Motivazioni. Misurare il comportamento di IP and TCP su un nodo di accesso. Il software: TStat. Il software: TStat. Tstat design.

Dimensione: px

Iniziare la visualizzazioe della pagina:

Download "Motivazioni. Misurare il comportamento di IP and TCP su un nodo di accesso. Il software: TStat. Il software: TStat. Tstat design."

Cosima Di Carlo
6 anni fa
Visualizzazioni

Misurare il comportamento di IP and TCP su un nodo di accesso Marco Mellia Motivazioni Siamo interessati a: Misurare il traffico in Internet A livello IP A livello TCP Ricostruire misure a livello di

1 Misurare il comportamento di IP and TCP su un nodo di accesso Marco Mellia Motivazioni Siamo interessati a: Misurare il traffico in Internet A livello IP A livello TCP Ricostruire misure a livello di flusso TCP Lunghezze flussi Dimensioni finestre Sequenze di perdita Il software: TStat Diversi tooldi cattura e analisi di tracce dati sono presenti I più famosi/usati sono basati su libpcap Sono free, e usano comune hardware da PC Nessuno produce analisi statistiche dei dati Nessuno è in grado di lavorare on-line Nessuno dispone di interfacce utente semplici Tstat cerca di fare tutto ciò Il software: TStat TStat costruisce istogrammi: ogni minuti le statistiche sono salvate, per un totale di più di 8 istogrammi Sono disponibili una serie di tooldi post-elaborazione che permettono di ricavare istogrammi cumulativi e fare analisi tempo-varianti Una interfaccia web permette la successiva visualizzazione dei dati raccolti in modo intuitivo e semplice Schema di misura Tstat design Analysis module Si distinguono client e server pacchetti/flussi entranti and uscenti Tstat analizza sia il traffico entrante, sia quello uscente, per poter ricostruire lo stato di connessioni TCP L analizzatore deve essere posizionato vicino ad un router di accesso I/O module Live (pcap, dag) File (pcap, dag, ns, ) Garbage collector Flow database Stat dumper Internal Stat arrays variables File Database Histograms TCP flow log Web Interface php support Perl modules Plot_timepl Plot_cumpl

Tstat design: modulo di analisi Tstat design: file database Ogni T statistiche internel sono salvate su file Semplice formato colonnare Alberi di files/dirs memorizzano gli istogrammi Un file di log

2 Tstat design: modulo di analisi Tstat design: file database Ogni T statistiche internel sono salvate su file Semplice formato colonnare Alberi di files/dirs memorizzano gli istogrammi Un file di log per tutte le connessioni TCP analizzate log_complete log_nocomplete Stat dumper File Database Histograms TCP flow log /home7/tstat_data/tracce_elaborate/ -- Polito_Apr_2_preMbps _Apr_2dumpgzout addressesgz -- dupb_a2bgz addressesgz addressesgz _Apr_2dumpgzout addressesgz Esempio di output Descrizione degli istogrammi [mellia@verza mellia]$ head n 8 Polito_Nov_22/7_9 No v_22dumpgzout//protoc ol_ent File Database Histograms TCP flow log Descrizione del Log_complete #Col n# Short desc # # Client IP addr # # 2 # Client TCP port # # 3 # packets # # 4 # RST sent # # 43 # Server IP addr # # 44 # Server TCP port # # 4 # packets # # 46 # RST sent # Tstat: paginaweb Una interfaccia web permettedi Selezionare la misura desiderata Post-processare i dati selezionati Visualizzare dei grafici Alcuni esempi FOR MORE INFO Web Interface php support Web interface FOR MORE INFO Web interface FOR MORE INFO

3 Esempio di analisi Sono state collezionate diverse tracce sul nodo di accesso del Politecnico di Torino Presentiamo parte dei risultati ottenuti con TStat Date June 2 Jan 2 GARR-USA link 46Mbps 622Mbps Flows [ 6 ] Pkts [ 6 ] Protocol share [] Other UDP TCP Analisi a livello IP Misure basate su osservazione dell intestazione pacchetti IP Protocollo di livello superiore Distribuzione indirizzi IP Distribuzione lunghezza pacchetti Distribuzione Time to Live Risultati già noti Più alcune interessanti osservazioni IP: Protocollo superiore Version HLEN Service Type Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Source IP Address Destination IP Address IP: Protocollo superiore TCP UDP Other PAD Mon /29 : Tue /3 Wed /3 Thu 2/ 3:46 7:33 :2 time Fri 2/2 :6 Sat 2/3 8:3 Sun 2/4 22:4 Selezioniamo misure in ora di punta IP: lunghezza pacchetti Version HLEN Service Type Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Source IP Address IP: lunghezza pacchetti In Out Destination IP Address 2 PAD packet len [bytes]

