Tecnologie per il packet filtering

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Tecnologie per il packet filtering"

Transcript

1 Tecnologie per il packet filtering Olivier Morandi, Fulvio Risso 1

2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori indicati a pag. 1. Le slides possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione. Ogni altra utilizzazione o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampate) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori. L informazione contenuta in queste slides è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. Gli autori non assumono alcuna responsabilità per il contenuto di queste slides (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell informazione). In ogni caso non può essere dichiarata conformità all informazione contenuta in queste slides. In ogni caso questa nota di copyright non deve mai essere rimossa e deve essere riportata anche in utilizzi parziali. 2

3 Outline Layered Demultiplexing dei protocolli Early Demultiplexing, o Packet Filtering Software Packet Filtering Motivazioni storiche Soluzioni Evoluzione Packet Filtering nei sistemi operativi 3

4 Definizioni Packet filter: sistema che applica una funzione booleana a ogni pacchetto in ingresso Packet classifier: sistema che dato un pacchetto in ingresso ed un set di funzioni booleane, ritorna quale/i di queste regole sono state soddisfatte Considerazioni Ambedue i sistemi hanno una base comune Un packet classifier può essere visto come un insieme di più packet filters Packet classifiers sono stati storicamente sviluppati per il protocol/session demultiplexing all interno del kernel del sistema operativo Packet filters sono stati sviluppati per l analisi selettiva del traffico 4

5 Layered Demultiplexing Approccio tradizionalmente utilizzato per l implementazione dei protocolli sugli End-Nodes Process 1 Process 2 Process 3 Application Layer Socket API (e.g. Web-Browser) (e.g. POP3 client) (e.g. SMTP server) Transport Layer TCP Header Payload Internet Layer IP Header Payload Ethernet Driver Ethernet Header Payload FCS 5

6 Layered Demultiplexing (2) Il software di gestione di ogni protocollo sceglie a quale protocol-handler passare il payload corrente valutando un match esatto su uno o più campi dello header Transport Layer UDP TCP 0x11 0x06 Internet Layer ARP IPv6 IP.protocol Ethernet Driver 0x0806 0x86DD Ethernet.type 0x0800 6

7 Layered Demultiplexing (3) L elaborazione dei pacchetti avviene un livello per volta Un modulo software ad un livello decide quale modulo di livello più alto deve procedere con l elaborazione Vantaggi Alta flessibilità data dalla modularità dell approccio Semplicità nella definizione ed implementazione di nuovi protocolli, oppure nella modifica di protocolli esistenti Svantaggi Inefficienza Eleborazione sequenziale: il livello N deve attendere che il livello N-1 termini di elaborare il pacchetto Chiamate tra moduli diversi introducono overhead, anche se minimo 7

8 Early Demultiplexing: motivazioni Per motivi di efficienza, spesso è preferibile conoscere al più presto l intera sequenza di protocolli contenuta in un pacchetto (i.e. l endpoint di destinazione) per compiere determinate azioni, ad esempio: Scarto di pacchetti (dal semplice filtraggio al firewalling) Scelta di percorsi di elaborazione alternativi Calcolo di statistiche Load balancing Traffic Shaping Quando la velocità di elaborazione è un vincolo determinante, l approccio a livelli sovrapposti è inefficiente Serve un meccanismo che permetta di determinare in anticipo ed in modo semplice e veloce, il percorso dei protocolli seguito da ogni pacchetto ricevuto: Demultiplexing Anticipato 8

9 Early Demultiplexing Varie operazioni di demultiplexing su più livelli vengono compresse in una singola operazione su un unico livello: La sequenza degli header contenuti in un pacchetto viene considerata come un unico header Si confrontano alcuni campi chiave del macro-header risultante L esito dei test determina l accettazione o meno del pacchetto Non sempre è possibile e/o ottimizzato (es. composizione di filtri) Un sistema che implementi un algoritmo di earlydemultiplexing si dice Packet Filter oppure Packet Classifier (a seconda delle implementazioni) 9

10 Implementazione software: traffico web Traffico Web: ip - tcp - porta 80 ethernet ip tcp payload type protocol src port dst port == 2048? == 6? == 80? == 80? and or and Altro no True? yes Traffico Web 10

11 Hardware Packet Filter ethernet ip tcp payload + Efficienza: Un operazione di ad ogni colpo di clock - Flessibità: Wide datapath (e.g 512 bit) Registro Traffico verso server web 0x Completamente hardwired Possibilità di valutare condizioni semplici (tipicamente solo campi ad offset fisso o con condizioni molto semplici) Comparatore (o logica booleana semplice) Risultato Costante 11 Cfr. Douglas Comer Network Systems Design using Network Processors

12 Implementazioni software Vantaggi Elevata flessibilità Svantaggi Minore efficienza rispetto alla soluzione completamente HW 12

13 Requisiti implementazioni software Sicurezza Molti algoritmi di early-demultiplexing sono implementati in kernel o in porzioni critiche dei dispositivi di networking, quindi è indispensabile che ne sia garantito il corretto funzionamento anche a fronte di un input scorretto (sia sotto forma di regole che di pacchetti) da parte di utenti maliziosi (es. pacchetti troncati) Efficienza Gli algoritmi di packet filtering sono spesso impiegati in ambiti in cui le prestazioni rappresentano un vincolo critico, quindi è necessario che siano implementati in modo efficiente Componibilità Se un algoritmo di packet filtering implementa N filtri (generalmente specificati attraverso la composizione booleana di filtri semplici), è preferibile che il filtro composito abbia prestazioni migliori rispetto ad una semplice ricerca lineare Velocità di update Aggiunta / cancellazione / modifica di filtri Es. sessioni TCP (firewall) 13

14 Software Packet Filter: evoluzione CMU/Stanford Packet Filter (1987) Berkeley Packet Filter (1989) WinPcap (~ 2000) PathFinder (1994) Dynamic Packet Filter (1996) BPF+ (1999) FFPF (2004) SWIFT (2008) 14

15 CMU/Stanford Packet Filter (CSPF) [CSPF87] Nato per consentire l implementazione di protocolli in userspace nel sistema operativo Mach ed in seguito integrato nel kernel 4.3BSD Il modello prevede che l applicazione fornisca al kernel un programma in cui è contenuta una descrizione dei pacchetti che desidera ricevere Il kernel simula il programma attraverso una macchina virtuale molto semplice Il programma viene eseguito per ogni pacchetto ricevuto e restituisce il valore true se un pacchetto soddisfa le condizioni imposte dall utente 15

16 CSPF (1) Il programma di filtering è descritto da un espressione booleana, rappresentabile tramite una struttura ad albero La struttura ad albero delle espressioni di filtering è in realtà rappresentata tramite un linguaggio imperativo stack-based a 16 bit Ogni pacchetto è visto come una sequenza di word a 16 bit Il programma viene eseguito da un processore virtuale che simula lo stack Il pacchetto viene visto come un array di bytes La virtual machine non ha alcuna nozione di protocollo Un nuovo protocollo può essere aggiunto senza cambiare la VM 16

17 CSPF: esempio Pacchetti ARP o IP provenienti da X OR AND AND ARP.SRC=X ETHER.TYPE=ARP IP.SRC=X ETHER.TYPE=IP Campi ad offset fisso Valore costante (0x0806) 17

18 CSPF (2) La struttura ad albero delle espressioni di filtering è in realtà rappresentata tramite un linguaggio imperativo stack-based a 16 bit Ogni pacchetto è visto come una sequenza di word a 16 bit Il programma viene eseguito da un processore virtuale che simula lo stack 18

