe nastaven´ y syst´em pro zajiˇstˇen´ı kvality sluˇzeb na pˇr´ıstupov´em bodu do mezin´ arodn´ı s´ıtˇe uˇsetˇrit ˇcas a pen´ıze pˇripojen´ ych uˇzivatel˚ u. Tato pr´ ace se zab´ yv´ a moˇznostmi operaˇcn´ıho syst´emu GNU/Linux v oblasti s´ıt´ı a zajiˇstˇen´ı kvality sluˇzeb pro uˇzivatele pˇripojen´e do internetu. C´ılem pr´ace je porovnat moˇznosti prostˇredk˚ u k tomuto u ´ˇcelu dostupn´ ych, diskutovat jejich pˇrednosti a nedostatky a navrhnout syst´em, kter´ y ˇreˇs´ı problematiku zajiˇstˇen´ı kvality sluˇzeb. Navrˇzen´ y syst´em spojuje moˇznosti poskytovan´e standardn´ımi n´astroji dostupn´ ymi v operaˇcn´ım syst´emu GNU/Linux s nov´ ym pˇristupem ke klasifikaci s´ıt’ov´eho provozu. Souˇc´ ast´ı projektu je teoretick´ y u ´vod do problematiky kvality sluˇzeb a architektury poˇc´ıtaˇcov´ ych s´ıt´ı. V´ ysledkem je porovn´ an´ı moˇznost´ı operaˇcn´ıho sys´emu GNU/Linux slouˇzit jako platforma pro zajiˇstˇen´ı kvality s´ıt’ov´ ych sluˇzeb a implementace navrˇzen´eho syst´emu, kter´ y v re´aln´em ˇcase reaguje na provoz generovan´ y jednotliv´ ymi uˇzivateli a dok´aˇze se mu pˇrizp˚ usobovat. ’ Tento diplomov´ y projekt navazuje na roˇcn´ıkov´ y projekt Srovn´an´ı s´ıt ov´e vrstvy BSD a Linuxu, kter´ y tvoˇr´ı z´ aklady kapitoly 3 a 4. D´ale potom pr´ace navazuje na semestr´aln´ı projekt, kter´ y je souˇc´ ast´ı zad´ an´ı diplomov´eho projektu. V r´amci semestr´aln´ıho projektu byly vypracov´ any kapitoly 2,3,4 a ˇc´ast kapitoly 5. Bˇehem semestr´aln´ıho projektu byly prozkoum´ any teoretick´e mater´ı´ aly a navrˇzena architektura v´ ysledn´eho syst´emu.

5

Kapitola 2

Kvalita sluˇ zeb (QoS) V oblasti dneˇsn´ıch poˇc´ıtaˇcov´ ych s´ıt´ı znamen´a pojem kvalita sluˇzeb schopnost s´ıtˇe dosahovat poˇzadovan´ ych parametr˚ u pro r˚ uzn´e typy s´ıt’ov´ ych aplikac´ı na lince o urˇcit´e ˇs´ıˇrce p´asma, kterou je s´ıt’ pˇripojena do dalˇs´ı s´ıt’ˇe (typicky do internetu). R˚ uzn´a ˇreˇsen´ı, zab´ yvaj´ıc´ı se zajiˇstˇen´ım kvality sluˇzeb pro tyto aplikace, mus´ı poˇc´ıtat nejen s jednoduch´ ym rozdˇelen´ım ˇs´ıˇrky p´ asma, ale tak´e s chybami a probl´emy,[7] kter´e se vyskytuj´ı v nynˇejˇs´ıch s´ıt´ıch, funguj´ıc´ıch na principu pˇrep´ın´ an´ı paket˚ u. ztracen´ e pakety (packet loss) - m˚ uˇze se st´at, ˇze nˇekter´e z router˚ u, vyskytuj´ıc´ıch se v cestˇe paketu, jej nedoruˇc´ı. Tento pˇr´ıpad m˚ uˇze nastat napˇr´ıklad pˇri velk´em vyt´ıˇzen´ı nˇekter´e z cest, kter´ ymi paket proch´az´ı nebo tak´e poruchou nˇekter´eho z router˚ u. V d˚ usledku t´eto chyby potom vznik´a situace, kdy aplikace, kter´a dan´ y paket oˇcek´av´ a, poˇz´ ad´ a o jeho znovu zasl´ an´ı a zp˚ usob´ı tak zpoˇzdˇen´ı. Pokud vˇsak je sluˇzba navrˇzena tak, ˇze nen´ı nutn´e obdrˇzet kaˇzd´ y paket, pak pokraˇcuje v ˇcinnosti, ale je ovlivnˇena touto chybou (napˇr´ıklad kr´ atk´ y v´ ypadek zvuku nebo artefakty v obraze). zpoˇ zdˇ en´ı (delay) - m˚ uˇze trvat r˚ uznou dobu, neˇz paket doputuje do sv´eho c´ıle d´ıky chyb´ am a nebo proto, ˇze putuje jin´ ymi cestami, aby se vyhnul zahlcen´ ym tras´am. Tato doba je pro nˇekter´e aplikace kritick´a a pokud ji nedok´aˇzeme udrˇzet pod urˇcitou hranic´ı, tak doch´ az´ı ke zhorˇsen´ı kvality sluˇzby, pˇr´ıpadnˇe k jej´ı nefunkˇcnosti. zkreslen´ı (jitter) - nast´ av´ a, kdyˇz pakety doraz´ı do c´ıle s r˚ uzn´ ym zpoˇzdˇen´ım. Je probl´emem zejm´ena pro interaktivn´ı pˇrenos audia nebo videa. nespr´ avn´ e poˇ rad´ı paket˚ u - je bˇeˇzn´e, ˇze pakety proch´azej´ı velk´ ym mnoˇzstv´ım router˚ u, kter´e je mohou poslat r˚ uzn´ ymi cestami, a t´ım p´adem tak´e zp˚ usob´ı r˚ uzn´e zpoˇzdˇen´ı a pakety jsou doruˇceny v jin´em poˇrad´ı, neˇz byly vysl´any. Pro nˇekter´e sluˇzby to nepˇredstavuje ˇz´ adn´ y probl´em, ale napˇr´ıklad pro pˇrenos hlasu a videa je spr´avn´e poˇrad´ı obdrˇzen´ ych paket˚ u velmi d˚ uleˇzit´e. chyba v pˇ renosu - pokud bˇehem cesty doˇslo ke zmˇenˇe jednoho nebo v´ıce bit˚ u paketu a oprava chyb v transportn´ı vrstvˇe nedok´aˇze data opravit do spr´avn´eho stavu, tak je s paketem jedn´ ano, jako by byl ztracen a je vyˇz´ad´ano jeho opˇetovn´e zasl´an´ı. Tyto chyby z´ avis´ı na aktu´ aln´ım stavu s´ıtˇe, kter´ y nejsme schopni ovlivnit a je nemoˇzn´e s urˇcitost´ı pˇredpovˇedˇet, kdy nastanou. Nejˇcastˇejˇs´ımi pˇr´ıˇcinami tˇechto chyb b´ yv´a zahlcen´ı nˇekter´e z cest, kter´ ymi jsou pakety routov´any k c´ıli. D˚ uleˇzit´ ym krokem pro zajiˇstˇen´ı kvality sluˇzeb je eliminov´ an´ı u ´zk´ ych hrdel s´ıtˇe. V pˇr´ıpadˇe velk´ ych telekomunikaˇcn´ıch spoleˇcnost´ı, 6

poskytuj´ıc´ıch pˇr´ıstup k p´ ateˇrn´ım s´ıt´ım o velmi vysok´e propustnosti, mus´ı b´ yt s´ıt’ dimenzov´ana tak, aby nedoch´ azelo k jej´ımu zahlcov´an´ı a nebo aby byla pˇredem zajiˇstˇena kvalita sluˇzby. K tomuto u ´ˇcelu existuje napˇr´ıklad protokol RSVP (Resource Reservation Protocol, RFC 2205), kter´ y je navrˇzen za u ´ˇcelem rezervace kapacity pro poˇzadovan´e sluˇzby skrze celou s´ıt’. Podpora tˇechto protokol˚ u je potom obsaˇzena v kaˇzd´em routeru p´ateˇrn´ı s´ıtˇe a zajiˇst’uje ´ ym hrdlem se tedy v mnoha pˇr´ıpadech st´ tak jej´ı vysokou u ´roveˇ n pˇri zajiˇstˇen´ı sluˇzeb. Uzk´ av´ a bod, ve kter´em doch´ az´ı k napojen´ı do t´eto s´ıtˇe. T´ımto zp˚ usobem jsou vˇetˇsinou pˇripojeni bud’ menˇs´ı poskytovatel´e pˇripojen´ı k internetu nebo r˚ uzn´e firmy, kter´e maj´ı sjedn´anu linku o garantovan´e kapacitˇe s oper´atorem, kter´ y m´ a moˇznosti a prostˇredky zajistit s velkou spolehlivost´ı poˇzadovanou ˇs´ıˇrku p´asma. Zajiˇstˇen´ı kvality sluˇzeb pro tyto menˇs´ı subjekty spoˇc´ıv´a tedy pˇredevˇs´ım v prevenci zahlcen´ı sv´eho pˇr´ıstupov´eho bodu. K tomu, abychom byli schopni kontrolovat kvalitu sluˇzeb na urˇcit´e lince, mus´ıme m´ıt pod kontrolou obˇe strany toku dat. Pokud bychom pˇripojili do p´ateˇrn´ı s´ıtˇe pˇr´ımo nˇejak´e koncov´e zaˇr´ızen´ı, pak m˚ uˇzeme u ´ˇcinnˇe kontrolovat pouze tok dat, kter´ y na tomto zaˇr´ızen´ı vznik´ a a putuje do p´ateˇrn´ı s´ıtˇe. Druh´ y smˇer, odkud data pˇrich´azej´ı, m´a pod kontrolou telekomunikaˇcn´ı oper´ ator, kter´ y obvykle vyhrad´ı pouze smluvenou kapacitu a dalˇs´ı kroky k ˇr´ızen´ı kvality sluˇzeb v tomto bodˇe zpravidla jiˇz neposkytuje. Aby bylo moˇzn´e kontrolovat oba dva smˇery toku dat a zajistit nad nimi v r´amci moˇznost´ı poˇzadovan´e parametry, tak je tˇreba, v bodˇe pˇripojen´ı k p´ateˇrn´ı s´ıti, zaˇradit router, kter´ y je schopen definovat kvalitu sluˇzeb.

Obr´ azek 2.1: Typick´e pˇripojen´ı s´ıtˇe do internetu

K tomu, aby byl router schopen efektivnˇe kontrolovat tok dat, pˇredch´azet zahlcen´ı a kontrolovat tak poˇzadovan´e parametry, je nutn´e obˇetovat urˇcitou ˇc´ast ze sjednan´e kapacity linky ve prospˇech ˇr´ızen´ı kvality sluˇzeb. Pokud je linka plnˇe vyt´ıˇzena a fronty na jej´ım koncov´em bodˇe jsou pln´e, zaˇcne doch´azet k zahazov´an´ı paket˚ u, coˇz zp˚ usob´ı zpoˇzdˇen´ı, a to je pro velkou ˇc´ ast aplikac´ı probl´em. Pokud bychom nesn´ıˇzili rychlost linky na vstupn´ım routeru, tak by doch´ azelo k tvoˇren´ı tˇechto front na v´ ystupn´ı stranˇe poskytovatele a router by tedy nebyl schopen kontrolovat pˇr´ıchoz´ı tok dat. Jakmile je na vstupn´ım routeru nastavena rychlost menˇs´ı neˇz na vstupn´ı lince, tak se tyto fronty pˇresunou na v´ ystup do vnitˇrn´ı s´ıtˇe, kter´ y je pod kontrolou routeru a je moˇzn´e nad nimi prov´adˇet operace, kter´e umoˇzn´ı zajistit parametry poˇzadovan´e jednotliv´ ymi sluˇzbami. Pokud paket doraz´ı k routeru a nem˚ uˇze b´ yt okamˇzitˇe odesl´an, tak je zaˇrazen do fronty. Kdyby nebyla definov´ ana ˇz´ adn´ a pravidla kvality sluˇzeb, musel by tento paket ˇcekat, neˇz budou odesl´ any vˇsechny pˇredchoz´ı pakety. To by vˇsak opˇet zp˚ usobilo zpoˇzdˇen´ı. Vstupn´ı router ale dok´ aˇze takov´ y paket zaˇradit na zaˇc´atek fronty a umoˇznit tak napˇr´ıklad aplikaci pro streamov´ an´ı audia neruˇsen´ y provoz.

7

Kapitola 3

Z´ akladn´ı principy s´ıt’ov´ e architektury 3.1

Referenˇ cn´ı OSI model

OSI (Open System Interconnection) je ISO standard, kter´ y vznikl v roce 1978 a zrevidov´ an byl v roce 1984. Popisuje r´ amec s´ıt’ov´e komunikace pro implementaci protokol˚ u v sedmi vrstv´ach. OSI model je zkonstruov´an tak, ˇze ˇr´ızen´ı je pˇred´av´ano z jedn´e vrstvy do druh´e, a to takov´ ym zp˚ usobem, ˇze kaˇzd´ a vrstva m˚ uˇze komunikovat pouze se svou sousedn´ı vrstvou. Referenˇcn´ı OSI model m´ a sedm vrstev, pro kter´e plat´ı n´asleduj´ıc´ı principy: • vrstva by mˇela b´ yt vytvoˇrena tam, kde je potˇreba dos´ahnout r˚ uzn´eho typu abstrakce, • kaˇzd´ a vrstva by mˇela vykon´avat pouze jasnˇe definovan´e funkce, • funkce kaˇzd´e vrstvy by mˇela b´ yt vybr´ana s ohledem na definov´an´ı mezin´arodnˇe uzn´ avan´ ych a standardizovan´ ych protokol˚ u, • rozsah vrstvy by mˇel b´ yt zvolen tak, aby se minimalizoval datov´ y tok mezi zaˇr´ızen´ımi, • poˇcet vrstev by mˇel b´ yt natolik velk´ y, aby nemusely b´ yt rozd´ıln´e funkce sluˇcov´any do jedn´e vrstvy a natolik mal´ y, aby se architektura nestala nepraktickou. Aplikaˇ cn´ı vrstva Tato nejvyˇsˇs´ı vrstva definuje, jak´ ym zp˚ usobem m˚ uˇze aplikace bˇeˇz´ıc´ı na jednom syst´emu komunikovat s aplikac´ı na jin´em syst´emu, ˇc´ımˇz umoˇzn ˇuje aplikac´ım pˇr´ıstup ke komunikaˇcn´ım kan´al˚ um a n´aslednou spolupr´aci. 7 6 5 4 3 2 1

Aplikaˇcn´ı vrstva – Application Layer Prezentaˇcn´ı vrstva – Presentation Layer Relaˇcn´ı vrstva – Session Layer Transportn´ı vrstva – Transport Layer S´ıt’ov´ a vrstva – Network Layer Vrstva datov´ ych spoj˚ u – Data Link Layer Fyzick´ a vrstva – Physical Layer

http, ftp, SMTP SSL, TLS TCP TCP, UDP, SCTP IP, ICMP, ARP Ethernet, ATM, PPP DSL, ISDN, 100BASE-T

Tabulka 3.1: ISO/OSI model 8

Prezentaˇ cn´ı vrstva Vrstva poskytuje nez´avislost na rozd´ıln´e reprezentaci dat tak, ˇze pˇrev´ ad´ı data z aplikaˇcn´ıho do s´ıtov´eho form´atu a naopak. Poskytuje napˇr´ıklad kompresi dat nebo ˇsifrov´ an´ı a t´ım zajiˇst’uje, ˇze proch´azej´ıc´ı komunikace je ve spr´avn´e formˇe, kter´e rozum´ı pˇr´ıjemce. Programy v t´eto vrstvˇe urˇcuj´ı tˇri z´akladn´ı vlastnosti. Datov´e form´ aty, napˇr´ıklad ASCII, nebo bin´arn´ı form´at dat, kompatibilitu s operaˇcn´ım syst´emem hostitelsk´eho poˇc´ıtaˇce a zapouzdˇren´ı dat do zpr´av tak, aby mohly b´ yt ’ pos´ıl´ any pˇres poˇc´ıtaˇcovou s´ıt . Relaˇ cn´ı vrstva Tato vrstva vytv´aˇr´ı, udrˇzuje a ukonˇcuje spojen´ı mezi aplikacemi. V internetov´ ych aplikac´ıch je kaˇzd´e sezen´ı pˇriˇrazeno k urˇcit´emu portu, coˇz je ˇc´ıslo pˇridruˇzen´e ke konkr´etn´ı vyˇsˇs´ı vrstvˇe aplikace. Napˇr´ıklad http server m´a obvykle ˇc´ıslo portu 80. ˇ ısla port˚ C´ u pˇridruˇzen´ ych k hlavn´ım internetov´ ym aplikac´ım jsou pˇriˇrazov´ana organizac´ı IANA (Internet Assisgned Numbers Authority) a m˚ uˇzeme je nal´ezt v souboru ˇ ısla port˚ /etc/services. C´ u menˇs´ı neˇz 1024, naz´ yvan´e tak´e privilegovan´e porty, mohou b´ yt otevˇrena pouze superuˇzivatelem. Klienti, kteˇr´ı se pˇripojuj´ı k tˇemto port˚ um si mohou b´ yt jisti, ˇze na nich bˇeˇz´ı nˇekter´a ze standardn´ıch sluˇzeb a ne libovoln´a sluˇzba puˇstˇen´ a uˇzivatelem. Vˇetˇsina port˚ u je nicm´enˇe k dispozici k dynamick´emu pˇriˇrazen´ı ostatn´ım aplikac´ım. Transportn´ı vrstva Tato vrstva poskytuje transparentn´ı pˇrenos dat mezi jednotliv´ ymi koncov´ ymi syst´emy nebo poˇc´ıtaˇci a je zodpovˇedn´a za kontrolu chyb a jejich opravu. Kompletnˇe zajiˇst’uje datov´ y pˇrenos. S´ıt’ov´ a vrstva Poskytuje pˇrep´ınac´ı a smˇerovac´ı technologie pro pˇren´aˇsen´ı dat, pˇrekl´ad´ a logick´e adresy a jm´ena na fyzick´e adresy a urˇcuje optim´aln´ı cestu paketu ze zdroje do c´ıle. Vytv´ aˇr´ı logick´e cesty, kter´e jsou zn´amy jako virtu´aln´ı okruhy (virtual circuits). Jej´ımi funkcemi jsou tak´e pˇresmˇerov´av´an´ı, kontrola chyb, kontrola zahlcen´ı a ˇrazen´ı paket˚ u. Vrstva datov´ ych spoj˚ u Zajiˇst’uje pˇrenos dat tam i zpˇet pˇres fyzick´e spojen´ı v s´ıti, dˇel´ı odchoz´ı data do r´ amc˚ u, kontroluje integritu pˇrijat´ ych dat, spravuje pˇr´ıstup k m´ediu ’ a pouˇzit´ı m´edia a zajiˇst uje spr´avn´e ˇrazen´ı paket˚ u. Tyto funkce jsou vˇetˇsinou poskytov´ any ovladaˇcem s´ıt’ov´e karty, obecnˇeji hardwarem zodpovˇedn´ ym za propojen´ı stroje do s´ıtˇe. Takov´e zaˇr´ızen´ı se oznaˇcuje jako NIC (Network Inteface Card). Fyzick´ a vrstva Tato vrstva vytv´aˇr´ı bitov´ y proud (elektrick´e impulzy, svˇeteln´ y, nebo radiov´ y sign´ al atd.) pˇres komunikaˇcn´ı m´edium na elektrick´e a mechanick´e u ´rovni. Zpˇr´ıstupˇ nuje hardware ve smyslu odes´ıl´an´ı a pˇrij´ım´an´ı dat na nosiˇci.

