IP hálózatok forgalmi analízise Varga Pál pvarga@tmit.bme.hu BME-TMIT
Áttekintés Hajtóerık Szolgáltatói és felhasználói szemszögbıl SLA, QoS, QoE és tipikus mércék Monitorozási módszerek Passzív és aktív Csomagszintő elemzés Folyamszintő elemzés Forgalmi osztályok azonosítása 2
Mit jelent ma az IP hálózat Nagy adatforgalmú (publikus) hálózatok Különféle hordozók Fizikai kapcsolat Optikai szál, elektromos vezetı, vezeték nélküli Adatkapcsolat PDH (E1,..), SDH, ATM, Ethernet Egymásbaágyazott protokollok, tunneling L2TP, MPLS, egyéb VLAN -szerő kapcsolat Apps. TCP IP SNDCP LLC BSSGP TCP (NS) IP L2TP Ethernet Optikai szál Valahol megjelenik az IP réteg Lehet, hogy több IP-fejrész is van az üzenetben! 3
Forgalmi analízis A forgalmi analízis folyamata során üzeneteket kapunk el és elemzünk annak érdekében, hogy a kommunikáció mintázatából információhoz jussunk. Végrehajtása akkor is lehetséges, ha az üzenetek titkosítva vannak, és nincs lehetıségünk kititkosításra. Minél nagyobb a megfigyelt, vagy összegyőjtött és eltárolt üzenet-mennyiség, annál több következtetés vonható le a forgalomról. Forrás: wikipedia.org 4
Hajtóerık a szolgáltatók igényei A szolgáltatók igényei Gyors, magas minıségő, megbízható szolgáltatás nyújtása -> elégedett elıfizetık A hálózatuk viselkedésének megértése Hálózattervezés, hálózatbıvítés elıkészítése SLA-figyelés, hálózati biztonság Bevétel növelése! Használat-alapú számlázás Marketing a CRM adatok felhasználásával 5
Hajtóerık a felhasználók igényei A felhasználó akkor elégedett a szolgáltatással, ha kéréseit kiszolgálják, a szolgáltatás minısége is kielégítı, az idıszakos problémák hamar megoldódnak. A felhasználó szemszögébıl mellékes, hogy milyen szolgáltatókon keresztül teljesül a kérése. 6
Lokális és globális nézıpont A világ Európából A világ Amerikából és Ausztráliából nézve 7
A hálózati szolgáltató képe a világról A szolgáltató leginkább a saját hálózatán belüli szolgáltatásminıségre koncentrál szerencsés esetben! 8
SLA QoS QoE Van-e a mai valóságban kapcsolat közöttük? Ha nincs, akkor kell egy hatékony szolgáltatásfelügyeleti rendszer! 9
IP forgalom analízis Az eredmények felhasználási területei Hálózati probléma körülhatárolása és elemzése Forgalmi jegyzıkönyv készítése Behatolás & hacker-támadás (pl. DoS, DDoS) detekciója Service Level Monitoring (SLM) Hálózattervezés Használat-alapú számlázás Customer Relationship Management (CRM) Marketing 10
A cél szentesíti az eszközt Hogyan monitorozzunk? Single-point Multi-point A monitorozó- vagy tesztgeneráló-pontok száma In-service Out-of-service A monitorozást a szolgáltatás mőködése közben kell-e elvégezni Continuous On-demand Folyamatos vagy igény szerinti monitorozás a feladat Packet Flow-based Csomagokat vagy folyamokat győjtünk-e One-way Bi-directional Csak az odautat vagy az oda- és a vissza-utat vizsgáljuk Igények és lehetıségek a mérlegen Hálózati sávszélesség Feldolgozási kapacitás Pontosság Ár 11
A monitorozás alapkérdései Csomagok elkapása (capture) Nagysebességő hálózatok (Mbps Gbps Tbps) Nagy mennyiségő forgalmi adat Csomagfejléc?! (Streaming media / P2P forgalom / Támadások) Folyam-összeállítás és tárolás Milyen információkat mentsünk el a különféle elemzésekhez? Hogyan kezeljük a tárolási követelményeket? Elemzés Hogyan elemezzük a forgalmat és adjunk gyorsan eredményt? Miféle információt kell elıállítani? Alkalmazástól függ... 12