19 CSPF: esempio di programma e uso dello stack PUSHWORD+6 /*push 6a word del pacchetto */ PUSHLIT EQ /*push prossima instr-word, EQ */ 2054 /*ARP */ PUSHWORD+6 /*push 6a word del pacchetto */ PUSHLIT EQ /*push prossima instr-word, EQ */ 2048 /*IP */ OR ETHER.TYPE==ARP ETHER.TYPE==IP Programma CSPF OR Albero di espressioni == OR == Ether.type Value2 Ether.type Value1 Value1 Result 19

20 CSPF: caratteristiche per la sicurezza (1) Set di istruzioni limitato: Gestione dello stack Load da memoria di pacchetto Operatori logici Operatori booleani e di confronto Assenza di costrutti di controllo del flusso (jump, branch, loop) Non è possibile saltare a porzioni di codice esterne al programma (codice non esistente o appartenente ad un altro programma) Garanzia di terminazione del programma 20

21 CSPF: caratteristiche per la sicurezza (2) Introduce il concetto di Macchina virtuale Idea ripresa da gran parte delle tecniche successive Controlli sulla correttezza dei riferimenti alla memoria di pacchetto e allo stack (bounds checking a runtime) Non è possibile scrivere/leggere in zone di memoria non esistenti Bound checking sui campi (non è possibile accedere ad un campo non esistente nella memoria di pacchetto, es. packet truncation) 21

22 CSPF: limitazioni (1) Non è prevista la composizione di filtri Se N applicazioni impostano N filtri diversi, questi vengono eseguiti in sequenza lineare L architettura a stack si presta poco ad essere implementata efficacemente su macchine a registri Lo stack deve essere simulato tramite un buffer in memoria Ogni accesso allo stack corrisponde ad un accesso a memoria, più l aggiornamento del registro che simula lo stack pointer In teoria, facilita l implementazione di un eventuale JIT 22

23 CSPF: limitazioni (2) Il linguaggio permette di valutare solo campi ad offset fisso Ethernet con/senza VLAN, IP options, IPv6 extension headers,... Non supporta un operatore di indirezione Sono supportati esclusivamente accessi alla memoria di pacchetto allineati ai 16 bit, rendendo più complicati ed inefficienti gli accessi ai campi a 8 e 32 bit (e.g. ip source o destination) Necessario il mascheramento del campo Non possibile se il pacchetto ha lunghezza dispari e si vuole accedere all ultimo byte 23

24 CSPF: limitazioni (3) Il modello basato sull albero delle espressioni è inefficiente In alcuni casi devono essere eseguite più operazioni del necessario (ridondanza) Ogni foglia dell albero viene interpretata indipendentemente dalle altre Non esiste la possibilità di ricordare il risultato dei controlli già effettuati OR Albero di espressioni Esempi di inefficienze - Lo stesso campo (ether.type) viene letto due volte dalla memoria di pacchetto ETHER.TYPE=ARP ETHER.TYPE=IP - Se il pacchetto è ARP, il secondo test è inutile 24

25 Berkeley Packet Filter (BPF) [BPF93] Nato per sopperire alle limitazioni delle soluzioni precedenti (CSPF e discendenti) e per consentire lo sviluppo di tool di monitoring flessibili ed efficienti (e.g. tcpdump) Propone un nuovo e più complesso modello di macchina virtuale per l esecuzione in kernel di programmi di filtraggio Le funzionalità di cattura e filtering dei pacchetti sono fornite alle applicazioni tramite la libreria utente pcap, inizialmente integrata in tcpdump e poi resa indipendente a partire dal

26 BPF: caratteristiche (1) La progettazione del BPF si fonda sull eliminazione dei punti critici del CSPF Macchina virtuale a 32 bit a registri Un registro accumulatore (A) Un registro indice (x) Una memoria per dati temporanei Instruction pointer implicito Supporto per campi ad offset variabile Operatori di load indiretto, con offset specificato dal registro indice consentono il decoding di protocolli complessi quali TCP/IP 26

27 BPF: caratteristiche (2) Set di istruzioni Istruzioni semplici Es. le istruzioni operano su una sola area di memoria per volta, per cui possono essere implementate con una switch Permette di creare un interprete efficiente Conversione automatica tra i dati nella memoria di pacchetto (network byte order) e le operazioni elementari (host byte order) Gestione delle eccezioni Non prevista; in caso di errore (es. accesso fuori dal buffer dl pacchetto, divisioni per zero) viene semplicemente ritornato un filtro falso 27

28 BPF: caratteristiche (3) Supporto per accessi alla memoria di pacchetto a 8, 16, 32 bit Operatori per il controllo del flusso Comparazione e branch in un unica istruzione nella forma JUMP_IF_EQUAL ETHERTYPE_IP, T1, T2 I loop sono vietati, sono possibili solo salti in avanti Garanzia di terminazione del programma in un tempo finito Viene ingegnerizzata una libreria user-friendly per la creazione di questi filtri Libpcap (WinPcap in Windows) Traduce un espressione di alto livello in codice BPF Il programma risultante viene quindi interpretato dalla macchina virtuale BPF Implementazione di default: nel kernel del sistema operativo 28

29 BPF: Control Flow Graph Model CSPF è basato su un modello ad albero di espressioni in cui operazioni potenzialmente ridondanti devono essere comunque eseguite Non vi è la possibilità di memorizzare un risultato della computazione per poterlo riutilizzare successivamente (ad es. il doppio controllo sul campo ether.type) BPF è basato su un modello a grafo di controllo del flusso, una macchina a stati in cui Ogni nodo rappresenta un gruppo di istruzioni Le transizioni di stato avvengono in base al risultato delle operazioni di Test&Branch Controlli inutili vengono evitati grazie a transizioni di corto-circuito che determinano immediatamente il risultato finale Transizioni di corto-circuito erano possibili anche con CSPF (con speciali istruzioni che terminavano il programma) ma erano soluzioni più ad-hoc che sistematiche Il CFG permette di ricordare la storia dell elaborazione passata 29

30 Expression Tree vs. Control Flow Graph Filtro pacchetti IP o ARP inviati dalla sorgente X Costo: - 4 confronti - 3 espressioni booleane OR Costo: - 3 confronti (con 2 salti) ETHER.TYPE = ARP F T AND AND ETHER.TYPE = IP ARP.SRC = X T ARP.SRC = X ETHER.TYPE = ARP IP.SRC = X ETHER.TYPE = IP IP.SRC = X Albero di espressioni Macchina a stati 30

31 Stack-based Processing vs. Control Flow Graph Filtro pacchetti IP o ARP Costo di accesso alla memoria: - 2 load (lettura dal pacchetto) - 1 store ( OR ) Costo di accesso alla memoria: - 1 load (lettura dal pacchetto) OR Ogni operazione booleana richiede un memory reference aggiuntivo T ldh [12] jeq #0x806 F jeq #0x800 T F ETHER.TYPE= IP ETHER.TYPE = ARP ret #65536 ret #0 Esecuzione stack-based Esecuzione tramite State Machine 31

32 BPF: esempio di programma Filtro tcp and port 80 (000) ldh [12] ;load ether.type (001) jeq #0x800 jt 2 jf 12 ;ether.type == IP? (002) ldb [23] ;load ip.protocol (003) jeq #0x6 jt 4 jf 12 ;ip.protocol == TCP? (004) ldh [20] ;load flags+frag_offset (005) jset #0x1fff jt 12 jf 6 ;frag_offset > 0? (i.e., c e TCP?) (006) ldxb 4*([14]&0xf) ;load hlen*4 into x (007) ldh [x + 14] ;load tcp.source (008) jeq #0x50 jt 11 jf 9 ;tcp.source == 80? (009) ldh [x + 16] ;load tcp.dest (010) jeq #0x50 jt 11 jf 12 ;tcp.dest == 80? (011) ret #65536 ;return whole frame (012) ret #0 ;discard frame 32