3.2

Sada protokol˚ u TCP/IP

Z´akladem pro pˇrenos informac´ı vyˇsˇs´ımi protokoly se stal uˇz roku 1980 protokol IP (Internet Protocol). 1 Je pouˇz´ıv´ an na paketovˇe orientovan´ ych s´ıt´ıch a zajiˇst’uje pˇrenos paketu, aniˇz by garantoval u ´spˇeˇsnost doruˇcen´ı, pˇr´ıpadnˇe zajiˇst’oval spr´avnost doruˇcen´ ych dat. Tyto u ´koly pˇrenech´ av´ a vyˇsˇs´ım protokol˚ um, kter´ ym poskytuje abstrakci nad pˇrenosov´ ym m´ediem a umoˇzn ˇuje tak spojovat s´ıtˇe r˚ uzn´ ych typ˚ u (napˇr. ethernet, ATM, FDDI). C´ılem protokolu 1

Tento protokol byl definov´ an jako standard uˇz v lednu roku 1980 v RFC 760 a do podoby pouˇz´ıvan´e dodnes a zn´ am´e jako IPv4 byl upraven v z´ aˇr´ı 1981 dokumentem RFC 791.

9

Referenˇ cn´ı ISO/OSI model Aplikaˇcn´ı vrstva Prezentaˇcn´ı vrstva

TCP/IP S´ıt’ov´e aplikace Rozhran´ı soket˚ u

Relaˇcn´ı Vrstva Transportn´ı vrstva S´ıt’ov´ a vrstva Vrstva datov´ ych spoj˚ u Fyzick´ a vrstva

TCP UDP IP ICMP ARP, RARP, NDIS Fyzick´e rozhran´ı s´ıt’ov´eho zaˇr´ızeni

Tabulka 3.2: Zn´azornˇen´ı TCP/IP do ISO/OSI modelu IP je poskytnout vˇsem zaˇr´ızen´ım v internetu jedineˇcnou adresu v jednodn´em adresn´ım prostoru a umoˇznit tak jejich komunikaci. Protokol TCP/IP byl p˚ uvodnˇe vyvinut jako vˇedeck´ y experiment na univerzitˇe v Berkeley a postupnˇe se stal kl´ıˇcovou technologi´ı Internetu. Protokoly TCP/IP poskytuj´ı uˇzivatel˚ um z´akladn´ı sluˇzby jako napˇr´ıklad World Wide Web (WWW), E-mail a dalˇs´ı. Podobnˇe jako ISO/OSI m´ a vrstvovou architekturu. TCP/IP nen´ı v konfliktu s ISO/OSI standardem a naopak, protoˇze oba dva modely byly vyvinuty soubˇeˇznˇe, ale existuj´ı mezi nimi urˇcit´e rozd´ıly. Nejvˇetˇs´ı rozd´ıl mezi OSI architekturou a TCP/IP je ve zp˚ usobu ˇreˇsen´ı probl´em˚ u ’ nad transportn´ı vrstvou a v s´ıt ov´e vrstvˇe. OSI m´a relaˇcn´ı a prezentaˇcn´ı vrstvu, kdeˇzto TCP/IP kombinuje tyto dvˇe vrstvy do aplikaˇcn´ı vrstvy. Potˇreba implementace protokolu, kter´ y neudrˇzuje stav spojen´ı tak´e pˇrinutila TCP/IP zkombinovat fyzickou vrstvu a vrstvu datov´ ych spoj˚ u do jedn´e vrstvy. TCP/IP je zkratkou dvou nejpouˇz´ıvanˇejˇs´ıch protokol˚ u. TCP (Transmission Control Protocol) je protokol transportn´ı vrstvy, kter´ y pˇrev´ad´ı zpr´avy do posloupnosti paket˚ u na zdrojov´em uzlu a potom je zase sestavuje do p˚ uvodn´ıch zpr´av na c´ılov´em uzlu s´ıtˇe. IP (Internet Protocol) je protokol s´ıt’ov´e vrstvy, kter´ y spravuje adresov´an´ı tak, aby pakety mohly b´ yt smˇerov´ any skrze uzly nebo i cel´e s´ıtˇe pracuj´ıc´ı s r˚ uzn´ ymi komunikaˇcn´ımi protokoly. TCP/IP n´am umoˇzn ˇuje propojen´ı poˇc´ıtaˇc˚ u na aplikaˇcn´ı u ´rovni, coˇz n´am umoˇzn ˇuje zav´adˇet s´ıt’ov´e sluˇzby, kter´e jsou identifikov´ any pomoc´ı port˚ u. Implementaci s´ıt’ov´eho stacku v syst´emech unixov´eho typu si tedy m˚ uˇzeme pˇredstavit tak, jak je zn´ azornˇeno v tabulce. Jde rovnˇeˇz o v´ıcevrstv´ y model, kde urˇcit´e ˇc´asti pln´ı jednu nebo v´ıce funkc´ı z modelu ISO/OSI. V souˇcasn´ ych syst´emech nejv´ıce pˇrevl´ad´a pr´avˇe pouˇzit´ı sady protokol˚ u TCP/IP d´ıky jeho jednoduch´e koncepci, a t´ım p´adem tak´e snadn´e implementaci. Rozˇs´ıˇren´ı tohoto protokolu bylo zp˚ usobeno pˇredevˇs´ım rozmachem internetu a popt´avkou po levn´ ych, ale souˇcasnˇe rychl´ ych s´ıt’ov´ ych zaˇr´ızen´ıch. Kvalitn´ı podpora TCP/IP je absolutn´ı nutnost´ı jak´ehokoliv dnes pouˇz´ıvan´eho operaˇcn´ıho syst´emu. GNU Linux i *BSD syst´emy, kde bylo TCP/IP p˚ uvodnˇe vytvoˇreno, poskytuj´ı v t´eto oblasti sluˇzby na nadstandardn´ı u ´rovni.

3.2.1

Protokol ICMP

Internet Control Message Protocol se star´a o distribuci chybov´ ych a kontroln´ıch zpr´ av zas´ılan´ ych jak routery, tak koncov´ ymi zaˇr´ızen´ımi v s´ıti. Tyto zpr´avy nejsou vˇetˇsinou generov´ any uˇzivatelsk´ ymi aplikacemi, aˇckoliv existuj´ı aplikace jako napˇriklad ping nebo traceroute, pomoc´ı kter´ ych je moˇzno rychle a jednoduˇse diagnostikovat z´akladn´ı stav s´ıtˇe.[5] 10

Datagramy protokolu ICMP jsou pˇren´aˇseny protokolem IP a poskytuj´ı zaˇr´ızen´ım v s´ıti informace o stavu s´ıtˇe. Tyto informace jsou vyuˇz´ıv´any pˇredevˇs´ım routery, kter´e mohou na jejich z´akladˇe zmˇenit sv´e chov´ an´ı tak, aby byla zachov´ana jejich funkce na co nejlepˇs´ı u ´rovni. M˚ uˇze j´ıt napˇr´ıklad o v´ ybˇer nejvhodnˇejˇs´ı trasy pro smˇerovan´e pakety, nebo o vyuˇzit´ı alternativn´ı trasy pˇri v´ ypadku nˇekter´eho sousedn´ıho routeru.2 ICMP byl jako standard definov´an uˇz v z´aˇr´ı roku 1981 a je pops´ an dokumentem RFC 792. Tento protokol je vyuˇz´ıv´an pouze nad komunikac´ı pomoc´ı IPv4. Pro nov´ y protokol IPv6 je definov´ana nov´a verze ICMP naz´ yvan´ a tak´e ICMPv6, kter´ a v sobˇe kombinuje funkce nˇekolika dalˇs´ıch protokol˚ u pouˇz´ıvan´ ych spolu s IPv4. ICMPv6 zahrnuje funkce pˇredchoz´ıho ICMP, IGMP (Internet Group Protocol) a ARP (Address Resolution Protocol).[6]

3.2.2

Protokol TCP

Tento protokol tvoˇr´ı z´ aklad dneˇsn´ı s´ıt’ov´e komunikace a je pouˇz´ıv´an pro sestaven´ı spojen´ı, ’ kter´e zajiˇst uje spolehliv´ y a bezporuchov´ y pˇrenos dat. Nav´ıc je zajiˇstˇeno, ˇze data budou aplikaci dod´ ana v takov´em poˇrad´ı, v jak´em byla vysl´ana. Takov´ ychto spojen´ı mezi jednotliv´ ymi koncov´ ymi body m˚ uˇze b´ yt v´ıce a kaˇzd´e z nich je jednoznaˇcnˇe urˇceno ˇctveˇric´ı zdrojov´ a ip adresa, zdrojov´ y port, c´ılov´ a ip adresa a c´ılov´ y port. Protokol TCP pracuje s proudem dat, kter´ y generuje pˇr´ısluˇsn´ a aplikace. Tento proud dat je d´ale rozdˇelen na segmenty obvykle o maxim´ aln´ı moˇzn´e velikosti (MTU - Maximum Transmision Unit), kter´e podporuje linkov´a vrstva zaˇr´ızen´ı pˇripojen´eho do s´ıtˇe. Tyto segmenty - pakety jsou pot´e pˇred´any do niˇzˇs´ı vrstvy, kde jsou zpracov´ any protokolem IP, kter´ y zajist´ı samotn´ y pˇrenos paketu skrze ’ s´ıt druh´e stranˇe. Pak jej IP pˇred´ a protokolu TCP, kter´ y provede kontroln´ı souˇcet a zjist´ı, zda pˇri pˇrenosu nedoˇslo k chybˇe. Pokud byl paket v poˇr´adku pˇrenesen, pak TCP poˇsle potvrzen´ı, ˇze byl paket pˇrijat. Pokud dojde k chybˇe, tak je vyˇz´ad´ano znovuzasl´an´ı paketu. Pokud vys´ılaj´ıc´ı strana neobdrˇz´ı potvrzen´ı v urˇcit´em ˇcase (RTT - Round Trip Time), tak nast´av´ a timeout a odesl´ an´ı pˇr´ısluˇsn´eho paketu je opakov´ano. Protokol TCP dok´ aˇze tak´e urˇcit´ ym zp˚ usobem zamezovat zahlcen´ı linky. D´ıky ˇcasovaˇc˚ um a zas´ıl´an´ı potvrzen´ı jsou vys´ılaj´ıc´ı strany schopny odhadnout podm´ınky na s´ıti a adekv´atnˇe k nim pak pˇrizp˚ usobit datov´ y tok. Tato kontrola datov´eho toku ale vych´az´ı pouze z informac´ı z´ıskan´ ych z koncov´ ych uzl˚ u spojen´ı. Zp˚ usob, jak´ ym teˇcou data mezi koncov´ ymi body, uˇz m´a na starosti protokol IP, kter´ y pracuje na tˇret´ı vrstvˇe podle ISO/OSI. Na ˇctvrt´e vrstvˇe, kde pracuje protokol TCP tedy nen´ı moˇzn´e pˇresnˇe urˇcit, co zp˚ usobuje zahlcen´ı, pˇr´ıpadnˇe z jak´eho d˚ uvodu. TCP vych´ az´ı pouze z informac´ı o nutnosti pˇreposlat urˇcit´e segmenty dat. Nicm´enˇe TCP mus´ı b´ yt schopno tuto situaci ˇreˇsit, aby nedoˇslo k u ´pln´emu zahlcen´ı linky a t´ım p´adem tak´e k nefunkˇcnosti sluˇzeb vyuˇz´ıvaj´ıc´ıch TCP. Kaˇzd´ y vys´ılan´ y segment dat je um´ıstˇen do fronty s ˇcasovaˇcem, kter´ y urˇc´ı, za jak dlouho m´a b´ yt paket pˇreposl´ an. Pokud by z jak´ehokoliv d˚ uvodu na s´ıti doˇslo k velk´emu zv´ yˇsen´ı provozu a k zahlcen´ı a neexistovaly by mechanismy, kter´e se s touto situac´ı vyrovnaj´ı, tak by nastal´ a situace jeˇstˇe zv´ yˇsila souˇcasn´e zahlcen´ı. Doˇslo by k tomu z toho d˚ uvodu, ˇze by nˇekter´e segmenty nebyly pˇreneseny nebo byly pˇreneseny pozdˇe, coˇz by zp˚ usobilo jejich opˇetovn´e vysl´ an´ı a jeˇstˇe d´ ale zat´ıˇzilo s´ıt’ a situace by mohla doj´ıt tak daleko, ˇze by byla s´ıt’ naprosto nepouˇziteln´ a. T´ım, ˇze TCP urˇc´ı u ´roveˇ n, pˇri kter´e nejsou vys´ılan´e pakety potvrzov´any protˇejˇskem, z´ısk´ a informaci, kter´ a je pouˇzita pˇri zamezen´ı zahlcen´ı. P˚ uvodn´ı standard RFC 793 neobsahoval t´emˇeˇr ˇz´ adn´e instrukce, jak se vyh´ ybat zahlcen´ı linky. Pozdˇeji se ovˇsem uk´azalo, ˇze pr´ avˇe 2 Routery v p´ ateˇrn´ıch s´ıt´ıch m´ısto protokolu ICMP ˇcasto vyuˇz´ıvaj´ı vyspˇel´e routovac´ı protokoly jako jsou napˇr´ıklad OSPF (Open Shortest Path First) nebo BGP (Border Gateway Protocol)

11

zahlcov´ an´ı linky je velk´ y probl´em a byly vyvinuty pˇr´ısluˇsn´e techniky ˇreˇsen´ı, kter´e byly nakonec shrnuty v RFC 2001. Jsou to techniky TCP Slow Start, Congestion Avoidance, Fast Restransmit a Fast Recovery Algorithms. V RFC 3168 byl pops´ an protokol ECN - Explicit Congestion Notification jako doplnˇek do sady TCP/IP. Je to signalizaˇcn´ı protokol, kter´ y m´a pˇredch´azet zahlcen´ı.

3.2.3

Protokol UDP

Tento protokol je dalˇs´ım ze sady protokol˚ u TCP/IP. Je pouˇz´ıv´an pro pˇrenos kr´atk´ ych zpr´ av naz´ yvan´ ych datagramy. UDP (User Datagram Protocol) ale na rozd´ıl od TCP nevytv´ aˇr´ı spojen´ı a neposkytuje bezporuchov´ y pˇrenos dat, pˇrenos dat ve spr´avn´em poˇrad´ı, znovu zas´ıl´an´ı ztracen´ ych paket˚ u, detekce a zahazov´an´ı duplicitn´ıch paket˚ u a podporu pro zamezov´an´ı zahlcen´ı linky. Pokud je nˇekter´a z tˇechto vlastnost´ı aplikac´ı poˇzadov´ana, tak mus´ı b´ yt zajiˇstˇena ve vyˇsˇs´ıch vrstv´ ach. D´ıky absenci reˇzie tˇechto vlastnost´ı je UDP ˇcasto rychlejˇs´ı a v´ ykonnˇejˇs´ı pro aplikace, kde je potˇreba pˇren´est rychle mnoho kr´atk´ ych zpr´av k mnoha klient˚ um. Je tak´e pouˇz´ıv´ ano k multicastu a broadcastu. Mezi konkr´etn´ı aplikace vyuˇz´ıvaj´ıc´ı tohoto protokolu patˇr´ı napˇr´ıklad DNS syst´em, aplikace pro streamov´an´ı multim´edi´ı, hlasov´e sluˇzby, poˇc´ıtaˇcov´e hry atd. T´ım, ˇze chyb´ı jak´ekoliv techniky pro zamezen´ı zahlcen´ı linky, je nutn´e implementovat tyto mechanismy do s´ıt’ov´ ych prvk˚ u, aby se pˇredeˇslo pˇr´ıpadn´emu kolapsu s´ıtˇe d´ıky nekontrolovan´emu provozu, kter´ y aplikace vyuˇz´ıvaj´ıc´ı UDP generuj´ı. V praxi jsou to vˇetˇsinou routery, kter´e d´ıky ˇrazen´ı paket˚ u do front a jejich pˇr´ıpadn´emu zahazov´an´ı dok´aˇz´ı kontrolovat datov´ y tok zp˚ usoben´ y protokolem UDP, pˇredch´azet tak zahlcen´ı a udrˇzet stanovenou u ´roveˇ n kvality i pro ostatn´ı aplikace. V souˇcasn´e dobˇe je vyv´ıjen protokol DCPP - Datagram Congestion Control Protocol (RFC 4340),/indexDCPP (Datagram Congestion Control Protocol) kter´ y zajist´ı kontrolu zahlcen´ı na niˇzˇs´ı vrstvˇe a kaˇzd´ a aplikace, kter´a tuto funkˇcnost bude poˇzadovat, nemus´ı tuto techniku sama implementovat. DCPP je urˇceno aplikac´ım, kter´e potˇrebuj´ı obousmˇern´e unicastov´e spojen´ı s kontrolou zahlcen´ı, ale nepotˇrebuj´ı spolehliv´e doruˇcen´ı datagram˚ u a doruˇcen´ı ve spr´ avn´em poˇrad´ı. Jsou to aplikace pro streamov´an´ı multum´edi´ı a hlasov´e sluˇzby.

3.3

IPv6

Tento protokol, p˚ uvodnˇe naz´ yv´ an IPng (IP next generation), byl navrˇzen jako n´asledn´ık protokolu IPv4 a v roce 1994 byl ofici´alnˇe schv´alen organizac´ı IETF (The Internet Engineering Task Force). Hlavn´ım d˚ uvodem jeho definice byla potˇreba zvˇetˇsen´ı adresov´eho prostoru, protoˇze s rozvojem internetu se uk´azalo, ˇze adresov´ y prostor, poskytovan´ y protokolem IPv4, bude zanedlouho vyˇcerp´an. IPv6 adresa m´a 128 bit˚ u oproti 32 bit˚ um adresy IPv4, coˇz poskytuje obrovsk´e mnoˇzstv´ı jedineˇcn´ ych IP adres a vyˇreˇs´ı se tak na velmi dlouhou dobu probl´em s nedostatkem adres. Aˇckoliv nedostatek IPv4 adres mˇel znaˇcnˇe urychlit n´astup IPv6, tak se tomu doposud nestalo d´ıky implementaci technik CIDR3 a NAT4 , kter´e ˇsetˇr´ı adresov´ y prostor a oddaluj´ı tak nevyhnuteln´ y n´astup nov´eho protokolu. 3

CIDR - Classless Inter-Domain Routing je zp˚ usob interpretace IP adres popsan´ y v RFC 1518 a RFC 1519, kter´ y nahradil pˇredchoz´ı syntaxi IP adres zaloˇzenou na tˇr´ıd´ ach. CIDR pˇrin´ aˇs´ı rozdˇelen´ı velk´ ych s´ıt´ı na pods´ıtˇe, ˇc´ımˇz je umoˇznˇeno efektivnˇejˇs´ı vyuˇzit´ı adresov´eho prostoru a je ulehˇceno smˇerovaˇc˚ um. 4 NAT - Network Address Translation je technika pˇrekladu veˇrejn´e IP adresy na neveˇrejn´e, kter´ a umoˇzn ˇuje pˇristupovat poˇc´ıtaˇc˚ um v priv´ atn´ı s´ıti do Internetu. Tato technika ˇsetˇr´ı adresov´ y prostor a tak´e chr´ an´ı poˇc´ıtaˇce ve vnitˇrn´ı s´ıti pˇred u ´tokem z internetu. Na druh´e stranˇe ale omezuje funkˇcnost mnoha sluˇzeb, zejm´ena tˇech, kter´e vyˇzaduj´ı umoˇznˇen´ı spojen´ı z internetu, nebo sluˇzeb vyuˇz´ıvaj´ıc´ıch bezstavov´e protokoly.