4 IP: Time to Live Version HLEN Service Type Total Length Identification Flags Fragment Offset Time To Live Protocol Header Checksum Source IP Address Destination IP Address PAD IP: Time to Live In Out TTL Analisi a livello TCP Osserviamo l intestazione dei segmenti TCP Opzioni: SACK, MSS, TS, WS Ricostruzione dello stato dei flussi Lunghezza flussi (bytes, segmenti, impatto intestazione ) Ritrasmissioni, fuori sequenze Analisi a livello TCP Source port Destination port Sequence Number Acknowledgment Number HLEN Resv Flags RWND Checksum Urgent pointer TCP: opzioni Analisi flussi TCP option SACK WinScale TS SACK WinScale TS succ client server Jun Jan unset MSS Client Server Un flusso è identificato da Primo segmento SYN Un flusso finisce Correttamente con sequenza FIN+ACK Improvvisamente per segmento RST O viene dichiarato chiuso dopo 3sec di inattività

5 Flussi TCP lunghezza [bytes] In Out In Out Flussi TCP lung per servizio Service Port Flow segments Bytes HTTP Mail HTTPS POP FTP ctrl flow length [bytes] e- e+6 e+7 flow length [bytes] FTP data TCP: Analisi per semiflussi TCP offre un servizio bi-direzionale Ma le applicazioni generano dati bidirezionali? Data( C S) ξ = Data( C S) + Data( S C) Definiamo ξ come parametro di asimmetria Asimmetria [byte] Server mandano più dati x Client mandano più dati DataC ( S) ξ = DataC ( S) + DataS ( C) Asimmetria [segmenti] Asimmetria per servizio Server mandano più dati Client mandano più dati x Service HTTP Mail HTTPS POP FTP ctrl FTP data Average Client to server Server to client pkts Byte pkts Byte

6 TCP: Flight size TCP: Flight size Source port Destination port Sequence Number Acknowledgment Number HLEN Resv Flags Window Size Checksum Urgent pointer Osservando i valori dei campi numeri di sequenza, possiamo calcolare la dimensione dei dati in flight, ossia mandati e non ancora confermati Jun Jan bytes TCP: segmenti duplicati e fuori sequenza HLEN Source port Sequence Number Destination port Acknowledgment Number Resv Flags Checksum Window Size Urgent pointer Osservando i numeri di sequenza, possiamo stimare Segmenti fuori sequenza Segmenti duplicati E da questi derivare delle probabilità di perdita TCP: segmenti duplicati e fuori sequenza Period Jun Jan P{Outof sequence Burst} Vs PKT Vs flow In Out In Out Period Jun Jan 99 P{Duplicate Burst} Vs PKT Vs flow In Out In Out Classificazione di eventi anomali Euristica Possiamo distingueretra Ritrasmissioni per RTO Ritrasmissione per FR Duplicati generati dalla rete Fuori sequenza Ritr non necessarie per RTO Ritr non necessarie per FR Flow control??? Non è completa Non è esatta Tstat Client Server SYN SYN+ACK ACK???? Data ACK FIN ACK FIN ACK Out-of-sequence Duplicate

7 Risultati: 24 traffico uscente Risultati: 24 traffico entrante Risultati: 2 traffico entrante Risultati: 24 traffico entrante Risultati: 24 traffico uscente Risultati: impatto lunghezza file 7

8 Conclusioni Il mondo reale è molto diverso dal mondo della lavagna Sporcarsi le mani con le misure è divertente ma alla fine ripulirsi è difficile Sviluppi Stiamo lavorando su Protocolli real time (RTP-RTCP) Fastweb Misure su reti ad alta velocità Garr Misure su reti wireless GPRS -UMTS Vodafone WiFi Polito Spazio per tesi

Documenti analoghi

TCP: trasmissione Source port [16 bit] - Identifica il numero di porta sull'host mittente associato alla connessione TCP. Destination port [16 bit] - Identifica il numero di porta sull'host destinatario