33 BPF: limitazioni BPF supera molte delle limitazioni insite nel modello CSPF e consente un notevole incremento di prestazioni per un singolo filtro CSPF: Architettura a stack, alberi di espressioni BPF: register-based, control-flow graph Non elimina tutte le ridondanze nel codice (vedi BPF+) Non offre supporto intelligente alla composizione di filtri È possibile attivare 2 filtri contemporaneamente, ma l intera aarchitettura viene duplicata (un secondo BPF in parallelo al primo) Il tempo di elaborazione cresce linearmente con il numero di filtri impostati dalle applicazioni Ogni pacchetto deve essere elaborato da ogni filtro in sequenza 33

34 BPF e componibilità dei filtri (1) Nella maggioranza dei casi, la non componibilità dei filtri BPF non rappresenta un problema E raro avere molte applicazioni di monitoring attive contemporaneamente sulla stessa macchina Nei casi in cui sia necessario discriminare tra un notevole numero di flussi di pacchetti il problema diventa non trascurabile 34

35 BPF e componibilità dei filtri (2) Esempio: N filtri che specificano tutti il path ip tcp, ciascuno con un confronto su una diversa coppia di porte sorgente e destinazione Cioè N filtri sostanzialmente identici, tranne che per un dettaglio Risultato: N confronti sull ethertype (== IP?) N confronti sul next proto IP (== TCP?) N confronti sui campi TCP source e TCP destination N operazioni identiche! Equivale a linear-search con exact match 35

36 Mach Packet Filter [MPF94] Mira a risolvere i seguenti problemi: Demultiplexing efficiente a livello applicativo (il sistema operativo deve smistare un pacchetto all applicativo corretto si base sessione) Gestione efficiente dei frammenti IP Modifica Il set di istruzioni BPF con istruzioni in grado di operare efficacemente in queste condizioni Il compilatore che è in grado di riconoscere il caso in cui due filtri hanno un prologo identico e in questo caso aggiunge solamente un nuovo identificativo di sessione Applicativo1 Prologo (filtro su Ethernet, IP, TCP) Copia chiavi nella scratch memory Identificazione delle sessioni Applicativo2 Applicativo3 36

37 Esempio /* Part (A) Prologo */ ldh P[OFF_ETHERTYPE] jeq #ETHERTYPE_IP, L1, Fail L1: ld P[OFF_DST_IP] jeq #dst_addr, L2, Fail L2: ldb P[OFF_PROTO] jeq #IPPROTO_TCP, L3, Fail L3: ldh P[OFF_FRAG] jset #!Dont_Frag_Bit, Fail, L4 ; A = ethertype ; If not IP, fail. ; A = dst IP address ; If not from dst_addr, fail. ; A = protocol ; If not TCP, fail. ; A = Frag_flags Frag_offset ; If fragmented, fail. L4: /* Part (B) Scrittura delle chiavi in memoria */ ld P[OFF_SRC_IP] ; A = src IP address st M[0] ; M[0] = A ldxb 4 * (P[OFF_IHL] & 0xf) ; X = offset to TCP header ldh P[x + OFF_SRC_PORT] ; A = src TCP port st M[1] ; M[1] = A ldh P[x + OFF_DST_PORT] ; A = dst TCP port st M[2] ; M[2] = A /* Part (C) Filtraggio sulle sessioni */ ret_match_imm #3, #ALL ; Compare keys and M[0..2]. key #src_addr ; If matched, accept the key #src_port ; whole packet. If not, key #dst_port ; reject the packet. Fail: ret #0 37

38 Vantaggi/svantaggi Molto orientato al problema del demultiplexing nel kernel di un sistema operativo Ottimizzazione molto semplice (ed efficace) ma valida solo in quel particolare ambito applicativo Richiede che tutti i filtri abbiano esattamente lo stesso prologo Solo in quel caso è possibile collassarne la parte finale Ottima scalabilità all aumentare del numero di sessioni Non propone soluzioni di ottimizzazione più generali nel caso di unione di più filtri generici 38

39 PathFinder (1) [PATH94] Introduce un nuovo modello di packet filter che supporta intrinsecamente la composizione di un numero arbitrario di filtri Generalizza il concetto di collassamento proposto da MPF Diversi filtri vengono integrati in un unico filtro composito per minimizzare il numero dei confronti ridondanti (e.g. verifiche su ether.type e ip.proto nell esempio precedente) L idea è quella di sovrapporre i Control Flow Graph di filtri diversi, in modo che tutti i controlli sullo stesso campo si trovino nello stesso nodo del CFG Ogni nodo è implementato da una tabella di hash contenente tutti i valori da confrontare, così da eliminare la ricerca lineare a favore di operazioni di hashing (molto più efficienti quando il numero dei confronti da effettuare è alto) 39

40 PathFinder (2) L elemento basilare sul quale si fonda PathFinder è detto cella Una cella identifica un generico campo di bit all interno del pacchetto ed un valore col quale questo deve essere confrontato per il demultiplexing di un protocollo Ogni cella è descritta tramite una tupla nella forma <offset, length, mask, value> Ad esempio, la cella che permette di controllare se un pacchetto IP contiene un header TCP è definita dalla tupla <9, 1, 0xFF, 6> Il prossimo protocollo è TCP se il decimo byte a partire dall inizio dell header IP, mascherato con 0xFF (i.e. un byte con ogni bit a 1), vale 6 40

41 PathFinder (3) Un filtro è definito da: Celle: esprime una condizione su un campo Linee: definisce più condizioni che devono essere verificate sullo stesso protocollo Header: definisce un protocollo e la lunghezza del suo header Pattern: definisce su quale protocollo (header) dovrà essere soddisfatta una linea Necessario per calcolare gli offset dei vari campi (che sono relativi all inizio del protocollo) Composite pattern: definisce un insieme di pattern che operano su più protocolli Header di lunghezza variabile sono gestiti tramite apposite celle di load che permettono di caricare il valore di un campo in una variabile per un successivo riutilizzo in una cella di confronto 41

42 Esempio: header a lunghezza fissa Pacchetti TCP con ip.src == # Define cells # TCP s protl id (1 byte) ip_cell1 = (9, 1, 0xff, 6) # ip src addr (4 bytes) ip_cell2 = (12, 4, 0xffffffff, 0xc00c4501) # Define line (group of cells that compose the pattern) ip_line1 = (ip_cell1, ip_cell2) # Define the IP header # 20 byte fixed size hdr ip_header = (FIXED, 20, 1) # Define the pattern for TCP packets in which ip.src == # NULL is because we do not define an alternative path for fragmented packets ip_pattern = (ip_header, ip_line1, NULL) 42

43 Esempio: header a lunghezza variabile Pacchetti TCP con ip.src == # Define cells # Get lower 4 bits from offset 0 (ip header length) ip_hdrcell = (0, 1, 0x0f, NULL) # TCP s protl id (1 byte) ip_cell1 = (9, 1, 0xff, 6) # ip src addr (4 bytes) ip_cell2 = (12, 4, 0xffffffff, 0xc00c4501) # Define line (group of cells that compose the pattern) ip_line1 = (ip_cell1, ip_cell2) # Define the IP header # IP is variable length, which is ip.hdrcell multiplied by 4 ip_header = (VARIABLE, ip_hdrcell, 4) # Define the pattern for TCP packets in which ip.src == # NULL is because we do not define an alternative path for fragmented packets ip_pattern = (ip_header, ip_line1, NULL) 43