Mércék a hálózatmonitorozáshoz Nemzetközi szervezetek által kidolgozott mércék CAIDA Metrics Working Group (www.caida.org) Latency (Késleltetés) Packet Loss (Csomagvesztés) Throughput (Áteresztıképesség) Link Utilization (Link kihasználtság) Availability (Elérhetıség) IETF s IP Performance Metrics (IPPM) Working Group (www.ietf.org/html.charters/ippm-charter.html) Connectivity (RFC 2678) (Kapcsolat) One-Way Delay (RFC 2679) (Egyirányú késleltetés) One-Way Packet Loss (RFC 2680) (Egyirányú csomagvesztés) Round Trip Delay (RFC 2681) (Oda-vissza késleltetés) Delay Variation (RFC 3393) (Késleltetés-ingadozás, jitter) Bulk transfer capacity (Adattömeg-átviteli kapacitás) 13
Alapvetı mércék csoportosítása Elérhetıség Kapcsolati Funkcionális Hálózatmonitorozási mércék Csomagvesztés Késleltetés Kihasználtság Egyirányú RT vesztés Egyirányú RT késleltetés Késleltetésingadozás Sávszélesség Áteresztıképesség 14
Késleltetés Feldolgozási késleltetés (processing) A csomagok feldolgozása és felkészítése az újraküldésre Sorbanállási késleltetés (queuing delay) Csomagok sorbanállási ideje (a terhelés és az alkalmazott ütemezési eljárás határozza meg) Terjedési késletetés (propagation) Adatok kapcsolaton való terjedés ideje Továbbítási késleltetés (transmission, serialization delay) A teljes keret megérkezésének ideje (az elsı és utolsó bitnek beérkezése között eltelt idı) arrival processing queuing scheduling propagation arrival time propagation delay serialization delay queuing delay total packet delay teljes csomag késleltetés = (feldolgozási idı) + sorbanállási idı + (terjedési idı) + továbbítási idı 15
Jitter késleltetési ingadozás PDF, sőrőségfüggvény Pr{d} valószínőség / gyakoriság / E[d] Késleltetés ingadozás (teoretikus) Var[d] Quantile (e.g. x=10-7 ) d Pr[d>x] = 10-7 Késleltetés ingadozás (praktikus) 16
Monitorozási technikák Passzív Monitorozás Aktív Monitorozás 17
Monitorozási technikák - Aktív Test-csomag küldı Test-csomag fogadó Válaszfogadó Cél-alkalmazás Végrehajtása: tesztforgalom injektálása a hálózatba 1) Periodikusan vagy igény-szerint generált teszt-csomagok 2) A teszt-csomagok (és esetleg a válasz) érkezésének vizsgálata 3) Statisztika-készítés A hálózaton többletforgalom jelentkezik; befolyásolja a folyamatokat A tesztcsomagot kiszőrheti egy tőzfal; alacsony prioritással kezelheti az útvonalválasztó 18
Monitorozási technikák - Passzív Hálózati link Router Packet Capture Flow összeállítás Flow adatok Forgalom analízis Forgalmi információk A hálózati forgalom megfigyelésén alapszik 1) Csomagok győjtése link(ek)rıl; folyamok győjtése útvonalválasztó(k)ról 2) A nyers vagy elıfeldolgozott adatok analízise A hálózati teljesítmény csökken a mirroringtól vagy flow-exporttól 19
Összehasonlítás Konfiguráció Kezelendı adattömeg Hálózati terhelés Cél CPU igénybevétel Aktív monitorozás Multi-point Kicsi Beinjektált forgalom Késleltetés, csomagvesztés, elérhetıség,... Alacsony - közepes Passzív monitorozás Single / multi-point Nagy - Hálózati eszköz terhelés -...sincs, ha splittert használunk Áteresztıképesség, hibakeresés, forgalmi minták, trendek,.. ~ detekciók Magas 20
Packet Capture csomag-győjtés Adatgyőjtı Mirroring Adatgyőjtı Splitting Mőködés Elınyök Hátrányok Port Mirroring Minden átmenı csomagot kiad egy M porton is Nincs extra hardverigény Többletterhelés a Router/switch-en Network Splitter (Tap) Több irányba elosztja a jelet Nincs többletterhelés a router/switch-en Splitter hardver kell hozzá 21
