トラフィックプロファイラAGURIの 設計と実装 慶應義塾大学 政策・メディア研究科 海崎 良 [email protected] 目的 短期的から長期に渡り利用可能なトラ フィックプロファイラの作成 通信機器における特徴的なフローの抽出 特徴的 データ量が多い パケット数が多い フロー (一般的)ip_addrペア + その他のフィールド (本研究)集約されたip_addrグループ + その他の フィールド AGURIに要求される仕様 データの集約 データ量の多いフローの抽出 計算機資源の節約 集約されたデータからの抽出 抽出するフロー数を出来るだけ少なくする 複数の視点からの視覚化 異なる時間粒度での視覚化 IPアドレス空間 class A-E CIDR(Classless InterDomain Routing) 現状のツール 10.0.0.0/29 10.0.0.0/30 AS番号とbind 予めの設定 10.0.0.4/30 IPアドレス空間は binary treeで表現する ことが可能 10.0.0.0 .1 .2 .3 .4 .5 .6 .7 IPアドレス空間 class A-E CIDR(Classless InterDomain Routing) 現状のツール 10.0.0.0/29 600 360 AS番号とbind 予めの設定 IPアドレス空間は binary treeで表現する ことが可能 160 100 10.0.0.0 10.0.0.0/30 240 200 60 0 .1 .2 10.0.0.4/30 40 200 .3 200 0 40 .4 .5 100 .6 100 .7 設計概要 パトリシア木アルゴリズ ムを使用 不要な中間ノードが作 成されない LRU(Least Recently Used)でノード数を管理 (リーフ数) = N (ノード数) = 2N - 1 閾値を用いて最終的な 刈り込み 設計概要(時間粒度) 集約されたネットワーク情 報を記述したものを「サマ リ」と定義する。 最も時間幅の短いサマリ (この場合5分サマリ)から 時間粒度の粗いサマリを 算出する。 1ヶ月サマリ 1日サマリ 1時間サマリ 5分サマリ 設計概要(データを保持する対象) src_ip_address dst_ip_address protocol + src_port protocol + dst_port tcp80 udp42 AGURIによって実現される事 管理者がネットワーク運用を行うことを支援 特定のパケットを優先 特定のパケットを制限する Layer4スイッチによる負荷分散 DoS-attackの検知 アドレス空間に対するport-scan 優先、制限の判断材料を提供する 優先、制限が実際に意図通りに行われてい るか確認する。 WIDEインターネットにおける使用例 対象: 東京<->LosAngelsの国際線 期間: 2001年2月~ 回線帯域: 11Mbps WIDEインターネットにおける使用例 WIDEインターネットにおける使用例 7/13-7/17にかけて特定のホストに対する トラフィック量が急増した。 この期間断続的にtcpのコネクションが切 れるなど、通信が困難な状況になった。 国際線に直接接続しているルータでパケッ トフィルタリングを行うことによって、通信が 困難な状況を緩和した。 データサイズ 7月におけるデータサイズ AGURI: 4.3MB tcpdump: 47.6GB (サンプリングデータからの推定値) tcpdumpと比較して、約11000倍のデータ 効率 まとめ トラフィックプロファイラAGURIを作成した 効率的に集約 トラフィック量の多いフローを動的に検知 異なる時間粒度で視覚化 異なる視点で視覚化 短期から長期に渡って利用可能 実際のネットワーク運用を支援している
© Copyright 2024 ExpyDoc