44 PathFinder: filtro composto (1) Filtri diversi vengono combinati in un unico filtro sovrapponendo i rispettivi pattern, senza ricreare le celle già esistenti Ethernet Cell IP? Sequenze Ethernet Cell IP? Identiche IP Cell Celle IP Cell TCP? Simili TCP? TCP Port 80 TCP Port Cell TCP Port Cell dport = 80? dport = 110? tcp.dport = 80 tcp.dport =

45 PathFinder: filtro composto (2) Modello basato su longest prefix match Due filtri vengono esaminati per verificare se hanno un prefisso iniziale comune In questo caso, le celle uguali vengono eseguite una sola volta Il DAG del filtro viene aumentato di un nuovo arco in OR per la parte relativa al suffisso divergente Celle diverse che descrivono lo stesso campo, ma valori di confronto diversi vengono condensati utilizzando una tabella di hash Ethernet (type) 0x0800 IP (protocol) 0x06 TCP (dport) IP (src) IP src La struttura di un filtro composito non deve essere necessariamente un albero, ma può essere un DAG (Directed Acyclic Graph) TCP dport 80 TCP dport

46 PathFinder: celle e tabelle di hash L array di puntatori alle celle di livello inferiore è implementato come una tabella di hash Array: lookup in tempo costante, ma, enorme spreco di memoria (l insieme dei puntatori ai nodi successivi è sparso, i.e. tanti spazi vuoti) Lista di valori: più compatto, ma ricerca lineare Hash: giusto compromesso tra velocità di ricerca e spazio occupato PathFinder gestisce anche il caso di confronto su intervalli (es. valore < 100) Array Lista Hash Ptr trie 1 Ptr trie 2 Ptr trie 3 Ptr trie 4 Ptr trie Ptr trie Ptr trie 80 Ptr trie 110 Valore Hash Ptr trie 80 Ptr trie

47 PathFinder: Trie-Search Un filtro composito è molto simile ad una struttura trie : Una macchina a stati con struttura ad albero, in cui ciascun nodo contiene un array di puntatori ad altri sub-trie Ogni array contiene un puntatore per ogni possibile carattere di un alfabeto fisso Per ricercare una parola chiave (e.g. un pattern) all interno della struttura, questa viene scomposta nei caratteri che la compongono Il carattere i-esimo viene utilizzato come indice nell array dell i-esimo nodo a partire dalla radice, per ottenere il puntatore ad un nodo al livello i+1 La ricerca procede ricorsivamente fino all ultimo carattere della parola 47

48 Trie-Search: esempio Alfabeto: abc Parole da ricercare: ab, ac, bc (ossia i filtri) Input1: abccca Input2: bcaab a b c a b c a b c a b c Ø ab ac Ø Ø bc Ø Ø Ø 48

49 PathFinder e Trie-Search: esempio 5 filtri: 1. ETH - IP - ICMP 2. ETH - IP - UDP 3. ETH - VLAN - IP - ICMP 4. ETH - IP - TCP - dport ETH - IP - TCP - dport 110 Ethernet (type) 0x0800 0x8100 VLAN (type) 0x0800 IP (protocol) 0x06 0x11 0x01 [1][3] La struttura generale di un filtro Pathfinder è un DAG composto dall unione dei pattern di tutti i filtri specificati TCP (dport) [2] UDP ICMP [4] [5] TCP dport 80 TCP dport

50 Esecuzione del codice di Pathfinder Cella Pathfinder: Cell <offset, length, mask, value> Esempio del codice necessario per interpretare una cella: LOAD A, Cell->offset; LOAD B, Cell->length; LOAD C, Packet[A:B]; LOAD A, Cell->mask; AND C, A; LOAD B, Cell->Value IF (C!= B) GOTO NO_MATCH 4 load aggiuntive per ogni cella, senza considerare bounds checking e controlli accessori 50

51 PathFinder: vantaggi e svantaggi Vantaggi Semplicità nell aggiunta di filtri (composizione) Gestisce frammentazione Ottimo nel caso di demultiplexing Svantaggi La struttura trie, se molto profonda, può portare a limitazioni delle performance Per ogni pacchetto, la macchina a stati deve essere simulata attraverso un parsing a runtime dell intera struttura in memoria Il numero di accessi a memoria necessari prima di ottenere un match può essere elevato Ciò porta ad una degradazione delle prestazioni Approccio poco generale per la composizione di filtri Gestisce headers con lunghezza variabile, ma non campi variabili Non consente predicati del tipo ip.src == ip.dst 51

52 Problemi nella composizione di filtri A fronte di più filtri, ne viene ritornato uno solo, che è quello con il percorso più lungo Facile da determinare se si seguono i percorsi AND (che hanno la precedenza) Non chiaro come viene determinato nel caso in cui vada scelto un percorso in OR (quando una cella ha due uscite) I filtri sono ottimizzati solamente se condividono un prefisso comune (ip.src == X and ip.dst == Y) or (ip.src == Y and ip.dst == X) : OK (tcp.sport == X and tcp.dport == W) or (ip.src == K and tcp.sport == Y): controllo ridondato su tcp.sport anche nel caso in cui sia giù stato verificato che valga X Risolto da Redundant Predicate Elimination in BPF+ 52

53 Dynamic Packet Filter (DPF) [DPF96] Ripropone lo stesso modello di PathFinder, basato su trie-search Ne supera le limitazioni prestazionali eliminando le load indirette nel codice di elaborazione di ogni cella Ogni volta che viene aggiunto un filtro (pattern), l intero classificatore viene tradotto in codice nativo ottimizzato, tramite tecniche di Dynamic Code Generation Il codice di packet processing viene viene quindi generato a runtime Le celle (qui chiamate atoms) vengono preventivamente ordinate in modo da accedere ad offset crescenti nel pacchetto Può essere un vantaggio o uno svantaggio Svantaggio: (ip.proto == TCP and ip.src = ) Vantaggio: (ip.src == X and ip.dst == Y) or (ip.dst == X and ip.src == Y) Non chiaro dall articolo se PathFinder possa fare la stessa cosa 53

54 DPF vs. PathFinder (1) Eliminazione degli overhead di interpretazione I parametri di ogni cella sono noti all atto della sua creazione (e normalmente pari a valori costanti) Le operazioni di load da memoria di tali valori possono essere sostituiti dall utilizzo di costanti Utilizzo della modalità di indirizzamento immediate Un valore costante è inglobato all interno dell opcode di alcune istruzioni LOAD A, Cell->offset; LOAD B, Cell->length; LOAD C, Packet[A:B]; LOAD A, Cell->mask; AND C, A; LOAD B, Cell->Value IF (C!= B) GOTO NO_MATCH LOAD C, Packet[offs:len]; AND C, mask; IF (C!= value) GOTO NO_MATCH Codice per l interpretazione di una cella Codice nativo corrispondente con l utilizzo di valori immediate 54

55 DPF vs. PathFinder (2) Altre ottimizzazioni Capacità di ottimizzare l operazione di switch su una cella Hash table, jump table, IF annidati Atom coalescing Es. tcp.sport == 0x80 and tcp.dport == 0x90 tcp.port == 0x8090 Bound check aggregation Se possibile, una volta per protocollo JIT non particolarmente evoluto 55

56 DPF: tempo di update Ogni volta che viene aggiunto un pattern al classificatore, questo deve essere interamente ricompilato Ciò implica che il tempo di update risultante sia dato da Tup_dpf = Tup_pathf + Tcodegen Dove Tup_dpf è il tempo di update del filtro DPF Tup_pathf è il tempo di update del filtro PathFinder Tcodegen è il tempo di compilazione Il tempo di update il più delle volte non è determinante, tuttavia deve rimanere limitato Il tempo di update dipende dalla quantità di passi di ottimizzazione nella fase di generazione del codice nativo 56

57 DPF vs. PathFinder: prestazioni Il confronto tra i due modelli, effettuato su macchine con prestazioni tra loro comparabili, porta ai seguenti risultati*: Un classificatore DPF è dalle 13 alle 26 volte più veloce dell equivalente PathFinder Conferma i risultati per cui il codice nativo è di un ordine di grandezza più lento rispetto al codice di una macchina virtuale Il tempo di update di DPF è solo tre volte superiore al tempo di update di PathFinder Le prestazioni di un classificatore DPF sono comparabili a quelle dello stesso classificatore codificato a mano, con l enorme vantaggio dato dalla flessibilità dell approccio 57

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario.