12

Tento nov´ y protokol pˇrinese ovˇsem mnohem v´ıc, neˇz jen vˇetˇs´ı adresov´ y prostor. IPv6 poskytne oproti IPv4 model, kdy se kaˇzd´ y klient s´ıtˇe bude moci spojit s jak´ ymkoliv dalˇs´ım klientem bez nejr˚ uznˇejˇs´ıch omezen´ı, kter´a vyvst´avaj´ı zejm´ena pˇri pouˇzit´ı pˇrekladu adres. Pˇri n´ avrhu protokolu byl br´an velk´ y ohled na moˇznosti ˇr´ızen´ı kvality sluˇzeb, coˇz je dalˇs´ı souˇcasn´ a slabina IPv4, kter´ y p˚ uvodnˇe s t´ımto probl´emem nepoˇc´ıtal. Je zjednoduˇsena hlaviˇcka IPv6 paketu a routery tak maj´ı ulehˇcenou pr´aci se zpracov´an´ım nov´ ych paket˚ u. Dalˇs´ımi d˚ uleˇzit´ ymi vlastnostmi je moˇznost zabezpeˇcen´ı, autentifikace a mobility. Pˇresn´ a specifikace protokolu je pops´ ana v dokumentu RFC 2460. Podpora protokolu IPv6 existuje jak v linuxov´em j´adˇre, tak v j´adrech syst´em˚ u *BSD jiˇz pomˇernˇe dlouhou dobu a tato technologie je jiˇz bez probl´em˚ u pouˇziteln´a ve vˇsech zmiˇ novan´ ych syst´emech. Implementac´ı IPv6 do linuxov´eho j´adra se zab´ yv´a projekt USAGI (Universal Playground for IPv6) a podpora je zaˇclenˇena od j´adra verze 2.2. *BSD syst´emy vyuˇz´ıvaj´ı pr´ ace projektu KAME a obsahuj´ı IPv6 od BSD 4.0. Oba dva tyto v´ yvojov´e t´ ymy samozˇrejmˇe spolupracuj´ı a tedy nejsou nijak velk´e rozd´ıly v n´avrhu a koneˇcn´em ˇreˇsen´ı podpory pro IPv6 v tˇechto syst´emech. D´a se ˇr´ıct, ˇze v t´eto oblasti jsou Linux a *BSD ekvivalentn´ı, a pokud se v nˇekter´em ze syst´em˚ u osvˇedˇc´ı nˇejak´e nov´e postupy a zp˚ usoby implementace, tak se vˇetˇsinou importuj´ı i do ostatn´ıch syst´em˚ u.

3.3.1

Automatick´ a konfigurace

Dalˇs´ı v´ yhodou oproti IPv4 je automatick´a konfigurace zaˇr´ızen´ı v s´ıti. Protokol poˇc´ıt´ a se dvˇema zp˚ usoby nastaven´ı s´ıt’ov´ ych parametr˚ u. Prvn´ım zp˚ usobem je takzvan´a stavov´ a konfigurace, coˇz vlastnˇe nen´ı nic nov´eho, protoˇze se jedn´a o konfiguraci prostˇrednictv´ım DHCPv65 serveru nebo PPP, kdy klient vyˇsle do s´ıtˇe dotaz a pˇr´ısluˇsn´ y server mu pˇridˇel´ı vˇsechny potˇrebn´e parametry, kter´e potˇrebuje vˇedˇet. Novinkou je bezstavov´ a konfigurace[8], kter´a nevyˇzaduje DHCP server. Je zaloˇzena na objevov´an´ı soused˚ u, kdy klient, kter´ y se pˇripojuje do s´ıtˇe, pos´ıl´ a multicastov´ y poˇzadavek RS (Router Solicitation), na kter´ y odpov´ı router takzvan´ ym RA (Router Advertisement) paketem. Klient nemus´ı nutnˇe pos´ılat RS paket, ale m˚ uˇze si pasivnˇe poˇckat na RA paket, kter´ y smˇerovaˇc periodicky zas´ıl´a. Z odpovˇedi smˇerovaˇce se klient dozv´ı prefix identifikuj´ıc´ı danou s´ıt’ a sestav´ı svou IP adresu z tohoto prefixu a identifil´ atoru rozhran´ı (vˇetˇsinou 64 bit˚ u), kter´ y se jednoznaˇcnˇe vygeneruje z jeho MAC adresy. Pokud je v s´ıti v´ıce smˇerovaˇc˚ u, tak klient pouˇz´ıv´a vˇsechny z nich stˇr´ıdavˇe a postupnˇe si upravuje svou smˇerovac´ı tabulku na z´akladˇe ICMPv6 zpr´av generovan´ ych tˇemito smˇerovaˇci. Jestliˇze se klinet pˇripoj´ı do s´ıtˇe, kde nejsou smˇerovaˇce, tak je schopen automaticky vygenerovat pouze tzv. link-local adresu, se kterou bude okamˇzitˇe schopen komunikovat s ostatn´ımi klienty pˇripojen´ ymi na stejn´em segmentu s´ıtˇe. Tato lok´aln´ı adresa nen´ı smˇerovateln´ a do dalˇs´ıch s´ıt´ı. Jak je vidˇet na obr´azku, tak link-local adresa m´ a dan´ y prefix fe80, dalˇs´ıch 48 bit˚ u jsou nuly a ˇc´ast interface ID je vygenerov´ana automaticky podle hardwarov´e adresy. Na m´em poˇc´ıtaˇci je napˇr´ıklad hardwarov´a adresa rozhran´ı eth0 00:13:D3:9B:E7:17 a z n´ı vygenerovan´a link local adresa fe80::213:d3ff:fe9b:e7176 Proces autokonfigurace se nevztahuje na smˇerovaˇce, kter´e mus´ı b´ yt nastaveny manu´alnˇe nebo nˇejak´ ym jin´ ym zp˚ usobem. 5

DHCP servery jsou aplikace komunikuj´ıc´ı prostˇrednictv´ım protokolu DHCP (Dynamic Host Configuration Protocol) a umoˇzn ˇuj´ı zaˇr´ızen´ım pˇripojen´ ych do s´ıtˇe poˇz´ adat o pˇridˇelen´ı IP adresy a dalˇs´ıch s´ıt’ov´ ych parametr˚ u. DHCP server pot´e pˇridˇeluje zaˇr´ızen´ım adresy z definovan´eho rozsahu, kter´ y m´ a k dispozici, tak aby nedoch´ azelo ke konflikt˚ um zaˇr´ızen´ı, kdy m´ a v´ıce zaˇr´ızen´ı stejnou IP adresu. 6 Pokud se v adrese vyskytne nˇekolik po sobˇe jdouc´ıch nulov´ ych skupin, tak je moˇzn´e je nahradit dvojic´ı dvojteˇcek. Ta se vˇsak v z´ apisu kaˇzd´e adresy sm´ı objevit jen jednou, aby z´ apis byl jednoznaˇcn´ y.

13

Obr´ azek 3.1: Form´at link-local IPv6 adresy

D´ıky autokonfiguraci je znaˇcnˇe ulehˇceno vytv´aˇren´ı a dalˇs´ı propojov´an´ı s´ıt´ı. Pˇrin´ aˇs´ı znaˇcn´e v´ yhody mobiln´ım zaˇr´ızen´ım, kter´e se mus´ı neust´ale pˇrihlaˇsovat do jin´ ych s´ıt´ı a konfigurovat sv´e parametry.

3.3.2

Bezpeˇ cnost

Uˇz d´ıky obrovsk´emu rozsahu adres je IPv6 bezpeˇcnˇejˇs´ı protokol. V´ ychoz´ı pods´ıt’ m´a 264 ˇuje u ´toˇcn´ık˚ um efektivnˇe skenovat celou pods´ıt’. I adres (pˇribliˇznˇe 18 ∗ 1018 ), coˇz neumoˇzn kdyby byl schopen u ´toˇcn´ık proskenovat 1 000 000 adres za sekundu, tak by mu trvalo v´ıce ´ cn´ıci budou muset vyvinout jin´e neˇz 500 000 let, neˇz by nalezl vˇsechny poˇc´ıtaˇce v s´ıti. Utoˇ strategie pro z´ısk´ av´ an´ı IP adres, kter´e ovˇsem nejsp´ıˇse nebudou tak pˇr´ımoˇcar´e, jednoduch´e a rychl´e jako souˇcasn´e zp˚ usoby. D´ıky rozˇs´ıˇren´ı bezstavov´eho protokolu popsan´em v RFC 3041 mohou nav´ıc klienti generovat veˇrejn´e adresy, kter´e se v ˇcase mˇen´ı. Zmˇeny adresy je dosaˇzeno zmˇenou pole interface identifier, ˇc´ımˇz se tak´e samozˇrejmˇe zmˇen´ı cel´a adresa a pro potenci´aln´ı u ´toˇcn´ıky je pak mnohem tˇeˇzˇs´ı takov´ y stroj identifikovat a napadnout. IPv6 poskytuje tak´e kryptograficky generovan´e adresy[1]. Kryptograficky generovan´ a adresa (CGA) je IPv6 adresa z´ıskan´a prostˇrednictv´ım zabezpeˇcen´eho objevov´an´ı soused˚ u (SEND - Secure Neighbour Discovery), pro kterou je vygenerov´ana ˇc´ast interface identifier na z´akladˇe vypoˇcten´ı haˇsovac´ı funkce z veˇrejn´eho kl´ıˇce a dalˇs´ıch parametr˚ u. Vazba mezi adresou a veˇrejn´ ym kl´ıˇcem m˚ uˇze b´ yt ovˇeˇrena vypoˇcten´ım haˇsovac´ı funkce a porovn´an´ım s interface ID. Zpr´ avy zas´ılan´e z takov´eto adresy mohou b´ yt chr´anˇeny pˇr´ısluˇsn´ ym soukrom´ ym kl´ıˇcem. Toto zabezpeˇcen´ı ke sv´e funkci nepotˇrebuje ˇz´adnou certifikaˇcn´ı autoritu nebo jinou bezpeˇcnostn´ı infrastrukturu. V IPv6 bylo moˇzn´e se zbavit protokolu ARP (Address Resolution Protocol), kter´ y v IPv4 zajiˇst’uje identifikaci soused˚ u na linkov´e vrstvˇe. Funkce tohoto protokolu je nahrazena nˇekolika funkcemi ICMP a dalˇs´ımi schopnostmi, kter´e jsou dohromady definov´any v protokolu objevov´ an´ı soused˚ u (ND - Neighbour Discovery). D´ıky absenci ARP bude nemoˇzn´e prov´adˇet u ´toky typu ARP cache poisioning.7 Dalˇs´ım pˇr´ınosem pro bezpeˇcnost pˇrenosu dat je sada protokol˚ u IPSec (IP Security) implementovan´ ych pˇr´ımo v IPv6. IPSec zajiˇst’uje bezpeˇcn´ y pˇrenos paket˚ u na s´ıt’ov´e vrstvˇe a v souˇcasn´e dobˇe je pouˇz´ıv´ ano pˇredevˇs´ım k implementaci virtu´aln´ıch priv´atn´ıch s´ıt´ı (VPN). Funkˇcnost, kterou pˇrin´ aˇs´ı IPSec je nezbytn´a pro nˇekter´e vlastnosti, kter´e IPv6 pˇr´ımo poskytuje. Jedn´ a se napˇr´ıklad o podporu mobiln´ıch zaˇr´ızen´ı, kde je vyˇzadov´ano autentizovan´e 7´ Utoˇcn´ıkovi se m˚ uˇze do s´ıtˇe podaˇrit vloˇzit nepravou vazbu mezi IP adresou a MAC adresou (ARP paket), ˇc´ımˇz doc´ıl´ı toho, ˇze data ze stroje obˇeti jsou doruˇcena jinam, nebo v˚ ubec nejsou doruˇcena. Situace se st´ av´ a kritickou, pokud je obˇet´ı u ´toku br´ ana. To m˚ uˇze v´est k odepˇren´ı sluˇzby pro celou s´ıt’ (DOS Attack).

14

spojen´ı mezi zaˇr´ızen´ım a jeho home-agentem.

3.3.3

Kvalita sluˇ zeb

Prvn´ım krokem ke zlepˇsen´ı kvality sluˇzeb, kterou je schopno IPv6 poskytovat, bylo v´ yrazn´e zjednoduˇsen´ı hlaviˇcky IP paketu oproti IPv4. Tato zmˇena umoˇzn´ı rychlejˇs´ı zpracov´an´ı paket˚ u, coˇz bude m´ıt za n´ asledek menˇs´ı n´aroky kladen´e na velmi vyt´ıˇzen´e routery a t´ım p´adem tak´e vˇetˇs´ı propustnost s´ıtˇe.

Obr´ azek 3.2: Form´at IPv6 hlaviˇcky

Podle RFC 2474 se v hlaviˇcce paketu nach´az´ı pole, kter´e slouˇz´ı k rozliˇsen´ı sluˇzeb v iternetu a nastaven´ı priority, s jakou bude paket zpracov´an. Tento model se naz´ yv´a Differentiated Services a nahrazuje pˇredchoz´ı pole ToS (Type of Service) v IPv4 a traffic class v IPv6. DS pole definuje per-hop behavior (PHB), coˇz je rozhodnut´ı o zp˚ usobu, jak´ ym bude paket klasifikov´ an a jak´a strategie se pouˇzije pˇri jeho odesl´an´ı. V dokumentu RFC nen´ı naˇr´ızeno, jak´ ym zp˚ usobem maj´ı syst´emy implementovat takov´eto chov´an´ı. To jak se jednotliv´ a zaˇr´ızen´ı postav´ı k moˇznosti vyuˇz´ıt t´eto vlastnosti, z´avis´ı tedy pouze na v´ yrobci, pˇr´ıpadnˇe na administr´atorovi syst´emu. To se projevilo jako nev´ yhoda, protoˇze r˚ uzn´e smˇerovaˇce se mohou k paket˚ um chovat r˚ uznˇe a nelze pˇredpovˇedˇet chov´an´ı takov´eho spojen´ı. Z komerˇcn´ıho hlediska je nemoˇzn´e zajistit r˚ uzn´e tˇr´ıdy konektivity na z´akladˇe tohoto syst´emu, protoˇze to, co jeden poskytovatel m˚ uˇze povaˇzovat za prioritn´ı provoz, druh´ y tˇreba pˇreˇrad´ı do bˇeˇzn´eho provozu. Tento zp˚ usob funguje pouze pokud vˇsichni dodrˇzuj´ı stanoven´ a pravidla. Realita je ovˇsem takov´a, ˇze nˇekter´e syst´emy jednoduˇse nastav´ı vˇetˇs´ı prioritu sv´emu provozu, i kdyˇz k tomu nemaj´ı patˇriˇcn´ y d˚ uvod. Do IP protokol˚ u byla tak´e pˇrid´ana podpora ECN (Explicit Congestion Notification, RFC 3168). Je to zp˚ usob signalizace smˇerovaˇce o zahlcen´ı linky. D´ıky aktivn´ı spr´avˇe fronty (napˇr. RED - Random Early Detection) jsou schopny smˇerovaˇce detekovat zahlcen´ı jeˇstˇe pˇred t´ım, neˇz fronta pˇreteˇce. A d´ıky ECN uˇz nejsou routery nuceny k zahazov´an´ı paket˚ u, aby indikovaly zahlcen´ı. M´ısto zahozen´ı paketu mohou nastavit pˇr´ıznak CE (Congestion

15

Obr´ azek 3.3: Form´at IPv4 hlaviˇcky

Experienced) v IP hlaviˇcce. D´ıky kombinaci tˇechto technik jsou omezeny neˇz´adouc´ı efekty, kter´e vypl´ yvaly z pˇreteˇcen´ı fronty a v´ ysledkem je nˇekolik zlepˇsen´ı: • Bude zahazov´ ano menˇs´ı mnoˇzstv´ı paket˚ u. • Zv´ yˇs´ı se vyuˇzit´ı linky d´ıky tomu, ˇze bude potˇreba m´enˇe TCP synchronizace. • T´ım, ˇze se bude udrˇzovat rozumn´a velikost fronty, se sn´ıˇz´ı zpoˇzdˇen´ı a zkreslen´ı v jednotliv´ ych toc´ıch. ˇıˇrka p´ • S´ asma bude sd´ılena v´ıce rovnocennˇe mezi jednotliv´ ymi toky. Novinkou oproti IPv4 je 20 bitov´e pole flow label zvolen´e aplikac´ı nebo j´adrem pro dan´ y soket. Flow, neboli tok, je posloupnost paket˚ u vyslan´ ych z urˇcit´eho zdroje do urˇcit´eho c´ıle, pro kterou poˇzaduje zdroj nˇejak´e speci´aln´ı zach´azen´ı pˇr´ısluˇsn´ ymi smˇerovaˇci. Jakmile je oznaˇcen´ı toku vybr´ ano, tak se po cestˇe paketu jiˇz nesm´ı mˇenit. Pokud je oznaˇcen´ı rovno nule, coˇz je v´ ychoz´ı hodnota, tak to znamen´a, ˇze paket nen´aleˇz´ı do ˇz´adn´eho toku. Hlavn´ı v´ yhoda oznaˇcen´ı toku spoˇc´ıv´ a v tom, ˇze smˇerovaˇce nemus´ı zkoumat vnitˇrek paket˚ u k tomu, aby identifikoval tok, ke kter´emu paket patˇr´ı, a to i pokud je pouˇzito ˇsifrov´an´ı. V IPv6 je kaˇzd´ y tok jednoznaˇcnˇe identifikov´an trojic´ı u ´daj˚ u (c´ılov´a adresa, zdrojov´a adresa a flow label), oproti tomu v IPv4 paketu k takov´e identifikaci potˇrebujeme pˇetici (zdrojov´ a a c´ılov´a adresa, protokol, zdrojov´ y a c´ılov´ y port). Jednoduch´a identifikace tok˚ u slouˇz´ı k jejich efektivn´ımu klasifikov´ an´ı a n´ asledn´emu pˇriˇrazen´ı priorit. V souˇcasn´e dobˇe se pracuje na n´avrhu protokolu[4], kter´ y umoˇzn´ı alokaci nezbytn´ ych prostˇredk˚ u jednotliv´emu toku nebo jejich skupinˇe na jejich cestˇe s´ıt´ı. Toto sign´aln´ı sch´ema bude vyˇzadovat podporu v hardwaru pˇr´ısluˇsn´ ych s´ıt’ov´ ych prvk˚ u (nejˇcastˇeji smˇerovaˇc˚ u). Kvalita sluˇzby tak bude nastavena v re´aln´em ˇcase bez u ´ˇcasti nˇejak´e extern´ı softwarov´e signalizaˇcn´ı struktury, jakou je napˇr´ıklad Reservation Protocol (RSVP). Tuto funkˇcnost bude moˇzn´e zaˇclenit jak do IPv4, tak IPv6 paket˚ u. U IPv6 bude s v´ yhodou pouˇzito pole 16

next header, kter´e odk´ aˇze na dalˇs´ı hlaviˇcku, kter´a bude definovat poˇzadavky toku na kvalitu sluˇzeb. V´ yhoda IPv6 spoˇc´ıv´ a v tom, ˇze dok´aˇze vyuˇz´ıt tohoto protokolu i pˇri ˇsifrovan´ ych spojen´ıch pomoc´ı IPSec, kdeˇzto s IPv4 to nen´ı bez u ´pravy IPSec moˇzn´e.