Mintavételezés (Sampling) Túl nagy bitsebességnél, amikor nem lehet megbízhatóan minden csomagot elkapni, a csomagok mintavételezése megoldás lehet Algoritmusok: minden N. csomag 1 2 3 4 5 6 7 8 9 10 11 (a) 2:1 mintavétel vagy fix mintavételi idıköz 0 msec 1 msec 2 msec 3 msec 4 msec (b) 1 msec-enkénti mintavétel 22
Flow generálás flow 1 flow 2 flow 3 flow 4 Egy Flow azon csomagokat tartalmazza, melyeknek pl. ugyanaz a 5-tuple : {SRC IP cím, DST IP cím, SRC port#, DST port#, protokoll} Flow-adatok nyerhetık a routerekbıl, vagy saját flow-generátorral, ami eredetileg csomagokat győjt Elterjedt flow-formátumok NetFlow (Cisco), sflow (sflow.org), IPFIX (IETF) Döntések elıtt állunk... Milyen adatokat tartalmazzon egy flow-rekord? Hogyan generáljunk flow-t a nyers csomag-adatokból? Hogyan/meddig tároljuk a nagy tömegő flow adatot (a győjtési ponton)? 23
Passzív Mon.: Forgalmi Analízis Térbeli (Spatial) aspektus Idıbeli (Temporal) aspektus Forgalmi MIX meghatározása A térbeli és idıbeli karakterisztikák is segítenek... 24
Forgalmi Analízis Térbeli (spatial) Logikai és fizikai hálózati topológia ismerete Az átviteli közeg és a technológia korlátai behatárolják a mérhetı értékeket Aszimmetrikus forgalom várható pl. DSLAM-oknál Adatgyőjtés különféle közegeken nem triviális! A tunneling és VPN definíciók torzítják az eredményt pl. nem mindegy melyik IP-réteget vizsgáljuk Szők keresztmetszet behatárolás Overprovisioning mellett a problémák ritkán mutatkoznak (nehezen reprodukálható) --> folyamatos mérés 25
Forgalmi Analízis Idıbeli (temporal) Sztochasztikus vizsgálat, statisztikai módszerek Folyam- (flow) és csomag-szintő vizsgálatok Különféle mércék magasabb rendő statisztikái Csomagközi késleltetés Csomagméret...és korrelációja Gyors algoritmusok gyors visszacsatolás erıforrás-menedzsmenthez forgalom-szabályozáshoz traffic shaping és a caching-szabályok Szők keresztmetszet behatároláshoz is használható! 26
Forgalmi MIX meghatározás Alkalmazás-azonosítási módszerek Statikus Port Fejlécben hordozott minta Dinamikus Statikus információ alapján követhetı (pl. változó portok) Tartalomban jellemzı ujjlenyomat (P2P: verziónként változhat!) A forgalom idıbeli jellemzıi alapján csomaghossz-eloszlások, folyam-jellemzık,... És ezek együttes vizsgálata - Adattömeg: elephants - mice - Idıbeli terjedelem: tortoise - dragonfly - PIT Börsztösség: porcupine - cheetah 27
Passzív Mon.: Forgalmi Analízis Térbeli (Spatial) aspektus A forgalmi minták a hálózati topológiához képest értelmezendık Logikai és fizikai hálózati architektúra-tervezéshez Szők keresztmetszet behatárolás és torlódás-megelızés Idıbeli (Temporal) aspektus A forgalom sztochasztikus viselkedése, statisztikai módszerekkel Erıforrás-menedzsmenthez és forgalom-szabályozáshoz Fontos a traffic shaping és a caching-szabályok szempontjából Forgalmi MIX meghatározása A forgalom szétválasztása tartalom, alkalmazások, csomaghosszak, folyam- méretek szerint Segít megmagyarázni térbeli és idıbeli karakterisztikákat 28
Összefoglalás SLA, QoS és QoE betartásához jól jön az IP forgalmi monitorozás és analízis. A Passzív és Aktív monitorozás egymást erısíti. Magasszintő elemzéssel, a forgalmi mix ismeretében hatékonyabb a hálózattervezés. 29
Köszönöm a figyelmet! Varga Pál pvarga@tmit.bme.hu BME-TMIT