ICMP. Internet Control Message Protocol. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario. ICMP Internet Control Message Protocol Silvano GAI sgai[at]cisco.com Mario BALDI mario.baldi[at]polito.it http://staff.polito.it/mario.baldi Fulvio RISSO fulvio.risso[at]polito.it ICMP - 1 Copyright: si

Dettagli

ACCESS LIST. Pietro Nicoletti www.studioreti.it

ACCESS LIST. Pietro Nicoletti www.studioreti.it ACCESS LIST Pietro Nicoletti www.studioreti.it Access List - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario.baldi. Fulvio RISSO

ARP e RARP. Silvano GAI. sgai[at]cisco.com. Mario BALDI. mario.baldi[at]polito.it http://staff.polito.it/mario.baldi. Fulvio RISSO ARP e RARP Silvano GAI sgai[at]cisco.com Mario BALDI mario.baldi[at]polito.it http://staff.polito.it/mario.baldi Fulvio RISSO fulvio.risso[at]polito.it ARP - 1 Copyright: si veda nota a pag. 2 Nota di

Dettagli

SNMP e RMON. Pietro Nicoletti Studio Reti s.a.s. Mario Baldi Politecnico di Torino. SNMP-RMON - 1 P. Nicoletti: si veda nota a pag.

SNMP e RMON. Pietro Nicoletti Studio Reti s.a.s. Mario Baldi Politecnico di Torino. SNMP-RMON - 1 P. Nicoletti: si veda nota a pag. SNMP e RMON Pietro Nicoletti Studio Reti s.a.s Mario Baldi Politecnico di Torino SNMP-RMON - 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides)

Dettagli

Gestione della memoria centrale

Gestione della memoria centrale FONDAMENTI DI INFORMATICA Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine Gestione della memoria centrale 2000 Pier Luca Montessoro (si veda la nota di copyright alla slide

Dettagli

Esercizi di Sniffing

Esercizi di Sniffing Esercizi di Sniffing Fulvio Risso Guido Marchetto Esercizi Sniffing - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi

Dettagli

Architetture di router IP

Architetture di router IP Torino, novembre 2004 Reti e sistemi telematici Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER IP

Dettagli

Link Aggregation - IEEE 802.3ad

Link Aggregation - IEEE 802.3ad Link Aggregation - IEEE 802.3ad Mario Baldi Politecnico di Torino http://staff.polito.it/mario.baldi Pietro Nicoletti Studio Reti http://www.studioreti.it Basato sul capitolo 8 di: M. Baldi, P. Nicoletti,

Dettagli

Filtraggio del traffico IP in linux

Filtraggio del traffico IP in linux Filtraggio del traffico IP in linux Laboratorio di Amministrazione di Sistemi L-A Dagli appunti originali di Fabio Bucciarelli - DEIS Cos è un firewall? E un dispositivo hardware o software, che permette

Dettagli

Multicast e IGMP. Pietro Nicoletti www.studioreti.it

Multicast e IGMP. Pietro Nicoletti www.studioreti.it Multicast e IGMP Pietro Nicoletti wwwstudioretiit Multicast-2004-1 P Nicoletti: si veda nota a pag 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul

Dettagli

Uso di sniffer ed intercettazione del traffico IP

Uso di sniffer ed intercettazione del traffico IP Uso di sniffer ed intercettazione del traffico IP Massimo Bernaschi Istituto per le Applicazioni del Calcolo Mauro Picone Consiglio Nazionale delle Ricerche Viale del Policlinico, 137-00161 Rome - Italy

Dettagli

10_MLSwitching. ! Normalmente server web! Portali. ! Yahoo, Netscape. ! Notizie in tempo reale. ! CNN, La Stampa. ! Reperimento software. !

10_MLSwitching. ! Normalmente server web! Portali. ! Yahoo, Netscape. ! Notizie in tempo reale. ! CNN, La Stampa. ! Reperimento software. ! Nota di Copyright Multi-layer switch commutazione hardware a vari livelli Mario Baldi Politecnico di Torino mario.baldi@polito.it staff.polito.it/mario.baldi Basato sul capitolo 10 di: M. Baldi, P. Nicoletti,

Dettagli

Multi-layer switch commutazione hardware a vari livelli. Mario Baldi. Politecnico di Torino. http://staff.polito.it/mario.baldi

Multi-layer switch commutazione hardware a vari livelli. Mario Baldi. Politecnico di Torino. http://staff.polito.it/mario.baldi Multi-layer switch commutazione hardware a vari livelli Mario Baldi Politecnico di Torino http://staff.polito.it/mario.baldi Basato sul capitolo 10 di: M. Baldi, P. Nicoletti, Switched LAN, McGraw-Hill,

Dettagli

Architetture di router IP

Architetture di router IP Torino, settembre 2003 Reti e sistemi telematici - 2 Architetture di router IP Gruppo Reti TLC giancarlo.pirani@telecomitalia.it http://www.telematica.polito.it/ GIANCARLO PIRANI TELECOM ITALIA LAB ROUTER

Dettagli

Internet Protocol Versione 4: aspetti generali

Internet Protocol Versione 4: aspetti generali Internet Protocol Versione 4: aspetti generali L architettura di base del protocollo IP versione 4 e una panoramica sulle regole fondamentali del mondo TCP/IP 1 Cenni storici Introduzione della tecnologia

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls Università degli Studi di Pisa Dipartimento di Informatica NAT & Firewalls 1 NAT(NETWORK ADDRESS TRANSLATION) MOTIVAZIONI NAT(Network Address Translation) = Tecnica di filtraggio di pacchetti IP con sostituzione

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Raw socket. L intercettazione di un pacchetto IP

Raw socket. L intercettazione di un pacchetto IP Raw socket Il sistema compie molte operazioni sui livelli bassi della rete, ma che non sono immediatamente visibili all utente tramite l interfaccia delle socket L intercettazione di un pacchetto IP Anche

Dettagli

Architetture CISC e RISC. Misura della potenza di calcolo. Cos'è la potenza di calcolo. Prestazioni della CPU. Fondamenti di Informatica

Architetture CISC e RISC. Misura della potenza di calcolo. Cos'è la potenza di calcolo. Prestazioni della CPU. Fondamenti di Informatica FONDAMENTI DI INFORMATICA Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine Architetture CISC e RISC 2000 Pier Luca Montessoro (si veda la nota di copyright alla slide n.