17

Kapitola 4

Prostˇ redky pro podporu QoS v linuxu Kl´ıˇcov´ ymi prvky, na kter´ ych je postavena podpora pro ˇr´ızen´ı kvality sluˇzeb v GNU Linuxu jsou tˇri z´ akladn´ı prvky: ˇ ıc´ı discipl´ına - queuing discipline • Rad´ • Tˇr´ıdy - classes • Filtry/pl´ anovaˇce/klasifik´ atory - Filters/Policers/Classifiers Pakety, pˇrich´ azej´ıc´ı z internetu, spadaj´ı pˇr´ımo do filtru, a odtud jsou pˇriˇrazeny pˇr´ısluˇsn´e ˇrad´ıc´ı discipl´ınˇe, kter´ a je n´ aslednˇe rozdˇel´ı do jednotliv´ ych tˇr´ıd. Kaˇzd´e s´ıt’ov´e zaˇr´ızen´ı v linuxu vlastn´ı frontu (v´ ychoz´ı frontou je FIFO), kter´a definuje, jak jsou zaˇrazen´e pakety ˇ ıc´ı discipl´ıny mohou b´ zpracov´ av´ any a ke kaˇzd´e frontˇe je pˇriˇrazena tˇr´ıda. Rad´ yt r˚ uzn´ ych typ˚ u. Mezi nejpouˇz´ıvanˇejˇs´ı patˇr´ı: • Class Based Queuing (CBQ) • Hiearchical Token Bucket (HTB) • First In First Out (FIFO) • Traffic Equalizer (TEQL) • Stochastic Fair Queuing (SFQ) • Random Early Detection • Generalized RED (GRED) • Priority • Hierarchical Fair Service Curve (HFSC) ˇ Razen´ ı paket˚ u do front a n´ asledn´a obsluha tˇechto front s definovanou prioritou nebo propustnost´ı je velice d˚ uleˇzit´ ym a pouˇz´ıvan´ ym zp˚ usobem zajiˇstˇen´ı poˇzadovan´e kvality sluˇzeb. Toto ˇrazen´ı se dˇeje na u ´rovni s´ıt’ov´e vrstvy podle sch´ematu ISO/OSI a je navrˇzeno tak, ˇze jakmile pakety odes´ılan´e z poˇc´ıtaˇce vstupuj´ı do s´ıt’ov´e vrstvy, tak je ˇrad´ıc´ı mechanismy 18

pˇr´ıtomn´e v j´ adˇre operaˇcn´ıho syst´emu zaˇrad´ı do front, kde ˇcekaj´ı na dalˇs´ı zpracov´an´ı. Modifikac´ı ˇrad´ıc´ıch strategi´ı m˚ uˇzeme dos´ahnout rovnocenn´eho sd´ılen´ı ˇs´ıˇrky p´asma mezi r˚ uzn´ ymi aplikacemi, uˇzivateli nebo poˇc´ıtaˇci. Takov´ y zp˚ usob oˇsetˇren´ı sd´ılen´ı linky je ale pouˇziteln´ y pouze v odchoz´ım smˇeru. Jakmile totiˇz paket doraz´ı na s´ıt’ov´e rozhran´ı v pˇr´ıchoz´ım smˇeru, tak je pozdˇe jej ˇradit do nˇejak´ ych front, protoˇze uˇz spotˇreboval urˇcitou kapacitu p´asma k tomu, ˇze byl pˇrijat vstupn´ım rozˇ sen´ım tohoto probl´emu je nastaven´ı ˇrazen´ı na nadˇrazen´em routeru, a to na hran´ım. Reˇ vnitˇrn´ım rozhran´ı, kde pakety opouˇstˇej´ı router a smˇeˇruj´ı do vnitˇrn´ı s´ıtˇe. Subsyst´em, kter´ y obstar´ av´ a ˇr´ızen´ı toku dat, je postaven na r˚ uzn´ ych modulech, kter´e se zav´adˇej´ı do j´ adra operaˇcn´ıho syst´emu a uˇzivatelsk´ ych n´astroj˚ u jako jsou ip, iptables a tc. Dohromady jsou tyto programy schopny vytvoˇrit velice komplexn´ı syst´em pro zajiˇstˇen´ı kvality r˚ uzn´ ych sluˇzeb nab´ızen´ ych na serverech nebo rovnocenn´e postaven´ı z´akazn´ık˚ u ISP. Kl´ıˇcovou roli v definov´ an´ı jiˇz zn´am´ ych front hraje program tc. Pomoc´ı tc se tak´e pˇriˇrazuj´ı jednotliv´e tˇr´ıdy k front´ am a m˚ uˇzeme ho t´eˇz vyuˇz´ıt k pˇriˇrazen´ı paket˚ u do tˇr´ıd. Pˇr´ıkazem tc bez parametr˚ u vyvol´ ame syntaxi tohoto pˇr´ıkazu: # tc Usage: tc [ OPTIONS ] OBJECT { COMMAND | help } where OBJECT := { qdisc | class | filter | action } OPTIONS := { -s[tatistics] | -d[etails] | -r[aw] | -b[atch] file } Kaˇzd´e s´ıt’ov´e rozhran´ı m´ a definov´ an nˇejak´ y ˇrad´ıc´ı mechanismus paket˚ u, kter´ y urˇcuje, jak´ ym zp˚ usobem budou zpracov´ any. V linuxu se tento mechanismus naz´ yv´a qdisc (queueing discipline) a m˚ uˇze b´ yt zobrazen pˇr´ıkazem ip link show. V´ ychoz´ım algoritmem pro ˇrazen´ı paket˚ u je pfifo fast, kter´ y funguje na principu fronty FIFO. Tuto v´ ychoz´ı hodnotu m˚ uˇzeme zmˇenit pr´ avˇe pouˇzit´ım n´ astroje tc: tc qdisc add dev eth0 root handle 1:0 htb T´ımto pˇr´ıkazem jsme pˇredefinovali v´ ychoz´ı ˇrad´ıc´ı algoritmus na HTB1 na rozhran´ı eth0. Handle je uˇzivatelem specifikovan´e ˇc´ıslo ve tvaru MAJOR:MINOR. MINOR ˇc´ıslo kaˇzd´eho pl´anovaˇce (qdisc) mus´ı b´ yt nula. Koˇrenov´ y qdisc m˚ uˇzeme ch´ apat jako hlavn´ı kontejner, do kter´eho spad´a vˇsechen provoz. Nad t´ımto koˇrenem m˚ uˇzeme vystavˇet potˇrebnou strukturu tˇr´ıd, do kter´ ych rozdˇel´ıme poˇzadovan´e typy provozu tak, aby vyhovovaly dan´ ym poˇzadavk˚ um: tc class add dev eth0 parent 1:0 classid 1:1 htb rate 512kbit tc class add rate tc class add rate tc class add rate

dev eth0 parent 1:1 classid 1:20 htb \ 100kbit ceil 100kbit prio 0 dev eth0 parent 1:1 classid 1:21 htb \ 300kbit ceil 512kbit prio 1 dev eth0 parent 1:1 classid 1:22 htb \ 100kbit ceil 512kbit prio 2

tc qdisc add dev eth0 parent 1:20 handle 20:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:21 handle 21:0 sfq perturb 10 tc qdisc add dev eth0 parent 1:22 handle 21:0 sfq perturb 10 1

HTB - Hierarchical Token Bucket. Podrobn´e informace o tomto pl´ anovaˇci a jeho implementaci lze nal´ezt v dokumentaci na str´ ank´ ach projektu http://luxik.cdi.cz/ devik/qos/htb/ .

19

V tomto pˇr´ıkladˇe jsme tedy definovali tˇr´ıdu, jej´ıˇz propustnost je 512 kilobit˚ u za sekundu ˇ a n´aslednˇe ji rozdˇelili na tˇri tˇr´ıdy s r˚ uznou prioritou a kapacitou. C´ım menˇs´ı je parametr prio, t´ım je priorita vˇetˇs´ı. Parametr rate urˇcuje minim´aln´ı propustnost tˇr´ıdy a parametr ceil jej´ı maxim´ aln´ı propustnost. Nav´ıc byl ke kaˇzd´e koncov´e tˇr´ıdˇe pˇrid´an SFQ2 pl´anovaˇc, kter´ y zajist´ı rovnocenn´e postaven´ı jednotliv´ ych spojen´ı spadaj´ıc´ıch do t´eto tˇr´ıdy, obzvl´aˇstˇe je-li tˇr´ıda plnˇe vyt´ıˇzen´ a. Nakonec je tˇreba zajistit spr´ avn´e rozdˇelen´ı paket˚ u do jednotliv´ ych tˇr´ıd. Zde se nask´ yt´ a v´ıce moˇznost´ı: Jednou z nich je pˇr´ım´e pouˇzit´ı iptables a c´ıle CLASSIFY, dalˇs´ı moˇznost´ı je pouˇzit´ı c´ıle MARK v iptables pro oznaˇcen´ı jednotliv´ ych paket˚ u a n´asledn´e pˇriˇrazen´ı do tˇr´ıd programem tc. iptables -t mangle -A POSTROUTING -o eth0 -p tcp --sport 22 \ -j MARK --set-mark 20 tc filter add dev eth0 protocol ip parent 1:0 handle 20 fw flowid 1:20 Posledn´ı moˇznost´ı je vyuˇzit´ı u32 selektoru, kter´ y analyzuje hlaviˇcku paketu a podle hodnoty urˇcit´ ych bit˚ u nastavuje pˇr´ısluˇsnou tˇr´ıdu. Pouˇzit´ı tohoto n´astroje vyˇzaduje detailn´ı znalost struktury hlaviˇcky paketu. Pˇr´ıklady pouˇzit´ı tohoto filtru lze naj´ıt na internetu[5].

4.1

Iptables - paketov´ y filter v Linuxu

Linuxov´ a j´ adra mˇela paketov´ y filtr jiˇz od verze 1.1. Tato prvn´ı verze byla zaloˇzena na filtru ipfw z BSD Unixu a byla portov´ana do Linuxu v roce 1997 Alanem Coxem. V Linuxu ˇrady 2.0 byl tento filtr vylepˇsen a vznikl n´astroj ipwadm, kter´ y nastavoval j´adro v oblasti filtrov´an´ı paket˚ u. V j´ adrech ˇrady 2.2 byl uveden n´astroj ipchains, kter´ y pˇrinesl moˇznost definov´an´ı vlastn´ıch ˇretˇezc˚ u a jejich struktur ke standardn´ım zabudovan´ ym ˇretˇezc˚ um (chains) input, output a forward. Kaˇzd´ y paket proch´ azej´ıc´ı routerem musel proj´ıt alespoˇ n tˇremi z´akladn´ımi implicitn´ımi ˇretˇezci. Posledn´ı verz´ı paketov´eho filtru v Linuxu jsou iptables. Tento filtr je standardnˇe v j´adˇre od verze 2.4 a v souˇcasn´ ych j´ adrech 2.6 je jedin´ ym podporovan´ ym filtrem. Velk´ y rozd´ıl oproti ipchains spoˇc´ıv´ a v pouˇzit´ı ˇretˇezc˚ u. Pakety, kter´e proch´azej´ı routerem (ty kter´e nejsou urˇceny pro router samotn´ y), projdou pouze pˇres ˇretˇezec FORWARD. Tuto skuteˇcnost je tˇreba m´ıt na pamˇeti a na takov´em routeru, kter´ y ˇcasto b´ yv´a i firewallem, je nutno m´ıt dvˇe sady pravidel, a to jednak pro pakety urˇcen´e pˇr´ımo pro router a d´ale pro pakety, kter´e budou pˇrepos´ıl´ any do vnitˇrn´ı s´ıtˇe. Syntaxe programu Iptables je d´ıky jeho komplexnosti pomˇernˇe sloˇzit´a a pro podrobn´e informace je vhodn´e nahl´ednout do manu´alov´e str´anky programu, kter´a by mˇela b´ yt dostupn´a na kaˇzd´em poˇc´ıtaˇci s nainstalovan´ ym programem Iptables.

4.1.1

Syntaxe a pouˇ zit´ı iptables

Pravidla, kter´ a urˇcuj´ı, jak maj´ı b´ yt pakety filtrov´any j´adrem operaˇcn´ıho syst´emu, se definuj´ı pˇr´ıkazem iptables a n´ asleduj´ıc´ımi parametry: • Typ paketu - urˇcuje typ paketu, kter´ y bude pravidlo filtrovat (TCP, UDP, ICMP). 2

SFQ - Stochastic Fair Queueing. V ˇsest´e kapitole Traffic Control HOWTO[2] jsou pops´ any beztˇr´ıdn´ı (classless) pl´ anovaˇce s dalˇs´ımi pˇr´ıklady.

20

Obr´ azek 4.1: Cesta paketu j´adrem linuxu

• P˚ uvod nebo c´ıl paketu • C´ıl - urˇcuje, jak´ a akce se provede nad paketem, kter´ y vyhovuje krit´eri´ım definovan´ ych v pravidle. Silnou str´ ankou iptables je moˇznost pouˇzit´ı v´ıce tabulek k rozhodnut´ı o osudu pˇr´ısluˇsn´eho paketu v z´ avislosti na poˇzadovan´e akci, kter´a se m´a s pˇr´ısluˇsn´ ym paketem prov´est a jeho typu. V´ ychoz´ı tabulka se jmenuje filter a obsahuje tˇri zabudovan´e ˇretˇezce: • INPUT pro pakety pˇrich´ azej´ıc´ı na poˇc´ıtaˇc samotn´ y, • OUTPUT pro lok´ alnˇe generovan´e pakety opouˇstˇej´ıc´ı poˇc´ıtaˇc, • FORWARD pro pakety routovan´e skrze poˇc´ıtaˇc. Tato tabulka se pouˇzije v pˇr´ıpadˇe, ˇze nen´ı specifikov´ana explicitnˇe ˇz´adn´a jin´a tabulka. Iptables ale implicitnˇe obsahuj´ı dalˇs´ı dvˇe tabulky, kter´e maj´ı svou specifickou u ´lohu. Tabulka nat m˚ uˇze b´ yt pouˇzita k modifikov´an´ı zdrojov´e nebo c´ılov´e adresy zaznamenan´e v paketu. Tato tabulka obsahuje tˇri ˇretˇezce: • PREROUTING pro pozmˇen ˇov´an´ı paket˚ u ihned, jakmile vstoup´ı pˇres s´ıt’ov´e rozhran´ı, • OUTPUT pro pozmˇen ˇov´ an´ı lok´alnˇe generovan´ ych paket˚ u pˇred routov´an´ım, • POSTROUTING pro pozmˇen ˇov´an´ı paket˚ u, kter´e vystupuj´ı pˇres s´ıt’ov´e rozhran´ı. 21

Dalˇs´ı tabulkou je mangle, kter´a se pouˇz´ıv´a pro r˚ uzn´e dalˇs´ı speci´aln´ı manipulace s pa3 ketem a obsahuje vˇsechny dosud zm´ınˇen´e ˇretˇezce, jejichˇz pouˇzit´ı je na stejn´ ych m´ıstech cesty paketu jako u pˇredchoz´ıch tabulek. Iptables tak´e umoˇzn ˇuj´ı vytvoˇrit si dalˇs´ı ˇretˇezce pro kaˇzdou z tabulek. Vˇetˇsina pˇr´ıkaz˚ u vloˇzen´ı pravidla m´a n´asleduj´ıc´ı strukturu: iptables [-t ] <parameter 1> \ <parameter n> Volba umoˇzn ˇuje vybrat jinou tabulku neˇz implicitn´ı filter. Volba 4 je centrum pˇr´ıkazu, kde se specifikuje, jak´a akce se provede, napˇr´ıklad pˇrid´an´ı nebo smaz´ an´ı pravidla z pˇr´ısluˇsn´eho ˇretˇezce, kter´ y je uveden volbou . Za jsou dvojice parametr˚ u a voleb, kter´e urˇcuj´ı co se stane, jakmile paket vyhov´ı pravidlu. Pro u ´pln´ y pˇrehled struktury pˇr´ıkazu iptables staˇc´ı zadat pˇr´ıkaz iptables -h.

3

Tato tabulka p˚ uvodnˇe obsahovala jen dva ˇretˇezce a to PREROUTING a OUTPUT a to aˇz do verze j´ adra 2.4.17. Od verze 2.4.18 obsahuje tak´e zb´ yvaj´ıc´ı tˇri ˇretˇezce: INPUT, FORWARD a POSTROUTING. 4 V manu´ alov´e str´ ance lze nal´ezt kompletn´ı popis pˇr´ıkaz˚ u a parametr˚ u, zde si postupnˇe uk´ aˇzeme pouze ty, kter´e budou pouˇzity v pˇr´ıkladech.

