IP hálózatok forgalmi analízise

IP hálózatok forgalmi analízise Varga Pál [email protected]

BME-TMIT

Áttekintés


Hajtóerık – –




Monitorozási módszerek – – –




Szolgáltatói és felhasználói szemszögbıl SLA, QoS, QoE és tipikus mércék

Passzív és aktív Csomagszintő elemzés Folyamszintő elemzés

Forgalmi osztályok azonosítása 2

Mit jelent ma az „IP hálózat”


Nagy adatforgalmú (publikus) hálózatok




Különféle hordozók –

Fizikai kapcsolat


–

Adatkapcsolat


–

PDH (E1,..), SDH, ATM, Ethernet

Egymásbaágyazott protokollok, tunneling





Optikai szál, elektromos vezetı, vezeték nélküli

L2TP, MPLS, egyéb „VLAN”-szerő kapcsolat

Valahol megjelenik az „IP réteg” –

Apps. TCP IP SNDCP LLC BSSGP TCP (NS) IP L2TP Ethernet Optikai szál

Lehet, hogy több IP-fejrész is van az üzenetben! 3

Forgalmi analízis


„A forgalmi analízis folyamata során üzeneteket kapunk el és elemzünk annak érdekében, hogy a kommunikáció mintázatából információhoz jussunk.”




„Végrehajtása akkor is lehetséges, ha az üzenetek titkosítva vannak, és nincs lehetıségünk kititkosításra.”




„Minél nagyobb a megfigyelt, vagy összegyőjtött és eltárolt üzenet-mennyiség, annál több következtetés vonható le a forgalomról.” Forrás: wikipedia.org 4

Hajtóerık – a szolgáltatók igényei


A szolgáltatók igényei –

Gyors, magas minıségő, megbízható szolgáltatás nyújtása -> elégedett elıfizetık

–

A hálózatuk viselkedésének megértése Hálózattervezés, hálózatbıvítés elıkészítése SLA-figyelés, hálózati biztonság

–

Bevétel növelése!

– –





Használat-alapú számlázás Marketing a CRM adatok felhasználásával 5

Hajtóerık – a felhasználók igényei A felhasználó akkor elégedett a szolgáltatással, ha  kéréseit kiszolgálják,  a szolgáltatás minısége is kielégítı,  az idıszakos problémák hamar megoldódnak.

A felhasználó szemszögébıl mellékes, hogy milyen szolgáltatókon keresztül teljesül a kérése.

6

Lokális és globális nézıpont A világ Amerikából

A világ Európából

… és Ausztráliából nézve 7

A hálózati szolgáltató képe a világról A szolgáltató leginkább a saját hálózatán belüli szolgáltatásminıségre koncentrál…

…szerencsés esetben!

8

SLA – QoS – QoE …Van-e a „mai” valóságban kapcsolat közöttük? Ha nincs, akkor kell egy hatékony „szolgáltatásfelügyeleti” rendszer!

9

IP forgalom analízis – Az eredmények felhasználási területei









Hálózati probléma körülhatárolása és elemzése Forgalmi jegyzıkönyv készítése Behatolás & hacker-támadás (pl. DoS, DDoS) detekciója Service Level Monitoring (SLM) Hálózattervezés Használat-alapú számlázás Customer Relationship Management (CRM) Marketing 10

A cél szentesíti az eszközt


Hogyan monitorozzunk? –

Single-point  Multi-point


–

In-service  Out-of-service


–

Csomagokat vagy folyamokat győjtünk-e

One-way  Bi-directional





Folyamatos vagy igény szerinti monitorozás a feladat

Packet  Flow-based


–

A monitorozást a szolgáltatás mőködése közben kell-e elvégezni

Continuous  On-demand


–

A monitorozó- vagy tesztgeneráló-pontok száma

Csak az odautat vagy az oda- és a vissza-utat vizsgáljuk

Igények és lehetıségek – a mérlegen Hálózati sávszélesség  Feldolgozási kapacitás  Pontosság  Ár 11

A monitorozás alapkérdései


Csomagok elkapása (capture) – – –




Folyam-összeállítás és tárolás – –




Nagysebességő hálózatok (Mbps → Gbps → Tbps) Nagy mennyiségő forgalmi adat Csomagfejléc?! (Streaming media / P2P forgalom / Támadások)

Milyen információkat mentsünk el a különféle elemzésekhez? Hogyan kezeljük a tárolási követelményeket?

Elemzés – –

Hogyan elemezzük a forgalmat és adjunk gyorsan eredményt? Miféle információt kell elıállítani? → Alkalmazástól függ... 12

Mércék a hálózatmonitorozáshoz


Nemzetközi szervezetek által kidolgozott mércék –

CAIDA Metrics Working Group (www.caida.org)






–

Latency Packet Loss Throughput Link Utilization Availability

(Késleltetés) (Csomagvesztés) (Áteresztıképesség) (Link kihasználtság) (Elérhetıség)

IETF’s IP Performance Metrics (IPPM) Working Group (www.ietf.org/html.charters/ippm-charter.html)







Connectivity (RFC 2678) (Kapcsolat) One-Way Delay (RFC 2679) (Egyirányú késleltetés) One-Way Packet Loss (RFC 2680) (Egyirányú csomagvesztés) Round Trip Delay (RFC 2681) (Oda-vissza késleltetés) Delay Variation (RFC 3393) (Késleltetés-ingadozás, jitter) Bulk transfer capacity (Adattömeg-átviteli kapacitás) 13

Alapvetı mércék csoportosítása Kapcsolati

Elérhetıség

Funkcionális Egyirányú

Csomagvesztés RT vesztés

Hálózatmonitorozási mércék

Egyirányú

Késleltetés RT késleltetés Késleltetésingadozás

Kihasználtság Sávszélesség Áteresztıképesség 14

Késleltetés
Feldolgozási

(processing) –

arrival

A csomagok feldolgozása és felkészítése az újraküldésre


Sorbanállási

késleltetés (queuing

delay) –

–

késletetés (propagation)

Adatok kapcsolaton való terjedés ideje


Továbbítási

késleltetés (transmission, serialization delay) –

processing queuing

queuing delay

scheduling propagation

Csomagok sorbanállási ideje (a terhelés és az alkalmazott ütemezési eljárás határozza meg)


Terjedési

time

késleltetés

propagation delay arrival serialization delay

total packet delay

teljes csomag késleltetés = (feldolgozási idı) + sorbanállási idı + (terjedési idı) + továbbítási idı

A teljes „keret” megérkezésének ideje (az elsı és utolsó bitnek beérkezése között eltelt idı) 15

Jitter – késleltetési ingadozás PDF, sőrőségfüggvény

Pr{d} valószínőség / gyakoriság /

E[d] Késleltetés ingadozás (teoretikus) Var[d]

Quantile (e.g. x=10-7) Pr[d>x] = 10-7 d

Késleltetés ingadozás (praktikus)

16

Monitorozási technikák Passzív Monitorozás

Aktív Monitorozás 17

Monitorozási technikák - Aktív Test-csomag küldı Válaszfogadó




Test-csomag fogadó

Cél-alkalmazás

Végrehajtása: tesztforgalom injektálása a hálózatba 1) 2) 3)

Periodikusan vagy igény-szerint generált teszt-csomagok A teszt-csomagok (és esetleg a válasz) érkezésének vizsgálata Statisztika-készítés




A hálózaton többletforgalom jelentkezik; befolyásolja a folyamatokat




A tesztcsomagot kiszőrheti egy tőzfal; alacsony prioritással kezelheti az útvonalválasztó 18

Monitorozási technikák - Passzív Hálózati link

Forgalom analízis

Packet Capture

Router

Flow összeállítás

Forgalmi információk

Flow adatok

 A hálózati forgalom megfigyelésén alapszik 1) 2)

Csomagok győjtése link(ek)rıl; folyamok győjtése útvonalválasztó(k)ról A nyers vagy elıfeldolgozott adatok analízise

 A hálózati teljesítmény csökken a mirroringtól vagy flow-exporttól 19

Összehasonlítás Aktív monitorozás

Passzív monitorozás

Konfiguráció

Multi-point

Single / multi-point

Kezelendı adattömeg

Kicsi

Nagy

Hálózati terhelés

Beinjektált forgalom - Hálózati eszköz terhelés - ...sincs, ha splittert használunk

Cél

Késleltetés, csomagvesztés, elérhetıség,...

CPU igénybevétel

Alacsony - közepes Magas

Áteresztıképesség, hibakeresés, forgalmi minták, trendek, ..”~” detekciók

20

„Packet Capture” – csomag-győjtés Adatgyőjtı Mirroring

Mőködés Elınyök

Adatgyőjtı Splitting

Port Mirroring

Network Splitter (Tap)

Minden átmenı csomagot kiad egy „M” porton is Nincs extra hardverigény

Több irányba elosztja a jelet

Nincs többletterhelés a router/switch-en Hátrányok Többletterhelés a Router/switch-en Splitter hardver kell hozzá 21

Mintavételezés (Sampling)



1

„Túl nagy” bitsebességnél, amikor nem lehet megbízhatóan minden csomagot elkapni, a csomagok mintavételezése megoldás lehet Algoritmusok: minden N. csomag 2

3

4

5

6

7

8

9

10

11

(a) 2:1 mintavétel


0 msec

vagy fix mintavételi idıköz 1 msec

2 msec

3 msec

4 msec

(b) 1 msec-enkénti mintavétel 22

Flow generálás

flow 1



–

flow 4

a routerekbıl, vagy saját flow-generátorral, ami eredetileg csomagokat győjt

Elterjedt flow-formátumok –




flow 3

Egy Flow azon csomagokat tartalmazza, melyeknek pl. ugyanaz a „5-tuple”: {SRC IP cím, DST IP cím, SRC port#, DST port#, protokoll} Flow-adatok nyerhetık –




flow 2

NetFlow (Cisco), sFlow (sFlow.org), IPFIX (IETF)

Döntések elıtt állunk... – – –

Milyen adatokat tartalmazzon egy flow-rekord? Hogyan generáljunk flow-t a nyers csomag-adatokból? Hogyan/meddig tároljuk a nagy tömegő flow adatot (a győjtési ponton)? 23

Passzív Mon.: Forgalmi Analízis


Térbeli (Spatial) aspektus




Idıbeli (Temporal) aspektus




Forgalmi MIX meghatározása –

A térbeli és idıbeli karakterisztikák is segítenek...

24

Forgalmi Analízis – Térbeli (spatial)


Logikai és fizikai hálózati topológia ismerete –

Az átviteli közeg és a technológia korlátai behatárolják a mérhetı értékeket



–

A tunneling és VPN definíciók torzítják az eredményt


–

Aszimmetrikus forgalom várható pl. DSLAM-oknál Adatgyőjtés különféle közegeken – nem triviális!

pl. nem mindegy melyik IP-réteget vizsgáljuk

Szők keresztmetszet behatárolás


Overprovisioning mellett a problémák ritkán mutatkoznak (nehezen reprodukálható) --> folyamatos mérés 25

Forgalmi Analízis – Idıbeli (temporal)


Sztochasztikus vizsgálat, statisztikai módszerek – –

Folyam- (flow) és csomag-szintő vizsgálatok Különféle mércék magasabb rendő statisztikái



– –

...és korrelációja Gyors algoritmusok – gyors visszacsatolás




–

Csomagközi késleltetés Csomagméret

erıforrás-menedzsmenthez forgalom-szabályozáshoz „traffic shaping” és a caching-szabályok

Szők keresztmetszet behatároláshoz is használható! 26

Forgalmi MIX meghatározás


Alkalmazás-azonosítási módszerek –

Statikus



–

Dinamikus



–

Statikus információ alapján követhetı (pl. változó portok) Tartalomban jellemzı „ujjlenyomat” (P2P: verziónként változhat!)

A forgalom idıbeli jellemzıi alapján




–

Port Fejlécben hordozott minta

csomaghossz-eloszlások, folyam-jellemzık , ...

- Adattömeg:

elephants - mice

- Idıbeli terjedelem: tortoise - dragonfly - PIT Börsztösség: porcupine - cheetah

És ezek együttes vizsgálata 27

Passzív Mon.: Forgalmi Analízis


Térbeli (Spatial) aspektus – – –




Idıbeli (Temporal) aspektus – – –




A forgalmi minták a hálózati topológiához képest értelmezendık Logikai és fizikai hálózati architektúra-tervezéshez Szők keresztmetszet behatárolás és torlódás-megelızés A forgalom sztochasztikus viselkedése, statisztikai módszerekkel Erıforrás-menedzsmenthez és forgalom-szabályozáshoz Fontos a „traffic shaping” és a caching-szabályok szempontjából

Forgalmi MIX meghatározása –

–

A forgalom szétválasztása tartalom, alkalmazások, csomaghosszak, folyam-”méretek” szerint Segít megmagyarázni térbeli és idıbeli karakterisztikákat 28

Összefoglalás


SLA, QoS és QoE betartásához „jól jön” az IP forgalmi monitorozás és analízis.




A Passzív és Aktív monitorozás egymást erısíti.




Magasszintő elemzéssel, a forgalmi mix ismeretében hatékonyabb a hálózattervezés.

29

Köszönöm a figyelmet!

Varga Pál [email protected]

BME-TMIT