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai@cisco.com Mario Baldi Politecnico di Torino mario.baldi@polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota a

Dettagli

FONDAMENTI DI MATEMATICA BINARIA

FONDAMENTI DI MATEMATICA BINARIA FONDAMENTI DI MATEMATICA BINARIA Pietro Nicoletti p.nicol@inrete.it Binar - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Il livello Network del TCP/IP. Il protocollo IP (versione 4)

Il livello Network del TCP/IP. Il protocollo IP (versione 4) Il livello Network del TCP/IP. Il protocollo IP (versione 4) L architettura TCP/IP (il cui nome più preciso è ) è formata da diversi componenti, che si posizionano nello stack dei protocolli a partire

Dettagli

Introduzione allo sniffing

Introduzione allo sniffing Università degli Studi di Milano Facoltà di Scienze Matematiche, Fisiche e Naturali Anno Accademico 2007/2008 Introduzione allo sniffing Roberto Paleari 2-4 Settembre 2008 Roberto Paleari Introduzione

Dettagli

Esercitazione 7 Sommario Firewall introduzione e classificazione Firewall a filtraggio di pacchetti Regole Ordine delle regole iptables 2 Introduzione ai firewall Problema: sicurezza di una rete Necessità

Dettagli

Il protocollo VTP della Cisco

Il protocollo VTP della Cisco Il protocollo VTP della Cisco Pietro Nicoletti Piero[]studioreti.it VTP-Cisco - 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

Impiego e funzioni principali del LAN- Analyzer e del Wireless-LAN Analyzer. Pietro Nicoletti www.studioreti.it

Impiego e funzioni principali del LAN- Analyzer e del Wireless-LAN Analyzer. Pietro Nicoletti www.studioreti.it Impiego e funzioni principali del LAN- Analyzer e del Wireless-LAN Analyzer Pietro Nicoletti www.studioreti.it Lan-Analyzer - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze

Dettagli

Architetture CISC e RISC

Architetture CISC e RISC FONDAMENTI DI INFORMATICA Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine Architetture CISC e RISC 2000 Pier Luca Montessoro (si veda la nota di copyright alla slide n.

Dettagli

University of Modena and Reggio Emilia. Laboratorio di Comunicazioni Multimediali WIRESHARK. Daniela Saladino (daniela.saladino@unimore.

University of Modena and Reggio Emilia. Laboratorio di Comunicazioni Multimediali WIRESHARK. Daniela Saladino (daniela.saladino@unimore. University of Modena and Reggio Emilia Laboratorio di Comunicazioni Multimediali WIRESHARK Daniela Saladino (daniela.saladino@unimore.it) Analizzatore di protocollo Cattura i pacchetti, decodifica e analizza

Dettagli

NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE

NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE Loris Degioanni*, Mario Baldi*, Diego Buffa**, Fulvio Risso*, Federico Stirano***, Gianluca Varenni* *

Dettagli

IP Multicast. Mario Baldi mario.baldi@polito.it staff.polito.it/mario.baldi. Silvano Gai sgai@cisco.com. Nota di Copyright. Comunicazioni di gruppo

IP Multicast. Mario Baldi mario.baldi@polito.it staff.polito.it/mario.baldi. Silvano Gai sgai@cisco.com. Nota di Copyright. Comunicazioni di gruppo IP Multicast Mario Baldi mario.baldi@polito.it staff.polito.it/mario.baldi Silvano Gai sgai@cisco.com Multicast - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto

Dettagli

Transmission Control Protocol

Transmission Control Protocol Transmission Control Protocol Franco Callegati Franco Callegati IC3N 2000 N. 1 Transmission Control Protocol - RFC 793 Protocollo di tipo connection-oriented Ha lo scopo di realizzare una comunicazione

Dettagli

Progetto di una rete IP Addressing

Progetto di una rete IP Addressing Progetto di una rete IP Addressing Mario Baldi Flavio Marinone Fulvio Risso AddressingIP - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides)

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

I protocolli di routing dell architettura TCP/IP

I protocolli di routing dell architettura TCP/IP I protocolli di routing dell architettura TCP/IP Silvano GAI sgai[at]cisco.com Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi routing-ip - 1 Copyright: si veda nota

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE

NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE NETWORK VIRTUAL MACHINE (NETVM): PORTABILITÀ ED EFFICIENZA NELL'ELABORAZIONE DI PACCHETTI DI RETE Loris Degioanni*, Mario Baldi*, Diego Buffa**, Fulvio Risso*, Federico Stirano***, Gianluca Varenni* *

Dettagli

Il protocollo IP (Internet Protocol)

Il protocollo IP (Internet Protocol) Politecnico di Milano Advanced Network Technologies Laboratory Il protocollo IP (Internet Protocol) -Servizi offerti da IP -Formato del pacchetto IP 1 Il servizio di comunicazione offerto da IP Connectionless

Dettagli

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori

Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Definizione e sintesi di modelli del traffico di rete per la rilevazione in tempo reale delle intrusioni in reti di calcolatori Francesco Oliviero folivier@unina.it Napoli, 22 Febbraio 2005 ipartimento

Dettagli

IL LIVELLO RETE IN INTERNET Protocollo IP

IL LIVELLO RETE IN INTERNET Protocollo IP Reti di Calcolatori IL LIVELLO RETE IN INTERNET Protocollo IP D. Talia RETI DI CALCOLATORI - UNICAL 4-1 Il Protocollo IP IPv4 Datagram IP: formato Indirizzi IP: formato Protocolli di controllo IP mobile

Dettagli

Voce su IP e Telefonia su IP

Voce su IP e Telefonia su IP Voce su IP e Telefonia su IP Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi VoIP - 1 M. Baldi: see page 2 Nota di Copyright Questo insieme di trasparenze (detto

Dettagli

4 - Il livello di trasporto

4 - Il livello di trasporto Università di Bergamo Dipartimento di Ingegneria Gestionale e dell Informazione 4 - Il livello di trasporto Architetture e Protocolli per Internet Servizio di trasporto il livello di trasporto ha il compito

Dettagli

Il modello TCP/IP. Sommario

Il modello TCP/IP. Sommario Il modello TCP/IP Il protocollo IP Mario Cannataro Sommario Introduzione al modello TCP/IP Richiami al modello ISO/OSI Struttura del modello TCP/IP Il protocollo IP Indirizzi IP Concetto di sottorete Struttura

Dettagli

Servizi differenziati su Internet

Servizi differenziati su Internet Servizi differenziati su Internet L architettura Differentiated Services Mario Baldi Politecnico di Torino mario.baldi [at] polito.it http://staff.polito.it/mario.baldi DiffServ - 1 DiffServ - 2 Nota di

Dettagli

Il contesto! Gestione della Memoria! Reg. di Base e reg. Limite! Associazione tra dati/istruzioni e memoria!