22

Kapitola 5

ˇ ızen´ı kvality sluˇ R´ zeb pomoc´ı klasifikace datov´ ych tok˚ u Vˇetˇsina souˇcasn´ ych ˇreˇsen´ı, kter´e se zab´ yvaj´ı zajiˇstˇen´ım kvality sluˇzeb v s´ıt’ov´em prostˇred´ı, jsou zaloˇzena na principu klasifikace jednotliv´ ych paket˚ u a n´asledn´ ym pˇriˇrazov´an´ım r˚ uzn´ ych priorit. Tato ˇreˇsen´ı pracuj´ı vˇetˇsinou na u ´rovni s´ıt’ov´e nebo aplikaˇcn´ı vrstvy. Pokud je klasifikace paket˚ u prov´adˇena na u ´rovni s´ıt’ov´e vrstvy, tak jedin´ ymi informacemi, kter´e slouˇz´ı pro rozˇrazen´ı paket˚ u do jednotliv´ ych front s definovanou prioritou, pˇr´ıpadnˇe i propustnost´ı, jsou data uloˇzen´a v hlaviˇcce paketu. Jsou to zejm´ena ˇc´ısla port˚ u, pˇr´ıpadnˇe IP adresy. Pˇri klasifikaci podle ˇc´ısel port˚ u je moˇzn´e u ´spˇeˇsnˇe rozliˇsit pouze omezen´e mnoˇzstv´ı sluˇzeb, kter´e maj´ı sv´e ust´alen´e ˇc´ıslo portu. 1 Nˇekter´e typy aplikac´ı ale pouˇz´ıvaj´ı n´ahodn´ a ˇc´ısla port˚ u a v tomto pˇr´ıpadˇe je nen´ı moˇzno d´ale rozliˇsit, coˇz m´a vˇetˇsinou za n´asledek to, ˇze skonˇc´ı ve stejn´e tˇr´ıdˇe bez ohledu na to, zda se jedn´a o aplikaci vyˇzaduj´ıc´ı prioritn´ı zpracov´ an´ı (napˇr. VoIP) nebo aplikaci, kter´a je z hlediska zajiˇstˇen´ı kvality sluˇzeb neprioritn´ı (napˇr. P2P). M˚ uˇze b´ yt pouˇzito i pole Type of Service, ale toto ˇreˇsen´ı tak´e nen´ı spolehliv´e, protoˇze velk´e mnoˇzstv´ı aplikac´ı, pˇr´ıpadnˇe i nˇekter´e operaˇcn´ı syst´emy naprosto ignoruj´ı spr´ avn´e nastaven´ı tohoto pole v hlaviˇcce paketu. Nav´ıc toto pole m˚ uˇze b´ yt libovolnˇe zmˇenˇeno kaˇzd´ ym routerem, kter´ ym paket proch´az´ı a nikdy nen´ı zaruˇceno, ˇze hodnota zde nastaven´ a opravdu odpov´ıd´ a poˇzadovan´emu zp˚ usobu zpracov´an´ı paketu. Dalˇs´ı moˇznost´ı, jak klasifikovat pakety, je inspekce paketu na u ´rovni aplikaˇcn´ı vrstvy, kdy jsou zkoum´ ana pˇren´ aˇsen´ a data, kter´a jsou porovn´av´ana oproti datab´azi typick´ ych ˇretˇezc˚ u vyskytuj´ıc´ıch se v datech zn´am´ ych sluˇzeb. Toto ˇreˇsen´ı nejen ˇze je pomˇernˇe v´ ypoˇcetnˇe n´ aroˇcn´e, ale uˇz ze sv´eho principu nedok´aˇze spr´avnˇe klasifikovat jak´ ykoliv ˇsifrovan´ y provoz. Probl´em m˚ uˇze nastat taky v pˇr´ıpadˇe, ˇze se objev´ı nˇejak´a nov´a sluˇzba, kter´a nen´ı zahrnuta v datab´ az´ı zn´ am´ ych sluˇzeb a t´ım p´adem mohou b´ yt takov´eto nezn´am´e pakety ˇspatnˇe klasifikov´ any. Ani kombinac´ı obou pˇredeˇsl´ ych metod nelze ve vˇsech pˇr´ıpadech zajistit spr´avn´e rozˇrazen´ı paket˚ u a n´ asledn´e pˇriˇrazen´ı priorit. Na klasifikaci s´ıt’ov´eho provozu lze ale nahl´ednout i z jin´e strany. M˚ uˇzeme upustit od snahy pˇriˇradit kaˇzd´emu paketu prioritu pouze na z´akladˇe informac´ı z´ıskan´ ych pouze z dat, kter´a jsme schopni vyˇc´ıst z jeho hlaviˇcky a tˇela. Sledujemeli s´ıt’ov´ y provoz, kter´ y jednotliv´e aplikace generuj´ı, tak na z´akladˇe jeho charakteristiky jsme schopni odhadnout, do jak´e skupiny dan´a aplikace patˇr´ı. Kaˇzd´ a aplikace komunikuj´ıc´ı pˇres s´ıt’ vytvoˇr´ı spojen´ı, kter´e je jednoznaˇcnˇe identifikovateln´e ˇctveˇric´ı u ´daj˚ u: zdrojov´ a IP adresa, zdrojov´ y port, c´ılov´a IP adresa, c´ılov´ y port. 1

Vˇetˇsinou se vych´ az´ı ze souboru /etc/services

23

Na z´akladˇe tˇechto informac´ı jsme schopni rozˇradit vˇsechny pakety do jednotliv´ ych spojen´ı a t´ım p´ adem pˇresnˇe sledovat charakteristiku datov´eho toku, kter´ y generuj´ı. Stˇeˇzejn´ı informac´ı, podle kter´e lze odhadnout o jak´ y typ aplikace se jedn´a, je z´avislost rychlosti pˇren´aˇsen´ ych dat na ˇcase. Tyto charakteristiky se u nˇekter´ ych aplikac´ı mohou dokonce v ˇcase zmˇenit tak, ˇze interaktivn´ı aplikace pˇrejde do neinteraktivn´ıho m´odu. Pokud tedy jednotliv´e datov´e toky periodicky sledujeme a klasifikujeme, tak i takovou zmˇenu je moˇzno detekovat a n´ aleˇzitˇe se podle toho zachovat pˇriˇrazen´ım jin´e priority. Dalˇs´ı v´ yhodou tohoto ˇreˇsen´ı je schopnost spr´ avnˇe klasifikovat i ˇsifrovan´ y provoz.

Obr´ azek 5.1: Interaktivn´ı provoz pˇres SSH

Na obr´ azku 5.1 je zn´ azornˇena situace, kdy je pˇres SSH vzd´alenˇe spuˇstˇena grafick´a aplikace, se kterou je n´ aslednˇe bˇeˇznˇe pracov´ano. Toto je pˇr´ıklad datov´eho toku, kter´ y potˇrebuje vˇetˇs´ı prioritu, aby bylo uˇzivateli co moˇzn´a nejl´epe umoˇznˇeno pracovat s aplikac´ı opravdu interaktivnˇe. Na obr´ azku 5.2 je naopak zn´azornˇeno spojen´ı pˇres SSH, kdy po chv´ıli bˇeˇzn´e interaktivn´ı pr´ ace, jakou bylo proch´azen´ı adres´aˇr˚ u, byl spuˇstˇen pˇrenos velk´eho souboru. Od t´eto chv´ıle spojen´ı pˇrest´ av´ a m´ıt interaktivn´ı charakter, protoˇze uˇzivatel ˇcek´a na pˇrenesen´ı souboru. Z grafu je jasnˇe patrn´ a zmˇena charakteristiky takov´eho datov´eho toku. Jak bylo uk´ az´ ano na obr´ azku, tak lze i z charakteristiky pˇrenosu dat v jednom smˇeru odvodit o jak´ y typ datov´eho toku se jedn´a. M˚ uˇzeme ale vyuˇz´ıt skuteˇcnosti, ˇze pro u ´spˇeˇsnou komunikaci je vˇetˇsinou potˇreba pˇren´aˇset data v obou smˇerech. Jedn´a se napˇr´ıklad o potvrzov´an´ı pˇrijat´ ych dat pˇri stahov´ an´ı souboru pˇres protokol http nebo ftp. Jsme tedy schopni sestavit graf, na kter´em budou zachyceny charakteristky jak v pˇr´ıchoz´ım, tak v odchoz´ım 24

Obr´ azek 5.2: Neinteraktivn´ı provoz pˇres SSH

smˇeru, ˇc´ımˇz dos´ ahneme zv´ yˇsen´ı informaˇcn´ı hodnoty takov´eho grafu a zjednoduˇs´ıme klasifikaci provozu, kter´ y dan´ a apliace generuje.

5.1

N´ avrh syst´ emu pro ˇ r´ızen´ı QoS pomoc´ı anal´ yzy datov´ ych tok˚ u

Tokem budeme rozumˇet ˇradu po sobˇe jdouc´ıch paket˚ u, kter´e se shoduj´ı ve ˇctyˇrech z´akladn´ıch atributech: zdrojov´ a IP adresa, zdrojov´ y port, c´ılov´a IP adresa, c´ılov´ y port. Spojen´ı bude povaˇzov´ ano za ukonˇcen´e, pokud ubˇehla pˇredem urˇcen´a doba od pˇrijet´ı posledn´ıho paketu v dan´em spojen´ı, a to jak v pˇr´ıchoz´ım, tak odchoz´ım smˇeru. Abychom mohli analyzovat jednotliv´e datov´e toky na urˇcit´em rozhran´ı (Ethernet), tak mus´ıme z´ıskat vˇsechny pakety pˇres toto zaˇr´ızen´ı proch´ azej´ıc´ı. Tuto pr´aci obstar´av´a modul aplikace nazvan´ y packet sniffer. Pˇri anal´ yze probl´emu z´ısk´ av´ an´ı paket˚ u se jako nejjednoduˇs´ı, a z´aroveˇ n z pohledu syst´emu nejbezpeˇcnˇejˇs´ı ˇreˇsen´ı nab´ız´ı vyuˇz´ıt knihovnu, kter´a bude kop´ırovat pakety proch´azej´ıc´ımi pˇres s´ıt’ov´ a rozhran´ı do uˇzivatelsk´eho prostoru samotn´e aplikace. Knihovna by souˇcasnˇe mˇela b´ yt multiplatformn´ı, aby bylo umoˇznˇeno portovat aplikaci do prostˇred´ı jin´eho operaˇcn´ıho syst´emu. Tyto poˇzadavky splˇ nuje knihovna pcap - Packet Capture library.2 Implementace t´eto knihovny je dostupn´ a pro syst´emy unixov´eho typu (Linux, *BSD syst´emy, Solaris a 2

http://www.tcpdump.org/

25

dalˇs´ı) a je zn´ ama jako libpcap. Existuje tak´e implementace pro Win32 syst´emy zn´ama jako WinPcap. Z´ıskan´e pakety je nutno v n´ asleduj´ıc´ım modulu analyzovat na z´akladˇe informac´ı obsaˇzen´ ych v IP hlaviˇcce a rozˇradit do jednotliv´ ych datov´ ych tok˚ u. Vhodnou datovou strukturou pro ukl´ ad´ an´ı datov´ ych tok˚ u se jev´ı kombinace asociativn´ıho pole a kruhov´eho bufferu, kdy v kruhov´em bufferu budou uloˇzeny zachycen´e pakety a kl´ıˇcem do asociativn´eho pole bude struktura jednoznaˇcnˇe identifikuj´ıc´ı jednotliv´e datov´e toky. Dalˇs´ı modul pracuje nad datovou strukturou obsahuj´ıc´ı jednotliv´e toky a periodicky prov´ad´ı vyhodnocen´ı rychlosti pˇren´aˇsen´ ych dat v ˇcase a vytv´aˇr´ı vektor dat obsahuj´ıc´ı informace, na jejichˇz z´ akladˇe bude provedena klasifikace do jednotliv´ ych tˇr´ıd reprezentuj´ıc´ıch typ provozu. Pro to, abychom mohli urˇcit typ provozu, reprezentovan´ y vektorem dat z´ıkan´ ym v pˇredchoz´ım modulu je potˇreba se pod´ıvat“ na jeho tvar a porovnat jej s empiricky zjiˇstˇe” n´ ymi vektory jednotliv´ ych typ˚ u a vybrat tˇr´ıdu provozu, kter´e se nejv´ıc podob´a. K tomuto u ´ˇcelu se d´ a s v´ yhodou vyuˇz´ıt moˇznost´ı neuronov´ ych s´ıt´ı a jejich schopnosti nauˇcit se podle tr´enovac´ı mnoˇziny vzork˚ u rozpozn´avat vzorky jim podobn´e. Samotn´emu v´ ybˇeru implementace neuronov´e s´ıtˇe pˇredch´azelo prozkoum´an´ı moˇznost´ı a v´ ykonnosti r˚ uzn´ ych knihoven poskytuj´ıc´ıch rozhran´ı pro pr´aci s neuronov´ ymi s´ıtˇemi. Nejd˚ uleˇzitˇejˇs´ımi krit´erii pro v´ ybˇer vhodn´e implementace byly pˇredevˇs´ım: Otevˇ ren´ y zdrojov´ y k´ od - Svobodn´a licence knihovny nejen ˇze umoˇzn ˇujˇe integraci s dalˇs´ımi open source knihovnami, ale zaruˇcuje tak´e moˇznost pˇr´ıpadn´eho rozˇsiˇrov´an´ı jejich funkc´ı a podrobn´e studium problematiky neuronov´ ych s´ıt´ı. Dostupnost zdrojov´eho k´ odu tak´e umoˇzn ˇuje experimentov´an´ı a dalˇs´ı v´ yzkum na akademick´e u ´rovni. Multiplatformnost - Moˇznosti pouˇzit´ı softwaru v´ yraznˇe rostou, je-li moˇzno jej zkompilovat a provozovat na r˚ uzn´ ych hardwarov´ ych platform´ach a pod r˚ uzn´ ymi operaˇcn´ımi syst´emy. Vazby na r˚ uzn´ e programovac´ı jazyky - V pˇr´ıpadˇe dalˇs´ıho rozdˇelen´ı funkc´ı programu do na sobˇe nez´ avisl´ ych ˇc´ ast´ı, kter´e mezi sebou komunikuj´ı nen´ı nutn´e pouˇz´ıvat pouze jeden programovac´ı jazyk. Moˇznost vyuˇz´ıt knihovny ve spojen´ı s jin´ ymi programovac´ımi jazyky m˚ uˇze pˇrin´est zjednoduˇsen´ı pˇri v´ yvoji dalˇs´ıch rozˇs´ıˇren´ı programu, nebo pˇri jeho integraci do jin´eho jiˇz existuj´ıc´ıho syst´emu. Rychlost a efektivnost - Knihovna by mˇela poskytovat nejen velikou m´ıru abstrakce pro koncov´eho uˇzivatele, ale mˇela by souˇcasnˇe pouˇz´ıvat vysoce v´ ykonn´ ych algoritm˚ u, ˇc´ımˇz bude vyuˇziteln´ a pro ˇsirokou ˇsk´alu aplikac´ı a architektur. V´ yˇse zm´ınˇen´e poˇzadavky dobˇre splˇ nuje knihovna Fast Artificial Neural Network Library (FANN).3 S pomoc´ı t´eto knihovny bude sestavena plnˇe propojen´a dopˇredn´a neuronov´a s´ıt’ s jednou skrytou vrstvou. Poˇcet vstupn´ıch neuron˚ u se bude rovnat velikosti klasifikovan´eho vektoru a poˇcet v´ ystupn´ıch neuron˚ u bude ud´avat poˇcet tˇr´ıd, do kter´ ych bude neuronov´ a s´ıt’ rozdˇelovat datov´e toky. Rozpoznan´ y typ a popis datov´eho pˇrenosu jsou vstupem pro dalˇs´ı modul, kter´ y pomoc´ı paketov´eho filtru iptables nastav´ı pˇr´ısluˇsnou prioritu tok˚ um dat v pˇr´ıchoz´ım i odchoz´ım smˇeru spojen´ı. Zde jiˇz nen´ı jin´ a moˇznost, neˇz pouˇzit´ı syst´emovˇe z´avisl´e implementace, protoˇze v souˇcasnosti neexistuje a ani nejsp´ıˇse nebude existovat jednotn´e rozhran´ı nebo 3

http://leenissen.dk/fann/index.php?p=gsoc.php

26

n´astroj, kter´ y umoˇzn´ı nastaven´ı parametr˚ u j´adra pro zpracov´av´an´ı paket˚ u. Tento modul je ovˇsem navrˇzen tak, ˇze d´ıky pouˇzit´ı uˇzivatelsk´eho rozhran´ı iptables nen´ı jeho implementace nijak sloˇzit´ a a portace modulu by znamenala jej pozmˇenit tak, aby vyuˇz´ıval jin´eho programu (napˇr´ıklad pf pro OpenBSD a FreeBSD). Posledn´ı a tak´e syst´emovˇe z´ avislou ˇc´ast´ı syst´emu je skript, kter´ y nad s´ıt’ov´ ym rozhran´ım definuje pevnˇe dan´e sch´ema ˇrad´ıc´ıch discipl´ın. Tento skript nastav´ı parametry j´adra operaˇcn´ıho syst´emu, kter´ y potom bude ˇradit pakety do prioritn´ıch front na z´akladˇe informace vloˇzen´e do paketu pomoc´ı programu iptables. V linuxu k tomuto u ´ˇcelu existuje uˇzivatelsk´ y n´ astroj tc. V *BSD syst´emech se ke stejn´emu u ´ˇcelu pouˇz´ıv´a napˇr´ıklad n´astroje altq. Pokud bychom chtˇeli portovat syst´em pod jin´ y operaˇcn´ı syst´em, tak je nutn´e pˇrepsat tento skript tak, aby vyuˇz´ıval n´ astroje v tomto syst´emu dostupn´e.

Obr´ azek 5.3: Sch´ema navrˇzen´eho syst´emu pro ˇr´ızen´ı QoS

27

Kapitola 6

Implementace navrˇ zen´ eho syst´ emu 6.1

Zachyt´ av´ an´ı paket˚ u

Pro zachyt´ av´ an´ı paket˚ u proch´ azej´ıc´ıch pˇres definovan´e s´ıt’ov´e rozhran´ı je pouˇzita knihovna pcap, kter´ a poskytuje jednoduch´e a efektivn´ı rozhran´ı pro z´ısk´av´an´ı paket˚ u.1 T´ımto zp˚ usobem mohou b´ yt z´ısk´ any vˇsechny pakety na s´ıti, a to i ty, kter´e jsou urˇceny pro jin´e poˇc´ıtaˇce (proch´ azej´ıc´ı routerem). K z´ısk´ an´ı paketu je pouˇzita funkce pcap open live(): pcap_t *pcap_open_live(char *device, int snaplen, int promisc, int to_ms, char *ebuf) Prvn´ım parametrem device je ˇretˇezec specifikuj´ıc´ı s´ıt’ov´e zaˇr´ızen´ı, kter´e se m´a otevˇr´ıt. Jestliˇze je tento parametr nastaven na any“ nebo NULL, tak budeme z´ısk´avat pakety ” ze vˇsech dostupn´ ych rozhran´ı. Jm´eno s´ıt’ov´eho rozhran´ı je pˇred´av´ano programu jako prvn´ı parametr z pˇr´ıkazov´e ˇr´ adky. Druh´ y parametr snaplen urˇcuje kolik byt˚ u z paketu se maxim´alnˇe z´ısk´ a. Tento parametr je v programu nastaven na pevnou hodnotu. Pokud bychom nechtˇeli analyzovat i data paketu (payload), tak jej lze nastavit tak, aby byla vˇzdy zachycena alespoˇ n hlaviˇcka paketu. Parametr promisc m˚ uˇze b´ yt true nebo false a urˇcuje, zda m´ a 2 b´ yt zaˇr´ızen´ı uvedeno do promiskuitn´ıho m´odu . V programu je tato hodnota nastavena na 1 (true). Dalˇs´ı parametr to ms specifikuje timeout v milisekund´ach. Tato hodnota urˇcuje ˇ ı tedy neskonˇc´ı po prvn´ım dobu, po kterou budou ˇcteny pakety ze s´ıt’ov´eho rozhran´ı. Cten´ zachycen´em paketu, ale naˇcte se vˇetˇs´ı mnoˇzstv´ı paket˚ u v jedn´e operaci. V programu je nastaven timeout na jednu sekundu. Posledn´ım parametrem je pole, do kter´eho se ukl´ad´ a chyba nebo varov´ an´ı. Pokud funkce pcap open live() skonˇc´ı ne´ uspˇeˇsnˇe, tak vr´at´ı NULL, pokud uspˇeje, tak vr´ at´ı promˇennou handle. Dalˇs´ım kl´ıˇcov´ ym bodem je pouˇzit´ı funkce pcap loop(): int pcap_loop(pcap_t *p, int cnt, pcap_handler callback, u_char *user) ym paramePrvn´ım parametrem je session handler z´ıskan´ y funkc´ı pcap open live(), druh´ trem je cel´e ˇc´ıslo ud´ avaj´ıc´ı, kolik paket˚ u se m´a naˇc´ıst. Pokud zad´ame z´apornou hodnotu, tak funkci ˇr´ık´ ame, ˇze m´ a ˇc´ıst, dokud nenastane chyba. V programu je nastavena hodnota -1. Tˇret´ım parametrem je jm´eno callback funkce, kter´e je vˇzdy pˇred´an z´ıskan´ y paket a ta 1

Vzorem pro vypracov´ an´ı t´eto ˇc´ asti programu byl ˇcl´ anek Programming with pcap.[3] S´ıt’ov´e zaˇr´ızen´ı pracuj´ıc´ı v promiskuitn´ım m´ odu zachyt´ av´ a vˇsechny r´ amce na s´ıti a ne pouze r´ amce, kter´e jsou mu pˇr´ımo adresovan´e. Pro uveden´ı zaˇr´ızen´ı do tohoto m´ odu jsou nutn´ a superuˇzivatelsk´ a pr´ ava. 2

28

jej d´ale zpracuje. Tato funkce je vstupn´ım bodem do druh´eho modulu rozˇrazov´an´ı paket˚ u. Posledn´ı parametr m˚ uˇze slouˇzit k pˇred´an´ı dalˇs´ıch parametr˚ u callback funkci kromˇe tˇech, kter´e jiˇz pˇred´ av´ a funkce pcap loop(). V naˇsem pˇr´ıpadˇe je nastavena na NULL, coˇz znamen´ a, ˇze nepˇred´ av´ ame ˇz´ adn´e dalˇs´ı parametry. Prototyp naˇs´ı callback funkce mus´ı b´ yt definov´an tak, aby funkce pcap loop() vˇedˇela, jak ji pouˇz´ıt. Nem˚ uˇzeme ji tedy definovat libovolnˇe: void get_packet(u_char *args, const struct pcap_pkthdr *header, const u_char *packet); Prvn´ı parametr funkce koresponduje s posledn´ım parametrem funkce pcap loop(), a tedy vˇse, co je uloˇzeno v posledn´ım parametru pcap loop(), je pˇred´ano jako prvn´ı parametr callback funkci. Dalˇs´ım parametrem je pcap hlaviˇcka, kter´a obsahuje d˚ uleˇzit´e informace o ˇcasu z´ısk´ an´ı paketu a jeho d´elce. Tato struktura je definov´ana v souboru pcap.h jako: struct pcap_pkthdr { struct timeval ts; /* time stamp */ bpf_u_int32 caplen; /* length of portion present */ bpf_u_int32 len; /* length this packet (off wire) */ }; Posledn´ım parametrem jsou data paketu, ze kter´ ych vhodn´ ym pˇretypov´an´ım m˚ uˇzeme z´ısk´avat d˚ uleˇzit´e struktury, jako jsou IP a TCP hlaviˇcka, pˇr´ıpadnˇe UDP hlaviˇcka. Z tˇechto struktur jsou n´ aslednˇe ˇcteny informace slouˇz´ıc´ı k rozˇrazen´ı do jednotliv´ ych spojen´ı.

6.2

Rozˇ razen´ı paket˚ u do jednotliv´ ych tok˚ u

Jak jiˇz bylo ˇreˇceno, pro kaˇzd´ y zachycen´ y paket se vol´a funkce, kter´a jej zpracuje a zaˇrad´ı do datov´e struktury reprezentuj´ıc´ı datov´e toky pˇres urˇcit´e rozhran´ı. Tato funkce se jmenuje ana v souboru get_packet.c. Na zaˇc´atku funkce jsou z´ısk´any get packet() a je definov´ hlaviˇcky paketu pomoc´ı pˇretypov´an´ı ˇc´asti surov´ ych dat, pˇredan´ ych jako data paketu, na pˇr´ısluˇsn´e datov´e struktury, kter´e je reprezentuj´ı a maj´ı pevn´ y form´at. Napˇr´ıklad pro z´ısk´ an´ı IP hlaviˇcky paketu je potˇreba prov´est n´asleduj´ıc´ı: /* define/compute ip header offset */ ip = (struct sniff_ip*)(packet + SIZE_ETHERNET); Nejprve je nutno urˇcit, kde pˇresnˇe se poˇzadovan´a data nach´azej´ı. Kaˇzd´ y paket na ethernetov´em rozhran´ı zaˇc´ın´ a ethernet hlaviˇckou, kter´a m´a pevnˇe danou velikost 14 byt˚ u, coˇz je konstanta SIZE ETHERNET. Ihned za touto hlaviˇckou jiˇz n´asleduje IP hlaviˇcka, kterou je potˇreba z´ıskat. Form´ at IP hlaviˇcky je tak´e pevnˇe d´an a odpov´ıd´a struktuˇre sniff_ip: /* IP header */ struct sniff_ip { u_char ip_vhl; u_char ip_tos; u_short ip_len; u_short ip_id; u_short ip_off; #define IP_RF 0x8000

/* /* /* /* /* /*

version << 4 | header length >> 2 */ type of service */ total length */ identification */ fragment offset field */ reserved fragment flag */ 29

#define IP_DF 0x4000 /* dont fragment flag */ #define IP_MF 0x2000 /* more fragments flag */ #define IP_OFFMASK 0x1fff /* mask for fragmenting bits */ u_char ip_ttl; /* time to live */ u_char ip_p; /* protocol */ u_short ip_sum; /* checksum */ struct in_addr ip_src,ip_dst; /* source and dest address */ }; Jelikoˇz ve svˇetˇe poˇc´ıtaˇcov´ ych s´ıt´ı existuje mnoho r˚ uzn´ ych protokol˚ u a linkov´ ych rozhran´ı, je nutn´e se ujistit, ˇze pracujeme opravdu s rozhran´ım ethernet a zachyt´av´ame IP pakety. Tyto d˚ uleˇzit´e sluˇzby opˇet zajiˇst’uje knihovna pcap. Ihned po otevˇren´ı s´ıt’ov´eho rozhran´ı otestujeme pomoc´ı funkce pcap datalink(), zda se nach´az´ıme na ethernetov´em rozhran´ı a pot´e aplikujeme funkcemi pcap compile() a pcap setfilter() filtr,3 kter´ y vybere pouze IP protokol. Pokud tedy v´ıme, ˇze IP hlaviˇcka zaˇc´ın´a pˇresnˇe za ˇctrn´act´ ym bytem od zaˇc´atku paketu, tak pˇretypov´ an´ım dat od tohoto m´ısta na strukturu IP hlaviˇcky, z´ısk´ame poˇzadovan´a data. Obdobn´ ym zp˚ usobem jsou z´ısk´ av´ana vˇsechna ostatn´ı data z paketu. Z kaˇzd´eho paketu budeme z´ısk´avat data popsan´a strukturou rb_data: struct rb_data{ struct in_addr s_ip; /* uint16_t s_port; /* struct in_addr d_ip; /* uint16_t d_port; /* struct timeval ts; /* uint32_t len; /* unsigned char protocol;/* };

source ip address */ source port */ destination ip address */ destination port */ timestamp from pcap */ packet length */ Protocol (TCP or UDP)*/

Kaˇzd´ y datov´ y tok je reprezentov´ an kruhov´ ym bufferem4 tˇechto datov´ ych struktur. Jednotliv´e kruhov´e buffery jsou d´ ale zaˇrazeny do asociativn´ıho pole5 , kde kl´ıˇcem ke kaˇzd´emu toku je ˇctveˇrice u ´daj˚ u, kter´e jej jednoznaˇcnˇe identifikuj´ı: struct key { uint32_t one_ip; uint32_t two_ip; uint16_t one_port; uint16_t two_port; }; Toto asociativn´ı pole je glob´ aln´ı a pˇr´ıstupn´e pro ostatn´ı funkce, zejm´ena pak pro funkce modulu, kter´ y z jednotliv´ ych datov´ ych tok˚ u vytvoˇr´ı charakteristick´e vektory.

6.3

Vytvoˇ ren´ı charakteristick´ eho vektoru

Prvn´ım krokem pro vytvoˇren´ı z´ avislosti rychlosti pˇren´aˇsen´ı dat na ˇcase jednotliv´ ych tok˚ u je zpracov´ an´ı dat uloˇzen´ ych do asociativn´ıho pole tok˚ u v pˇredchoz´ım modulu. Tuto a dalˇs´ı 3

Podrobn´ y popis, jak takov´ y filtr sestavit lze nal´ezt v manu´ alov´ ych str´ ank´ ach knihovny pcap. Pˇr´ıklady r˚ uzn´ ych filtr˚ u jsou k dispozici napˇr´ıklad na internetov´ ych str´ ank´ ach projektu Ethereal http://wiki.ethereal.com/CaptureFilters. 4 Implementace kruhov´eho bufferu byla pˇrevzata z projektu JACK http://jackit.sourceforge.net/cgi-bin/lxr/http/source/ 5 Implementace asociativn´ıho pole byla pˇrevzata z projektu Christophera Clarka, http://www.cl.cam.ac.uk/ cwc22/hashtable/

30

u ´lohy spojen´e se zpracov´ an´ım tok˚ u ˇreˇs´ı funkce definovan´e v souboru compute flows.c. Prototypy tˇechto funkc´ı, spolu s definicemi konstant a datov´ ych struktur jsou uloˇzeny v souboru compute flows.h. Jako prvn´ı je tedy vol´ana funkce: int compute_flows(struct hashtable *h, struct hashtable *flow_chars); Prvn´ım parametrem funkce je ukazatel na asociativn´ı pole, kde jsou roztˇr´ızeny pakety do jednotliv´ ych datov´ ych tok˚ u. Druh´ ym parametrem je ukazatel na asociativn´ı pole, kam bude funkce ukl´ adat vypoˇctenou rychlost pˇrenosu dat v jednotliv´ ych intervalech. Funkce comy pute flows() postupuje tak, ˇze postupnˇe ˇcte vˇsechny toky uloˇzen´e v tabulce h a pro kaˇzd´ paket dan´eho toku vyhodnocuje, zda-li patˇr´ı do sledovan´eho intervalu, ˇci nikoliv. Dokud pakety do intervalu n´ aleˇz´ı, tak se postupnˇe sˇc´ıt´a jejich velikost. Jakmile je zjiˇstˇen paket, a kter´ y patˇr´ı do n´ asleduj´ıc´ıho intervalu, tak je posunuta hodnota promˇenn´e interval beg, kter´ byla na poˇc´ atku ˇcten´ı nastavena na ˇcas pˇr´ıchodu prvn´ıho pˇreˇcten´eho paketu dan´eho toku. Pro operace s ˇcasov´ ymi raz´ıtky jsou definov´any pomocn´e funkce: int tv_diff(struct timeval *first, struct timeval second); void tv_add_ms(struct timeval *tv, int ms); Prvn´ı vrac´ı rozd´ıl v milisekund´ ach mezi dvˇema ˇcasov´ ymi raz´ıtky a druh´a pˇriˇc´ıt´a poˇzadovan´ y poˇcet milisekund k ˇcasov´emu raz´ıtku. Pokud n´ahodou nastane situace, ˇze mezi dvˇema po sobˇe jdouc´ımi pakety je rod´ıl vˇetˇs´ı neˇz je d´elka intervalu, tak funkce dopln´ı do interval˚ u, kde nebyl pˇrenesen ˇz´ adn´ y paket, nulov´e hodnoty. V´ ysledkem t´eto funkce je tedy opˇet glob´aln´ı asociativn´ı pole obsahuj´ıc´ı vˇsechny datov´e toky, ale tentokr´at je datov´ y tok charakterizov´ an kruhov´ ym bufferem struktury: /*structure which contains bandwidth characteristics of a flow*/ struct rb_flow_data { struct in_addr s_ip; uint16_t s_port; struct in_addr d_ip; uint16_t d_port; double band; unsigned char protocol; }; V t´eto struktuˇre je d˚ uleˇzit´ a pˇredevˇs´ım hodnota band, kter´a obsahuje poˇcet pˇrenesen´ ych ˇ byt˚ u za jeden ˇcasov´ y interval. Casov´ y interval je definov´an v souboru compute_flows.h jako konstanta INTERVAL a je nastaven na hodnotu 1000ms, tedy jedna sekunda. Jakmile je vytvoˇrena tabulka obsahuj´ıc´ı ˇcasov´e charakteristiky rychlosti pˇrenosu dat, tak je nutn´e sestavit vektor o pˇresnˇe definovan´e d´elce, kter´ y bude v n´asleduj´ıc´ım modulu klasifikov´an neuronovou s´ıt´ı. Velikost tohoto vektoru je definov´ana jako hodnota NUM_OF_SAMPLES na hodnotu 30. Tato hodnota mus´ı b´ yt vˇzdy sud´a, protoˇze v´ ysledn´ y vektor bude sestaven z obou smˇer˚ u datov´eho spojen´ı. Vektor je sestavov´an funkc´ı: classify_flows(struct hashtable *flow_chars); Jej´ım parametrem je ukazatel na asociativn´ı pole vytvoˇren´e funkc´ı compute flows(). Toto pole je pak proch´ azeno prvek po prvku a jakmile je nalezeno spojen´ı, kter´e poch´ az´ı 31

z vnitˇrn´ı s´ıtˇe, do kter´e router smˇeruje provoz z internetu nebo jin´e vnˇejˇs´ı s´ıtˇe, tak jsou podle ip adres a port˚ u sestaveny dva kl´ıˇce do tabulky flow chars a popis zpracov´avan´eho datov´eho toku, kter´ y je uloˇzen do ˇretˇezce flowdesc ve tvaru: zdrojov´ a_ip_adresa:zdrojov´ y_port-c´ ılov´ a_ip_adresa:c´ ılov´ y_port Prvn´ı kl´ıˇc je sestaven tak, ˇze jsou hodnoty zrojov´e a c´ılov´e ip adresy spolu s hodnotami zdrojov´eho a c´ılov´eho portu nakop´ırov´any do struktury kl´ıˇce. Druh´ y kl´ıˇc je sestaven tak, ˇze jsou oproti prvn´ımu kl´ıˇci prohozeny zdrojov´e ip adresy s c´ılov´ ymi ip adresami a zdrojov´e porty s c´ılov´ ymi. Pomoc´ı tˇechto kl´ıˇc˚ u pak vyhled´ame v tabulce flow chars pˇr´ısluˇsn´e toky a nakop´ırujeme polovinu vektoru z hodnot prvn´ıho toku a polovinu z druh´eho. Kop´ıruje se vˇzdy promˇenn´ a band. Jeˇstˇe pˇred samotn´ ym klasifikov´an´ım vektoru je tˇreba prov´est jeho normalizaci: int normalize_vector(double *vec); Parametrem t´eto funkce je ukazatel do vektoru, jehoˇz kaˇzd´ y prvek bude normalizov´an podle funkce: d − dmin δ = max d − dmin C´ılem je transformovat data z rozsahu [dmin ,dmax ] do intervalu [0,1]. Hodnota d oznaˇcuje puvodn´ı a δ normalizovanou hodnotu. Protoˇze zn´ame hodnoty dmin a dmax , kdy dmin je nulov´a pˇrenosov´ a rychlost a dmax je zadan´a maxim´aln´ı pˇrenosov´a rychlost, tak plat´ı: Kdyˇz d = dmin , tak δ = 0, kdyˇz d = dmax , tak δ = 1. M˚ uˇzeme tedy p˚ uvodn´ı funkci zjednoduˇsit na tvar d δ = max . d Z´ıskan´ y normalizovan´ y vektor je spolu s popisem toku pˇred´an funkci: int classify_vector(double *vec, char *flow); T´ımto krokem je ukonˇceno vytv´aˇren´ı dat potˇrebn´ ych k urˇcen´ı typu provozu. Vstupn´ım bodem do dalˇs´ıho modulu, jehoˇz u ´kolem je urˇcen´ı typu provozu, je funkce: int process_flow(int class, char *flowdesc, struct key *k1, struct key *k2); Parametry t´eto funkce jsou: typ provozu zjiˇstˇen´ y vol´an´ım funkce classify vector(), textov´ y popis datov´eho toku a kl´ıˇce do asociativn´ıch pol´ı identifikuj´ıc´ı pˇr´ısluˇsn´e datov´e toky v obou smˇerech.

6.4

Klasifik´ ator datov´ ych tok˚ u

Z´akladem pro klasifikaci z´ıskan´eho vektoru je neuronov´a s´ıt’ uloˇzen´a v souboru train.net. Jej´ı strukturu a parametry lze nejjednoduˇseji popsat kr´atk´ ym programem6 , kter´ y byl pouˇzit k natr´enov´ an´ı a uloˇzen´ı s´ıtˇe: 6

Tento program je m´ırnou modifikac´ı vzorov´eho programu dostupn´eho spolu se zdrojov´ ymi k´ ody knihovny.

32

#include int main() { const unsigned int num_input = 30; const unsigned int num_output = 6; const unsigned int num_layers = 3; const unsigned int num_neurons_hidden = 80; const float desired_error = (const float) 0.001; const unsigned int max_epochs = 5000000; const unsigned int epochs_between_reports = 1000; struct fann *ann = fann_create_standard(num_layers, num_input, \ num_neurons_hidden, num_output); fann_set_activation_function_hidden(ann, FANN_SIGMOID); fann_set_activation_function_output(ann, FANN_SIGMOID); fann_train_on_file(ann, "train.data\, max_epochs, \ epochs_between_reports, desired_error); fann_save(ann, "train.net\); fann_destroy(ann); return 0; } Na prvn´ıch ˇctyˇrech ˇr´ adc´ıch tˇela programu je pops´ana struktura s´ıtˇe. Jedn´a se tedy o s´ıt’, kter´ a m´ a tˇricet vstupn´ıch neuron˚ u, ˇsest v´ ystupn´ıch neuron˚ u a 80 neuron˚ u ve skryt´e vrstvˇe. Dalˇs´ı ˇr´ adky ud´ avaj´ı postupnˇe poˇzadovanou chybu, na kterou se m´a neuronov´a s´ıt’ natr´enovat, maxim´ aln´ı poˇcet epoch tr´enov´an´ı a poˇcet epoch, mezi nimiˇz budou vyps´any zpr´avy o pr˚ ubˇehu tr´enov´ an´ı. Funkce fann create standard() vytvoˇr´ı standardn´ı plnˇe propojenou dopˇrednou neuronovou s´ıt’ a do kaˇzd´e vrstvy kromˇe v´ ystupn´ı bude pˇrid´an bias neuron,7 kter´ y bude propojen se vˇsemi neurony dalˇs´ı vrstvy a bude vˇzdy emitovat hodnotu 1. Dalˇs´ı dvˇe funkce nastav´ı aktivaˇcn´ı funkci vˇsech skryt´ ych vrstev a aktivaˇcn´ı funkci 8 v´ ystupn´ı vrstvy. Zde byla na z´ akladˇe dokumentace ke knihovnˇe zvolena sigmoid´aln´ı aktivaˇcn´ı funkce, kter´ a m´ a rozsah funkˇcn´ıch hodnot v rozmez´ı [0,1] a je definov´ana jako g(x) =

1 1+

e−2s(x+t)

.

Tento rozsah funkˇcn´ıch hodnot je d˚ uleˇzit´ y, protoˇze do stejn´eho intervalu normalizujeme data vstupn´ıho vektoru. 7

Funkce bias neuronu m˚ uˇze b´ yt ch´ ap´ ana tak, ˇze zajiˇst’uje aktivaci neuronu bez ohledu na jeho vstupy. Pokud by s´ıt’ nemˇela bias neuron a vˇsechny vstupy byly nulov´e, tak by jedin´ ym moˇzn´ ym v´ ystupem s´ıtˇe byla nula. S bias neuronem m˚ uˇze doj´ıt k aktivaci i kdyby suma pˇr´ıspˇevk˚ u od vˇsech neuron˚ u byla 0. http://www.codeproject.com/useritems/NeuralNetwork 1.asp 8 Veˇsker´ a dokumentace je v podobˇe webov´ ych str´ anek je k dispozici na adrese http://leenissen.dk/fann/ . Stejn´ a dokumentace je i souˇc´ ast´ı archivu se zdrojov´ ymi k´ ody knihovny.

33

Obr´ azek 6.1: Plnˇe propojen´ a dopˇredn´a s´ıt’ s jednou skrytou vrstvou a bias neurony

N´asleduje funkce fann train on file(), kter´a natr´enuje s´ıt’ s pouˇzit´ım vzork˚ u uloˇzen´ ych v souboru train.data. Form´ at tohoto souboru je definov´an tak, ˇze na prvn´ım ˇr´adku je zaps´an poˇcet vzork˚ u v souboru, poˇcet vstupn´ıch neuron˚ u a poˇcet v´ ystupn´ıch neuron˚ u. D´ale n´ asleduj´ı vˇzdy postupnˇe data kaˇzd´eho vzorku n´asledovan´a poˇzadovan´ ym v´ ystupn´ım vektorem. Pokud bychom mˇeli tedy ˇctyˇri vzorky, ˇctyˇri vstupn´ı neurony a dva v´ ystupn´ı vypadal by soubor tˇreba n´ asledovnˇe: 4 1 1 1 1 0 0 0 0

4 1 0 1 0 0 1 0 1

2 1 1 1 0 0 0 0 1

Jakmile je neuronov´ a s´ıt’ natr´enovan´a, tak je pomoc´ı funkce fann save() uloˇzena do souboru train.net. Z tohoto souboru je potom neuronov´a s´ıt’ naˇctena pˇri spuˇstˇen´ı programu funkc´ı fann create from file(). Dalˇs´ı pouˇzit´ı neuronov´e s´ıtˇe je velice jednoduch´e. Pomoc´ı funkce fann run(), jej´ımiˇz parametry jsou struktura neuronov´e s´ıtˇe a vektor vstupn´ıch dat z´ısk´ame ukazatel na v´ ystupn´ı vektor. Tento vektor n´ aslednˇe proch´az´ıme funkc´ı compute class() jej´ımiˇz parametry je ukazatel na v´ ystupn´ı vektor a jeho d´elka. Jakmile nalezneme hodnotu vˇetˇs´ı, neˇz 0.85, tak z´ısk´ame poˇzadovanou tˇr´ıdu. Pokud takovou hodnotu nenalezneme a nebo jich nalezneme v´ıce, tak to znamen´ a, ˇze neuronov´a s´ıt’ vzorek ˇspatnˇe vyhodnotila a funkce vr´at´ı hodnotu v´ ychoz´ı tˇr´ıdy, do kter´e spad´ a neklasifikovan´ y a stˇrednˇe prioritn´ı provoz. Bylo zvoleno ˇsest r˚ uzn´ ych typ˚ u provozu, do kter´ ych se program snaˇz´ı klasifikovat provoz. Kaˇzd´ y z tˇechto typ˚ u je charakteristick´ y sv´ ym pr˚ ubˇehem z´avislosti rychlosti pˇrenosu dat na ˇcase. Typick´e zn´ azornˇen´ı tˇechto charakteristik je pˇriloˇzeno v pˇr´ıloze. 34

1 g(x): s=0.5, t=0 0.9 0.8 0.7

y

0.6 0.5 0.4 0.3 0.2 0.1 0 -10

-5

0 x

5

10

Obr´ azek 6.2: Sigmoid´aln´ı aktivaˇcn´ı funkce typ provozu 1. Download - FTP, HTTP, sftp 2. Streamovan´e video, audio 3. Interaktivn´ı http, interaktivn´ı ssh 4. Reˇzie spojen´ı 5. Voice over IP 6. Upload - FTP, HTTP, sftp

pˇ r´ıchoz´ı smˇ er 5 4 2 3 1 3

odchoz´ı smˇ er 3 3 2 3 1 5

Tabulka 6.1: Klasifikace do tˇr´ıd Po klasifikov´ an´ı datov´eho pˇrenosu je vytvoˇren z´aznam do asociativn´ıho pole class flows, kam se uloˇz´ı aktu´ aln´ı ˇcas klasifikace, textov´ y popis datov´eho spojen´ı, tˇr´ıda do kter´e byl pˇrenos zaˇrazen a kl´ıˇce do asociativn´ıch pol´ı h a flow chars. Tˇechto informac´ı je n´ aslednˇe vyuˇz´ıv´ano ke kontrole, zda-li nedoˇslo ke zmˇenˇe typu datov´eho pˇrenosu, pˇr´ıpadnˇe jestli nevyprˇsel ˇcas, kdy je spojen´ı povaˇzov´ano za vyprˇsen´e a m´ a doj´ıt k odstranˇen´ı z´ aznam˚ u z pˇr´ısluˇsn´ ych datov´ ych struktur a odebr´an´ı pravidel z paketov´eho filtru. Odstraˇ nov´ an´ı vyprˇsel´ ych spojen´ı se prov´ad´ı periodicky po uplynut´ı urˇcen´e doby. Perioda lze mˇenit testov´ an´ım promˇenn´e clear ve funkci signal handler() oproti vˇetˇs´ı hodnotˇe. Hodnota clear se zvˇetˇsuje o 1 s kaˇzd´ ym pˇr´ıchodem sign´alu SIGALRM, kter´ y urˇcuje periodu zpracov´ an´ı zachycen´ ych paket˚ u. Pr´ace tohoto modulu konˇc´ı zavol´an´ım funkce exec iptables(), kter´e se pˇredaj´ı informace potˇrebn´e k nastaven´ı paketov´eho filtru. Touto funkc´ı zaˇc´ın´a posledn´ı f´aze programu.

6.5

Nastaven´ı priorit paket˚ um pomoc´ı iptables

Funkce exec iptables() je m´ısto, kde se pˇred´avaj´ı veˇsker´e zjiˇstˇen´e informace o prob´ıhaj´ıc´ıh datov´ ych pˇrenosech j´ adru operaˇcn´ıho syst´emu prostˇrednictv´ım n´astroje iptables. int exec_iptables(int mode, char *flowdesc, int class, int oldclass);

35

Prvn´ı parametr funkce urˇcuje, zda se m´a pˇridat, odebrat, ˇci zmˇenit klasifikace datov´eho pˇrenosu. Druh´ y parametr je ukazatel na textov´ y popis, ze kter´eho jsou vyseparov´any potˇrebn´e u ´daje pro iptables. Tˇret´ı a ˇctvrt´ y parametr obsahuj´ı souˇcasnou, respektive minulou tˇr´ıdu, do kter´e byl pˇrenos klasifikov´an. Pokud se tˇret´ı a ˇctvrt´ y parametr nerovnaj´ı, tak je zˇrejm´e, ˇze doˇslo ke zmˇenˇe charakteristiky provozu a je nutn´e jej pˇreˇradit do jin´ ych prioritn´ıch tˇr´ıd. Zaˇrazen´ı do tˇr´ıd je provedeno pomoc´ı modulu MARK paketov´eho filtru iptables. Sestaven´e pravidlo m˚ uˇze m´ıt napˇr´ıklad tvar: iptables -t mangle -A MYSHAPER-OUT -p tcp -s 192.168.2.183 --sport 37273 \ -d 209.85.137.83 --dport 443 -j MARK --set-mark 22 Toto pravidlo ˇr´ıka, ˇze vˇsechny pakety, kter´e maj´ı zdrojovou ip adresu 192.168.2.183, zdrojov´ y port 37273, c´ılovou adresu 209.85.137.83 a c´ılov´ y port 443 n´aleˇz´ı do prioritn´ı fronty 22. Tyto fronty jsou nad s´ıt’ov´ ym zaˇr´ızen´ım pomoc´ı samostatn´eho skriptu, jehoˇz spuˇstˇen´ı mus´ı pˇredch´ azet pouˇzit´ı programu.

6.6

Sch´ ema ˇ rad´ıc´ıch discipl´ın

Abychom dos´ ahli moˇznosti prioritizovat r˚ uzn´e typy provozu proch´azej´ıc´ı pˇres s´ıt’ov´a rozhran´ı poˇc´ıtaˇce, je nutn´e nahradit jednoduchou v´ ychoz´ı frontu FIFO na v´ ystupn´ıch s´ıt’ov´ ych zaˇr´ızen´ıch hierarchick´ ym pl´ anovaˇcem, kter´ y je schopen frontu nav´azanou na jedno rozhran´ı spravovat tak, aby provoz, kter´ y je klasifikov´an jako prioritn´ı byl pˇrednostnˇe odesl´an. K tomuto u ´ˇcelu byl pouˇzit pl´ anovaˇc HTB, kter´ y je pops´an v kapitole 4. Nastaven´ı s´ıt’ov´ ych rozhran´ı je implementov´ano ve skriptech shaper.sh a shaper desktop.sh. Skript shaper.sh je nutno pouˇz´ıt v pˇr´ıpadˇe, ˇze poˇc´ıtaˇc, na kter´em jej pouˇst´ıme funguje jako router a obsahuje tedy alespoˇ n dvˇe s´ıt’ov´a rozhran´ı. Skript shaper desktop.sh pouˇzijeme v pˇr´ıpadˇe koncov´eho poˇc´ıtaˇce, kter´ ym je napˇr´ıklad pracovn´ı stanice. Pˇred samotn´ ym spuˇstˇen´ım skriptu je nutn´e jej upravit. Je potˇreba nastavit spr´av´a jm´ena s´ıt’ov´ ych karet a rychlost s´ıtˇe v pˇr´ıchoz´ım i odchoz´ım smˇeru. Rychlost´ı se rozum´ı ve vˇetˇsinˇe pˇr´ıpad˚ u zakoupen´ a konektivita do s´ıtˇe Internet. Spuˇstˇen´ım skriptu se nad s´ıt’ov´ ymi rozhran´ımi definuje pevn´e sch´ema prioritn´ıch front, do kter´ ych bude spadat klasifikovan´ y provoz. Tyto fronty sd´ıl´ı kapacitu linky tak, aby byla maxim´ alnˇe vyuˇzita dostupn´a konektivita a aby neprioritn´ı provoz neobsadil celou kapacitu linky, ˇc´ımˇz by omezil pouˇzit´ı nˇekter´ ych dalˇs´ıch sluˇzeb, kter´ ym by se nedostalo poˇzadovan´e propustnosti. Z´ arovˇen ˇ jsou vytvoˇreny ˇretˇezce paketov´eho filtru iptables, kam je prostˇrednictv´ım iptables smˇerov´an klasifikovan´ y provoz. V pˇr´ıpadˇe routeru je ˇretˇezec MYSHAPER-IN pro pˇr´ıchoz´ı smˇer um´ıstˇen do ˇretˇezce FORWARD a ˇretˇezec MYSHAPEROUT je pˇripojen k ˇretˇezci POSTROUTING. Pokud nepracujeme s routerem, ale koncovou stanic´ı, je vytvoˇren pouze ˇretˇezec MYSHAPER-OUT je pˇripojen k ˇretˇezci OUTPUT. Postup vytvoˇren´ı sch´ematu pouˇzit´eho v tˇechto skriptech je pops´an v kapitole 4. Sch´ema prioritn´ıch front je vˇzdy vybudov´ano v bodˇe, kdy data opouˇstˇej´ı s´ıt’ov´e rozhran´ı, protoˇze efektivnˇe lze ˇr´ıdit rozˇrazov´an´ı jednotliv´ ych paket˚ u do front pouze pokud ’ ˇcekaj´ı na odesl´ an´ı. V pˇr´ıpadˇe, kdy je na s´ıt ov´e rozhran´ı pˇrijat paket z vnˇejˇsku, tak uˇz vlastnˇe vygeneruje urˇcit´ y provoz a mus´ı b´ yt co nejrychleji odesl´an. Nelze tedy efektivnˇe a pˇresnˇe ˇr´ıdit provoz v pˇr´ıchoz´ım smˇeru, a to je tak´e d˚ uvodem, proˇc jsou v pˇr´ıpadˇe skriptu any prioritn´ı fronty pouze pro odchoz´ı provoz. shaper desktop.sh definov´ Pro omezov´ an´ı pˇr´ıchoz´ıho provozu, kter´e by bylo vhodn´e implementovat v pˇr´ıpadˇe pouˇzit´ı koncov´eho poˇc´ıtaˇce je moˇzn´e vyuˇz´ıt napˇr´ıklad modulu IMQ - Intermediate Que36

ueing Device.9 Tento modul ale nen´ı souˇcast´ı ofici´aln´ı distribuce j´adra operaˇcn´ıho syst´emu, a pokud jej chceme pouˇz´ıt je nutno aplikovat pˇr´ısluˇsn´ y patch a modul si zkompilovat. Existuj´ı ovˇsem probl´emy se stabilitou tohoto ˇreˇsen´ı a to zejm´ena ve spojeni s IPsec a GRE tunely.

9

http://wiki.nix.hu/cgi-bin/twiki/view/IMQ/ImqFaq

37

Kapitola 7

Pouˇ zit´ı a testy syst´ emu V t´eto kapitole je vysvˇetleno jak nainstalovat a s jak´ ymi parametry spouˇstˇet v´ ysledn´ y program flows. Jsou zde provedeny zatˇeˇzov´e testy a d´ale je provedena diskuze pamˇet’ov´e a v´ ypoˇcern´ı n´ aroˇcnost. Pro vygenerov´an´ı testovac´ıho provozu je pouˇzit program ttcp.

7.1

instalace a pouˇ zit´ı

Program je distribuov´ an ve zdrojov´em tvaru a je tedy nutn´e jej pˇreloˇzit. Pˇred samotn´ ym pˇrekladem zdrojov´ ych k´ od˚ u je tˇreba nainstalovat knihovnu fann, kter´a je uloˇzena v adres´ aˇri fann. Postup instalace je uveden v souboru README. Pokud nen´ı v syst´emu pˇr´ıtomna knihovna pcap, je nutno ji doinstalovat. Tato knihovna je standardn´ı souˇc´ast´ı vˇetˇsiny distribuc´ı GNU Linuxu a nemˇel by b´ yt probl´em ji pomoc´ı pˇr´ısluˇsn´ ych distribuˇcn´ıch n´astroj˚ u nainstalovat. Pokud jsou tedy v syst´emu obsaˇzeny vˇsechny potˇrebn´e knihovny, staˇc´ı v adres´aˇri se zdrojov´ ymi k´ ody spustit n´astroj make, kter´ y pˇreloˇz´ı a sestav´ı spustiteln´ y program flows. Program lze spouˇstˇet s n´ asleduj´ıc´ımi parametry: [-i inner interface [-o outer interface]] [-D download] [-U upload] [-L 1|0] Prvn´ı parametr je jm´eno s´ıt’ov´e karty, kter´a je na routeru pˇripojena do vnitˇrn´ı s´ıt’ˇe. Pokud z´ aroveˇ n s t´ımto rozhran´ım nen´ı druh´ ym parametren zad´ano rozhran´ı vnˇejˇs´ı, tak program automaticky pracuje v tzv. desktop m´odu“ a prioritizace provozu prob´ıh´a pouze ” v odchoz´ım smˇeru na zadan´e s´ıt’ov´e kartˇe. Jak jiˇz bylo ˇreˇceno, druh´ y parametr oznaˇcuje ethernetov´e rozhran´ı, kter´e je v pˇr´ıpadˇe routeru pˇripojeno do vnˇejˇs´ı s´ıtˇe. Pokud je zad´ano jm´eno vnˇejˇs´ıho rozhran´ı, mus´ı b´ yt zad´ano tak´e jm´eno vnitˇrn´ıho rozhran´ı, jinak program povaˇzuje zad´ an´ı parametr˚ u za chybn´e. Nen´ı-li zad´ano ˇz´adn´e rozhran´ı, program se pokus´ı nal´ezt prvn´ı dostupn´e zaˇr´ızen´ı a s n´ım pak bude pracovat v dektop m´odu. Tˇret´ı a ˇctvrt´ y parametr nastavuj´ı rychlost v kilobitech za sekundu, na kterou je nastavena linka v pˇr´ıchoz´ım, respektive odchoz´ım smˇeru. Nen´ı-li nˇekter´ y z tˇechto parametr˚ u zad´an, pouˇzije se implicitn´ı hodnota 1024kbps. Posledn´ı parametr ˇr´ık´ a programu, zda-li m´a generovat soubory obsahuj´ıc´ı vygenerovan´e vektory z klasifikovan´ ych tok˚ u. Tyto soubory jsou n´aslednˇe ukl´ad´any do aktu´aln´ıho adres´ aˇre a mohou slouˇzit k dalˇs´ımu natr´enov´an´ı neuronov´e s´ıtˇe. Implicitn´ı hodnotou je nula, tedy negenerovat ˇz´ adn´e soubory. Pˇr´ıklad pouˇzit´ı: ./flows -i eth0 -o eth1 -D 2048 38

Tˇemito parametry je programu sdˇeleno, ˇze vnitˇrn´ı s´ıt’ routeru je pˇripojena na rozhran´ı eth0, vnˇejˇs´ı na eth1, propustnost linky v pˇr´ıchoz´ım smˇeru z pohledu klient˚ u ve vnitˇrn´ı s´ıti je 2048kbps a propustnost v odchoz´ım smˇeru je 1024kbps. Program nebude generovat ˇz´adn´e vypoˇcten´e vektory. Pˇred pouˇzit´ım programu mus´ı b´ yt nad s´ıt’ov´ ymi rozhran´ımi definov´an syst´em prioritn´ıch front. K tomuto u ´ˇcelu jsou v adres´aˇri scripts uloˇzeny dva skripty. Skript shaper.sh pro pouˇzit´ı na routeru a soubor shaper desktop.sh pro desktop. Pˇred jeho spuˇstˇen´ım je vhodn´e jej upravit tak, aby odpov´ıdal nastaven´ı poˇc´ıtaˇce, na kter´em bude spuˇstˇen. Tato u ´prava spoˇc´ıva v nastaven´ı promˇenn´ ych na poˇc´atku skriptu, kter´e definuj´ı rychlost downloadu a uploadu a jm´ena s´ıt’ov´ ych karet.

7.2

Testy pamˇ et’ov´ e sloˇ zitosti a v´ ypoˇ cetn´ı n´ aroˇ cnosti

Z n´avrhu syst´emu je zˇrejm´e, ˇze v´ ysledn´ y program mus´ı udrˇzovat v pamˇeti velk´e mnoˇzstv´ı datov´ ych struktur, kter´e reprezentuj´ı aktu´aln´ı stav s´ıt’ov´eho provozu proch´azej´ıc´ıho routerem, nebo generovan´eho desktopem. Vysok´e n´aroky na pamˇet’ nav´ıc rostou s poˇctem TCP nebo UDP spojen´ı, a proto byl vypracov´an n´asleduj´ıc´ı test, kter´ y zd˚ uvodn´ı pamˇet’ov´e n´aroky a poskytne pˇredstavu, jak velk´ y provoz je syst´em schopen obslouˇzit a kolik k tomu potˇrebuje pamˇeti. Pamˇet’ovˇe nejn´ aroˇcnˇejˇs´ı je uloˇzen´ı prob´ıhaj´ıc´ıch spojen´ı, kdy pro kaˇzd´ y smˇer je potˇreba jednoho kruhov´eho bufferu, kter´ y dok´aˇze pojmout aˇz 16384 paket˚ u. Datov´a struktura reprezentuj´ıc´ı jeden paket m´ a velikost 32 byt˚ u. Dva kruhov´e buffery potˇrebn´e pro reprezentaci jednoho spojen´ı zaberou tedy pˇribliˇznˇe jeden megabyte pamˇeti. Dalˇs´ı datov´e struktury jiˇz zdaleka nejsou tolik pamˇet’ovˇe n´ aroˇcn´e. Pro uloˇzen´ı pr˚ ubˇehu z´avislosti rychlosti pˇrenosu na ˇcase jednoho prob´ıhaj´ıc´ıho spojen´ı je potˇreba pˇribliˇznˇe 20 kilobyt˚ u. Tento rozd´ıl je zp˚ usoben t´ım, ˇze program je schopen uchovat maxim´alnˇe 360 posledn´ıch sekund takov´e charakteristiky. Dalˇs´ı datov´e struktury jiˇz v celkov´em mˇeˇr´ıtku nehraj´ı podstatnou roli. Pro deset spojen´ı tedy dojdeme k ˇc´ıslu pˇribliˇznˇe 10.6MB. K t´eto hodnotˇe je potˇreba pˇriˇc´ıst velikost pˇrilinkovan´ ych knihoven, kter´a ˇcin´ı pˇribliˇznˇe dva megabyty. Celkem dost´av´ama 12.6 megabyt˚ u pro deset spojen´ı. Test byl proveden tak, ˇze bylo pomoc´ı skript˚ u a programu ttcp vytvoˇreno n spojen´ı a n´aslednˇe bylo programem pmap zjiˇstˇeno, kolik pamˇeti zab´ıraj´ı vˇsechny datov´e struktury a slinkovan´e knihovny. Namˇeˇren´e hodnoty byly pak zaps´any do tabulky a zaneseny do grafu. Skript, kter´ y je spuˇstˇen na poˇc´ıtaˇci, kter´ y bude pˇrij´ımat data: #! /bin/bash for i in ‘seq 5001 5010‘; do ttcp -r -p $i & done Skript, kter´ y je suˇstˇen na poˇc´ıtaˇci, kter´ y odes´ıl´a data: #! /bin/bash for i in ‘seq 5001 5010‘; do cat /dev/zero | ttcp -t -p $i 192.168.2.109 & done

39

poˇ cet spojen´ı skuteˇ cn´ e obsazen´ı pamˇ eti 10 12.8 20 23.7 30 33.9 40 44.9 50 55.4

vypoˇ cten´ e obsazen´ı pamˇ eti 12.6 23.2 33.8 44.4 55

Tabulka 7.1: Z´ avislost obsazen´e pamˇeti na poˇctu spojen´ı Memory usage 60 actual usage computed usage 50

used memory [MB]

40

30

20

10

0 0

10

20 30 number of connections

40

50

Obr´ azek 7.1: Z´ avislost obsazen´e pamˇeti na poˇctu spojen´ı

Z tabulky a grafu je zˇrejm´e, ˇze se zvyˇsuj´ıc´ım se poˇctem spojen´ı line´arnˇe roste mnoˇzstv´ı potˇrebn´e pamˇeti. Znaˇcn´ a pamˇet’ov´a n´aroˇcnost je daˇ n za moˇznost posuzovat pr´avˇe prob´ıhaj´ıc´ı ’ s´ıt ov´ y provoz v ˇsirˇs´ım kontextu a moˇznost jej relativnˇe rychle klasifikovat. Pamˇet’ovou n´ aroˇcnost je moˇzn´e redukovat nalezen´ım kompromisu mezi prostorem dostupn´ ym k uloˇzen´ı kontextu s´ıt’ov´eho provozu, d´elkou periody se kterou prob´ıh´a v´ ypoˇcet charakteristik provozu a velikost´ı vektoru potˇrebn´eho pro klasifikov´an´ı. Tato optimalizace by se musela t´ ykat pˇredevˇs´ım velikosti kruhov´eho bufferu pro uloˇzen´ı jednotliv´ ych paket˚ u. Pokud by byl zkr´ acen interval v´ ypoˇctu charakteristik, tak by bylo moˇzn´e zmenˇsit i tento buffer. Buffer ale mus´ı z˚ ustat dostateˇcnˇe velk´ y, aby byl program schopen fungovat i na link´ach o vˇetˇs´ı kapacitˇe, kde se m˚ uˇze pochopitelnˇe rychleji zaplnit. Program neprov´ ad´ı nad uloˇzen´ ymi datov´ ymi strukturami mnoho sloˇzit´ ych v´ ypoˇct˚ u, z ˇcehoˇz plyne, ˇze na rozd´ıl od n´arok˚ u na mnoˇzstv´ı pamˇeti syst´em nespotˇrebuje pˇr´ıliˇs v´ ypoˇcetn´ı kapacity stroje. Byly provedeny testy, kdy bylo vygenerov´ano aˇz 150 spojen´ı s co nejvyˇsˇs´ım mnoˇzstv´ım odeslan´ ych paket˚ u za jednotku ˇcasu, ale program nikdy nespotˇreboval na z´akladˇe pozorov´ an´ı v n´ astroji top v´ıce neˇz dvˇe procenta v´ ykonu procesoru. Vzhledem k tˇemto v´ ysledk˚ um je podrobnˇejˇs´ı anal´ yza v´ ypoˇcetn´ı sloˇzitosti programu ned˚ uleˇzit´a, protoˇze aby nastala situace, kdy je zat´ıˇzen´ı procesoru objektivnˇe mˇeˇriteln´e, tak by byla vyˇcerp´ana dostupn´ a pamˇet’.

40

Kapitola 8

Z´ avˇ er Operaˇcn´ı syst´em GNU Linux poskytuje velk´e mnoˇzstv´ı n´astroj˚ u pro zajiˇstˇen´ı kvality s´ıt’ov´ ych sluˇzeb. S pomoc´ı tˇechto n´ astroj˚ u jsme schopni implementovat ˇsirokou ˇsk´alu r˚ uzn´ ych model˚ u a nasadit je v produkˇcn´ım prostˇred´ı. V souˇcasn´ ych syst´emech pro zajiˇstˇen´ı kvality sluˇzeb je vyuˇz´ıv´ano informac´ı uloˇzen´ ych v hlaviˇcce jednotliv´ ych paket˚ u nebo informac´ı z´ıskan´ ych anal´ yzou samotn´ ych dat v paketu pˇren´aˇsen´ ych. Pˇrevl´ ad´ a pouˇzit´ı prvn´ıho pˇr´ıstupu, kter´ y nevyˇzaduje velk´ y v´ ypoˇcetn´ı v´ ykon a lze tedy nasadit i v prostˇred´ı vˇetˇs´ıch s´ıt´ı. Druh´ y pˇr´ıstup, tedy anal´ yza paketu na u ´rovni aplikaˇcn´ı vrstvy, pˇrin´ aˇs´ı moˇznost klasifikovat provoz pˇresnˇeji podle typu pouˇzit´e aplikace, ale n´aroky na v´ ypoˇcetn´ı v´ ykon jsou v takov´em pˇr´ıpadˇe znaˇcn´e. Ani jeden z tˇechto pˇr´ıstup˚ u nedok´aˇze klasifikovat vˇsechen provoz. V pˇr´ıpadˇe anal´ yzy ’ paketu na u ´rovni s´ıt ov´e vrstvy staˇc´ı, aby pouˇzit´e aplikace pouˇz´ıvaly nestandardn´ı ˇc´ısla port˚ u a nebo aby nevhodn´ ym zp˚ usobem nastavovaly pole Type of Service v hlaviˇcce paketu a klasifik´ ator nen´ı schopen provoz zaˇradit. Pˇri anal´ yze na u ´rovni aplikaˇcn´ı vrstvy je probl´emem velk´e mnoˇzstv´ı r˚ uzn´ ych aplikac´ı generuj´ıc´ıch r˚ uznˇe charakteristick´e pakety. Pro oba pˇr´ıstupy je z principu nemoˇzn´e klasifikovat ˇsifrovan´ y provoz. Syst´em navrˇzen´ y v t´eto pr´ aci se snaˇz´ı pˇristoupit k problematice klasifikace s´ıt’ov´eho provozu u ´plnˇe odliˇsn´ ym zp˚ usobem, neˇz kter´ y je v souˇcasn´ ych syst´emech pouˇz´ıv´an. M´ısto ˇcasto sloˇzit´eho a v´ ypoˇcetnˇe n´ aroˇcn´eho zkoum´an´ı dat kaˇzd´eho paketu je pˇredloˇzen k posouzen´ı vektor dat reprezentuj´ıc´ı z´ avislost rychlosti pˇren´aˇsen´ ych dat na ˇcase a to z´aroveˇ n v obou smˇerech spojen´ı. Podle tvaru“ takov´eho vektoru lze ˇcasto posoudit o jak´ y typ provozu se ” jedn´a. Tento zp˚ usob klasifikace nevyˇzaduje ˇz´adnou v´ ypoˇcetnˇe n´aroˇcnou anal´ yzu samotn´ ych dat paketu a nen´ı z´ avisl´ y na ˇz´ adn´ ych pevnˇe smluven´ ych ˇc´ıslech port˚ u bˇeˇzn´ ych sluˇzeb. Ke sv´e ˇcinnosti vyˇzaduje pouze informace o ˇcase pˇrijet´ı paketu, jeho d´elce a samozˇrejmˇe zdrojovou a c´ılovou adresu spolu s ˇc´ısly port˚ u, podle kter´ ych seˇrazuje pakety do jednotliv´ ych tok˚ u. Tyto informace obsahuje kaˇzd´ y paket a program zaloˇzen´ y na tomto principu tedy dok´aˇze klasifikovat i ˇsifrovan´ y provoz. Vzhledem ke zp˚ usobu navrˇzen´ı syst´emu je nutn´e aby si program udrˇzoval v pamˇeti velk´e mnoˇzstv´ı datov´ ych struktur, kter´e reprezentuj´ı aktu´aln´ı stav s´ıt’ov´eho provozu na dan´em zaˇr´ızen´ı. Pamˇet’ov´e n´ aroky line´ arnˇe stoupaj´ı s mnoˇzstv´ım aktivn´ıch s´ıt’ov´ ych spojen´ı. D´ıky velk´emu mnoˇzstv´ı uloˇzen´ ych informac´ı ale nen´ı n´asledn´a klasifikace v´ ypoˇcetnˇe n´aroˇcn´ a a velk´e pamˇet’ov´e n´ aroky jsou tak ˇc´asteˇcnˇe vykoupeny mal´ ymi n´aroky na v´ ypoˇcetn´ı v´ ykon. Probl´em klasifikace jednotliv´ ych vektor˚ u je ˇreˇsen pouˇzit´ım schopnost´ı neuronov´ ych s´ıt´ı, jejichˇz pouˇzit´ı je m´ alo v´ ypoˇcetnˇe n´aroˇcn´e a pokud je poskytnuto dostateˇcn´e mnoˇzstv´ı kvalitn´ıch referenˇcn´ıch vzork˚ u, tak i pˇresn´e. Tvar charakteristiky pˇredkl´adan´ y neuronov´e s´ıti k posouzen´ı se m˚ uˇze liˇsit a pokud bude program pracovat s ˇr´adovˇe rychlejˇs´ımi, nebo po41

malejˇs´ımi linkami, kde m˚ uˇze urˇcit´ y typ provozu znamenat t´emˇeˇr nulovou z´atˇeˇz, respektive m˚ uˇze linku u ´plnˇe saturovat. Tuto situace lze ˇreˇsit opˇetovn´ ym natr´enov´an´ım neuronov´e s´ıtˇe. Pˇri v´ yvoji a pouˇz´ıv´ an´ı v´ ysledn´eho programu vyˇslo najevo, ˇze pamˇet’ov´e n´aroky v souˇcasn´e dobˇe br´ an´ı pouˇzit´ı tohoto zp˚ usobu klasifikace s´ıt’ov´eho provozu v produkˇcn´ım prostˇred´ı, kde je ˇcasto generov´ an provoz ˇc´ıtaj´ıc´ı stovky spojen´ı. N´amˇetem pro dalˇs´ı pr´aci by mohlo b´ yt nalezen´ı optim´ aln´ıch hodnot velikosti datov´ ych struktur, velikosti vektoru pro klasifikaci neuronov´ ymi s´ıtˇemi a ˇcetnosti periodick´e klasifikace. Tato optimalizace by mohla pˇrin´est u ´sporu pamˇeti a posunula by tak takov´ y syst´em bl´ıˇze produkˇcn´ımu prostˇred´ı. Pokud bychom ˇsli v pˇredstav´ ach o vyuˇzit´ı tohoto zp˚ usobu klasifikace jeˇstˇe d´ale, je moˇzno uvaˇzovat o implementaci mechanism˚ u do s´ıt’ov´e vrstvy operaˇcn´ıho syst´emu na u ´rovni j´adra, kter´e by poskytovaly uˇzivatelsk´e aplikaci charakteristiky potˇrebn´e ke klasifikaci jednotliv´ ych datov´ ych tok˚ u. T´ımto zp˚ usobem by ˇslo omezit pamˇet’ov´e n´aroky a dramaticky zv´ yˇsit v´ ykonnost.

42

Literatura [1] T. Aura. RFC 3972: Cryptographically generated addresses (cga). http://www.ietf.org/rfc/rfc3972.txt, March 2005. [2] Martin A. Brown. Traffic control howto. http://www.linux.com/howtos/Traffic-Control-HOWTO/index.shtml, October 2006. [3] Tim Carstens. Programming with pcap. http://www.tcpdump.org/pcap.htm. [4] L. Roberts. Qos signaling for ip qos support. http://www.packet.cc/TIA1039ID.htm, July 2005. [5] Richard W. Stevens. Unix Network Programming. Adison Wesley, 2004. ISBN 0-13141155-1. [6] WWW str´ anky. Icmpv6. http://en.wikipedia.org/wiki/ICMPv6. [7] WWW str´ anky. Quality of service. http://en.wikipedia.org/wiki/Qos. [8] S. Thomson and T. Narten. RFC 2462: IPv6 stateless address autoconfiguration. http://www.ietf.org/rfc/rfc2462.txt, dec 1998.

43

Index ˇrad´ıc´ı discipl´ına (queuing discipline), 18

promiskuitn´ı m´od, 28

ARP (Address Resolution Protocol), 14

QoS (Quality of Service), 6

bias, 33

RSVP (Resource Reservation Protocol), 7 RTT (Round Trip Time), 11

charakteristick´ y vektor, 31 chyba v pˇrenosu (error), 6 CIDR (Classless Inter-Domain Routing), 12

SEND (Secure Neighbour Discovery), 14 spojen´ı, 11, 23

DHCP (Dynamic Host Configuration Proto- tc, 19 col), 13 TCP, 11 TCP/IP, 10 ECN (Explicit Congestion Notification), 12, timeout, 11 15 typ datov´eho toku, 24 flow label, 16

UDP (User Datagram Protocol), 12

hlaviˇcka paketu, 15, 29

zkreslen´ı (jitter), 6 zpoˇzdˇen´ı (delay), 6 ICMP (Internet Control Message Protocol), ztracen´e pakety (packet loss), 6 10 ICMPv6, 11 IMQ (Intermediate Queueing Device), 37 IP (Internet Protocol), 9 IPv4 (Internet Protocol version 4), 12 IPv6 (Internet Protocol version 6), 12 ipchains, 20 IPSec (IP Security), 14 iptables, 20 ipwadm, 20 ISO/OSI, 8 MTU (Maximum Transmision Unit), 11 NAT (Network Address Translation), 12 ND (Neighbour Discovery), 14 nespr´ avn´e poˇrad´ı paket˚ u (out-of-order packets), 6 normalizace vektoru, 32 pcap (Packet Capture library), 28 PHB (Per Hop Behavior), 15 44

Dodatek A

Grafick´ e zn´ azornˇ en´ı typ˚ u provozu 1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

Obr´ azek A.1: Typ 1 - Download

45

25

1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

25

Obr´ azek A.2: Typ 2 - Streamovan´e video

1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

25

Obr´ azek A.3: Typ 3 - Interaktivn´ı traffic

46

1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

25

Obr´ azek A.4: Typ 4 - Reˇzie spojen´ı

1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

Obr´ azek A.5: Typ 5 - Voice over IP

47

25

1.4 upload 1.2

download

<

><

>

1

0.8

0.6

0.4

0.2

0

-0.2 0

5

10

15

20

Obr´azek A.6: Typ 6 - Upload

48

25

Dodatek B

Popis technick´ eho vybaven´ı B.1 B.1.1

Testovac´ı poˇ c´ıtaˇ ce Server

Operaˇ cn´ı syst´ em Procesor RAM Swap Ethernet

B.1.2

GNU/Linux Fedora Core 6 1 x Intel(R) Core 2 Duo(R) E6400 CPU 2.13GHz, L2 cache 2MB 2GB DDR2 2GB 2x Realtek 8139

Pracovn´ı stanice

Operaˇ cn´ı syst´ em Procesor RAM Swap Ethernet

GNU/Linux Fedora Core 6 1 x Intel(R) Pentium M(R) CPU 1.7GHz bez HT, L2 cache 2 MB 768MB DDR 1.5GB Broadcom BCM4401 100Base-T

49