Il contesto! Gestione della Memoria! Reg. di Base e reg. Limite! Associazione tra dati/istruzioni e memoria! Il contesto Gestione della Memoria Per essere eseguiti, i programmi devono essere trasferiti (dal disco) in memoria e tradotti in processi. Obiettivi: accesso rapido e protezione. Accesso rapido La CPU

Dettagli

Verifica del codice con Interpretazione Astratta

Verifica del codice con Interpretazione Astratta Verifica del codice con Interpretazione Astratta Daniele Grasso grasso@dsi.unifi.it grasso.dan@gmail.com Università di Firenze, D.S.I., Firenze, Italy December 15, 2009 D.Grasso (Università di Firenze)

Dettagli

File System Distribuiti

File System Distribuiti File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema 20.1 Introduzione File System Distribuito

Dettagli

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione

Introduzione. File System Distribuiti. Nominazione e Trasparenza. Struttura dei DFS. Strutture di Nominazione File System Distribuiti Introduzione Nominazione e Trasparenza Accesso ai File Remoti Servizio Con/Senza Informazione di Stato Replica dei File Un esempio di sistema Introduzione File System Distribuito

Dettagli

Reti standard. Si trattano i modelli di rete su cui è basata Internet

Reti standard. Si trattano i modelli di rete su cui è basata Internet Reti standard Si trattano i modelli di rete su cui è basata Internet Rete globale Internet è una rete globale di calcolatori Le connessioni fisiche (link) sono fatte in vari modi: Connessioni elettriche

Dettagli

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE

RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE RETI DI CALCOLATORI E APPLICAZIONI TELEMATICHE Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1999 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright

Dettagli

È possibile filtrare i pacchetti in base alla porta Ad esempio specificando la porta 80 ascolto il traffico web di un host

È possibile filtrare i pacchetti in base alla porta Ad esempio specificando la porta 80 ascolto il traffico web di un host Sniffer con libreria Pcap 1 Realizzazione di uno Sniffer con la libpcap Sistemi per l elaborazione dell informazione: Sicurezza su Reti A.A. 2001/2002 Prof. Alfredo De Santis Giovanni Lovisi Nicola Rossi

Dettagli

Autenticazione tramite IEEE 802.1x

Autenticazione tramite IEEE 802.1x Autenticazione tramite IEEE 802.1x Pietro Nicoletti Studio Reti s.a.s www.studioreti.it 802-1-X-2004 -Switch 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto

Dettagli

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione

Dettagli

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall

Firewall e NAT A.A. 2005/2006. Walter Cerroni. Protezione di host: personal firewall Firewall e NAT A.A. 2005/2006 Walter Cerroni Protezione di host: personal firewall Un firewall è un filtro software che serve a proteggersi da accessi indesiderati provenienti dall esterno della rete Può

Dettagli

Voce su IP e Telefonia su IP

Voce su IP e Telefonia su IP Voce su e Telefonia su Mario Baldi Politecnico di Torino mario.baldi[at]polito.it staff.polito.it/mario.baldi Nota di Copyright Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle

Dettagli

Sicurezza applicata in rete

Sicurezza applicata in rete Sicurezza applicata in rete Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico e dei

Dettagli

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport.

ICMP OSI. Internet Protocol Suite. Telnet FTP SMTP SNMP TCP e UDP NFS. Application XDR. Presentation. Session RPC. Transport. ICMP Application Presentation Session Transport Telnet FTP SMTP SNMP TCP e UDP NFS XDR RPC Network Data Link Physical OSI ICMP ARP e RARP IP Non Specificati Protocolli di routing Internet Protocol Suite

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway

FIREWALL. Firewall - modello OSI e TCP/IP. Gianluigi Me. me@disp.uniroma2.it Anno Accademico 2005/06. Modello OSI. Modello TCP/IP. Application Gateway FIREWALL me@disp.uniroma2.it Anno Accademico 2005/06 Firewall - modello OSI e TCP/IP Modello TCP/IP Applicazione TELNET FTP DNS PING NFS RealAudio RealVideo RTCP Modello OSI Applicazione Presentazione

Dettagli

Controllo di flusso negli switch IEEE 802.3x

Controllo di flusso negli switch IEEE 802.3x Controllo di flusso negli switch IEEE 802.3x Mario Baldi Politecnico di Torino http://staff.polito.it/mario.baldi Pietro Nicoletti Studio Reti http://www.studioreti.it Basato sul capitolo 8 di: M. Baldi,

Dettagli

La memoria virtuale. La gerarchia di memorie. Indirizzo fisico. Memoria virtuale. Architetture Avanzate dei Calcolatori. Valeria Cardellini

La memoria virtuale. La gerarchia di memorie. Indirizzo fisico. Memoria virtuale. Architetture Avanzate dei Calcolatori. Valeria Cardellini La memoria Architetture Avanzate dei Calcolatori Valeria Cardellini Nelle lezioni precedenti { Memoria La gerarchia di memorie Registri Istruzioni, operandi L Cache Blocchi L2 Cache Blocchi Memoria Pagine

Dettagli

1. Spiegare le differenze fra le seguenti modalità di binding degli indirizzi:

1. Spiegare le differenze fra le seguenti modalità di binding degli indirizzi: 1. Spiegare le differenze fra le seguenti modalità di binding degli indirizzi: compile time, load time, execution time. Quale delle modalità precedenti necessita di un supporto hardware per poter essere

Dettagli

SIP e SDP. Segnalazione nelle reti VoIP. Fulvio Risso. Politecnico di Torino

SIP e SDP. Segnalazione nelle reti VoIP. Fulvio Risso. Politecnico di Torino SIP e SDP Segnalazione nelle reti VoIP Fulvio Risso Politecnico di Torino fulvio.risso[at]polito.it http://netgroup.polito.it/netlibrary/voip-intro/text.htm#73 Mario Baldi Politecnico di Torino mario.baldi[at]polito.it

Dettagli

Ricerca guasti e monitoring delle Switched LAN

Ricerca guasti e monitoring delle Switched LAN Ricerca guasti e monitoring delle Switched LAN Pietro Nicoletti www.studioreti.it Switchedlan-Trouble- 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

SISTEMI OPERATIVI. Gestione della memoria Domande di verifica. Luca Orrù Centro Multimediale Montiferru 18/06/2007

SISTEMI OPERATIVI. Gestione della memoria Domande di verifica. Luca Orrù Centro Multimediale Montiferru 18/06/2007 2007 SISTEMI OPERATIVI Gestione della memoria Domande di verifica Luca Orrù Centro Multimediale Montiferru 18/06/2007 Gestione della memoria 1. Si descriva il concetto di memoria virtuale (esame del 19-06-2006)

Dettagli

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall

Il firewall ipfw. Introduzione ai firewall. Problema: sicurezza di una rete. Definizione di firewall. Introduzione ai firewall Il firewall ipfw Introduzione ai firewall classificazione Firewall a filtraggio dei pacchetti informazioni associate alle regole interpretazione delle regole ipfw configurazione impostazione delle regole

Dettagli

TCP/IP un introduzione

TCP/IP un introduzione TCP/IP un introduzione Introduzione Il successo di Internet (rate di crescita annuo > 200 %) e dovuto all uso di protocolli standard aperti (IETF) TCP/IP (Transmission Control Protocol/Internet Protocol)

Dettagli

Servizi integrati su Internet

Servizi integrati su Internet Servizi integrati su Internet L architettura Integrated Services Mario Baldi Politecnico di Torino mario.baldi [at] polito.it http://staff.polito.it/mario.baldi IntServ - 1 Nota di Copyright Questo insieme

Dettagli

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet )

SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) PARTE 2 SUITE PROTOCOLLI TCP/IP ( I protocolli di Internet ) Parte 2 Modulo 1: Stack TCP/IP TCP/IP Protocol Stack (standard de facto) Basato su 5 livelli invece che sui 7 dello stack ISO/OSI Application

Dettagli

IP Internet Protocol

IP Internet Protocol IP Internet Protocol Vittorio Maniezzo Università di Bologna Vittorio Maniezzo Università di Bologna 13 IP - 1/20 IP IP è un protocollo a datagrammi In spedizione: Riceve i dati dal livello trasporto e

Dettagli

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità

Standard: OSi vs TCP/IP. Il livello di trasporto. TCP e UDP. TCP: Transmission Control Protocol. TCP: funzionalità Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi: le raisons d etre della rete Transport TCP

Dettagli

Il livello trasporto Protocolli TCP e UDP

Il livello trasporto Protocolli TCP e UDP Il livello trasporto Protocolli TCP e UDP Standard: OSi vs TCP/IP Application Presentation Session NFS XDR RPC Telnet, FTP SMTP, HTTP SNMP, DNS RTP,... Protocolli per la comunicazione tra applicativi:

Dettagli

La macchina programmata Instruction Set Architecture (1)

La macchina programmata Instruction Set Architecture (1) Corso di Laurea in Informatica Architettura degli elaboratori a.a. 2014-15 La macchina programmata Instruction Set Architecture (1) Schema base di esecuzione Istruzioni macchina Outline Componenti di un

Dettagli

Le virtual machine e la memoria virtuale

Le virtual machine e la memoria virtuale Le virtual machine e la memoria virtuale Prof. Alberto Borghese Dipartimento di Scienze dell Informazione alberto.borghese@unimi.it Università degli Studi di Milano Riferimento Patterson 5: 5.6, 5.7. 1/30

Dettagli

Parte II: Reti di calcolatori Lezione 16

Parte II: Reti di calcolatori Lezione 16 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 16 Giovedì 24-04-2014 1 Traduzione degli

Dettagli

L architettura di TCP/IP

L architettura di TCP/IP L architettura di TCP/IP Mentre non esiste un accordo unanime su come descrivere il modello a strati di TCP/IP, è generalmente accettato il fatto che sia descritto da un numero di livelli inferiore ai

Dettagli

Le virtual machine e la memoria virtuale

Le virtual machine e la memoria virtuale Le virtual machine e la memoria virtuale Prof. Alberto Borghese Dipartimento di Scienze dell Informazione alberto.borghese@unimi.it Università degli Studi di Milano Riferimento Patterson 5: 5.6, 5.7. 1/29

Dettagli

Network Troubleshooting

Network Troubleshooting Network Troubleshooting Introduzione e concetti base di Giovanni Perteghella [Digital Lab] Webb.it 2004 - Padova 1 Copyright Questo insieme di trasparenze è protetto dalle leggi sul copyright e dalle disposizioni

Dettagli

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router

LAN MAN WAN. Una internet è l'insieme di più reti reti distinte collegate tramite gateway/router Rete di reti (interrete, internet) 2 Prof. Roberto De Prisco TEORIA - Lezione 8 Rete di reti e Internet Università degli studi di Salerno Laurea e Diploma in Informatica Una rete di comunicazione è un

Dettagli

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it

Wireless Network Esercitazioni. Alessandro Villani avillani@science.unitn.it Wireless Network Esercitazioni Alessandro Villani avillani@science.unitn.it Radius AAA Dato un certo numero di punti di accesso dall esterno alla rete Data una grande quantità di utenti Abbiamo la necessità

Dettagli

IGRP Interior Gateway Routing Protocol

IGRP Interior Gateway Routing Protocol IGRP Interior Gateway Routing Protocol Mario Baldi Politecnico di Torino mario.baldi[at]polito.it http://staff.polito.it/mario.baldi IGRP - 1 Nota di Copyright Questo insieme di trasparenze (detto nel

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Architettura di un sistema operativo

Architettura di un sistema operativo Architettura di un sistema operativo Struttura di un S.O. Sistemi monolitici Sistemi a struttura semplice Sistemi a livelli Virtual Machine Sistemi basati su kernel Sistemi con microkernel Sistemi con

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

OmniSwitch Alcatel 7700, 7800, 8800

OmniSwitch Alcatel 7700, 7800, 8800 OmniSwitch Alcatel 7700, 7800, 8800 Pietro Nicoletti www.studioreti.it Alcatel-Switch - 1 P. Nicoletti: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides)

Dettagli

Reti logiche e componenti di un elaboratore

Reti logiche e componenti di un elaboratore FONDAMENTI DI INFORMATICA Ing. Davide PIERATTONI Facoltà di Ingegneria Università degli Studi di Udine Reti logiche e componenti di un elaboratore 2000-2007 P.L. Montessoro - D. Pierattoni (cfr. nota di

Dettagli

Introduzione alla GPGPU Corso di sviluppo Nvidia CUDATM. Davide Barbieri

Introduzione alla GPGPU Corso di sviluppo Nvidia CUDATM. Davide Barbieri Introduzione alla GPGPU Corso di sviluppo Nvidia CUDATM Davide Barbieri Contatti skype: davbar86 mail: davide.barbieri@ghostshark.it Panoramica corso Introduzione al mondo delle GPU Modello GPGPU Nvidia

Dettagli

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it >

Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it > Introduzione a Wireshark Andrea Atzeni < shocked@polito.it > Marco Vallini < marco.vallini@polito.it > Politecnico di Torino Dip. Automatica e Informatica Introduzione intercettare traffico diretto alla

Dettagli

Gli indirizzi di IPv6

Gli indirizzi di IPv6 Nota di Copyright Gli indirizzi di IPv6 Silvano GAI sgai@cisco.com IPV6-ADD - 1 Copyright: si veda nota a pag. 2 Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

network subnet host Classe A poche reti di dimensioni molto grandi 127

network subnet host Classe A poche reti di dimensioni molto grandi 127 INDIRIZZAMENTO IP Gli indirizzi IP, che devono essere univoci sulla rete, sono lunghi 32 bit (quattro byte) e sono tradizionalmente visualizzati scrivendo i valori decimali di ciascun byte separati dal

Dettagli

I protocolli UDP e TCP

I protocolli UDP e TCP I protocolli UDP e TCP A.A. 2005/2006 Walter Cerroni Il livello di trasporto in Internet APP. APP. TCP UDP IP collegamento logico tra diversi processi applicativi collegamento logico tra diversi host IP

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Reti di computer. Materiale estratto da:

Reti di computer. Materiale estratto da: Reti di computer Materiale estratto da: RETI LOCALI: DAL CABLAGGIO ALL'INTERNETWORKING (S. Gai, P. L. Montessoro e P. Nicoletti); Slides del corso Teach: spunti teorico- pratici per la progettazione di

Dettagli

Lezione 11. Sistemi operativi. Marco Cesati System Programming Research Group Università degli Studi di Roma Tor Vergata.

Lezione 11. Sistemi operativi. Marco Cesati System Programming Research Group Università degli Studi di Roma Tor Vergata. Lezione 11 system Sistemi operativi 12 maggio 2015 System Programming Research Group Università degli Studi di Roma Tor Vergata SO 15 11.1 Di cosa parliamo in questa lezione? L interfaccia : system 1 Il

Dettagli

Introduzione ai sistemi operativi

Introduzione ai sistemi operativi FONDAMENTI DI INFORMATICA Ing. Davide PIERATTONI Facoltà di Ingegneria Università degli Studi di Udine Introduzione ai sistemi operativi 1 Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

Febbraio 1998 GIGABIT ETHERNET. Pietro Nicoletti. p.nicol@inrete.it. GIGABIT - 1 Copyright: si veda nota a pag. 2

Febbraio 1998 GIGABIT ETHERNET. Pietro Nicoletti. p.nicol@inrete.it. GIGABIT - 1 Copyright: si veda nota a pag. 2 GIGABIT ETHERNET Pietro Nicoletti p.nicol@inrete.it GIGABIT - 1 Copyright: si veda nota a pag. 2 Nota di Copyright Questo insieme di trasparenze (detto nel seguito slides) è protetto dalle leggi sul copyright

Dettagli

Livello Trasporto Protocolli TCP e UDP

Livello Trasporto Protocolli TCP e UDP Livello Trasporto Protocolli TCP e UDP Davide Quaglia Reti di Calcolatori - Liv Trasporto TCP/UDP 1 Motivazioni Su un host vengono eseguiti diversi processi che usano la rete Problemi Distinguere le coppie

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli