Document

トラフィックプロファイラAGURIの
設計と実装
慶應義塾大学
政策・メディア研究科
海崎 良
[email protected]
目的

短期的から長期に渡り利用可能なトラ
フィックプロファイラの作成

通信機器における特徴的なフローの抽出

特徴的



データ量が多い
パケット数が多い
フロー


(一般的)ip_addrペア + その他のフィールド
(本研究)集約されたip_addrグループ + その他の
フィールド
AGURIに要求される仕様

データの集約


データ量の多いフローの抽出




計算機資源の節約
集約されたデータからの抽出
抽出するフロー数を出来るだけ少なくする
複数の視点からの視覚化
異なる時間粒度での視覚化
IPアドレス空間


class A-E
CIDR(Classless InterDomain Routing)

現状のツール



10.0.0.0/29
10.0.0.0/30
AS番号とbind
予めの設定
10.0.0.4/30
IPアドレス空間は
binary treeで表現する
ことが可能
10.0.0.0
.1
.2
.3
.4
.5
.6
.7
IPアドレス空間


class A-E
CIDR(Classless InterDomain Routing)

現状のツール



10.0.0.0/29
600
360
AS番号とbind
予めの設定
IPアドレス空間は
binary treeで表現する
ことが可能
160
100
10.0.0.0
10.0.0.0/30
240
200
60
0
.1
.2
10.0.0.4/30
40
200
.3
200
0
40
.4
.5
100
.6
100
.7
設計概要

パトリシア木アルゴリズ
ムを使用



不要な中間ノードが作
成されない
LRU(Least Recently
Used)でノード数を管理
 (リーフ数) = N
 (ノード数) = 2N - 1
閾値を用いて最終的な
刈り込み
設計概要(時間粒度)


集約されたネットワーク情
報を記述したものを「サマ
リ」と定義する。
最も時間幅の短いサマリ
(この場合5分サマリ)から
時間粒度の粗いサマリを
算出する。
1ヶ月サマリ
1日サマリ
1時間サマリ
5分サマリ
設計概要(データを保持する対象)




src_ip_address
dst_ip_address
protocol + src_port
protocol + dst_port


tcp80
udp42
AGURIによって実現される事

管理者がネットワーク運用を行うことを支援

特定のパケットを優先


特定のパケットを制限する




Layer4スイッチによる負荷分散
DoS-attackの検知
アドレス空間に対するport-scan
優先、制限の判断材料を提供する
優先、制限が実際に意図通りに行われてい
るか確認する。
WIDEインターネットにおける使用例



対象: 東京<->LosAngelsの国際線
期間: 2001年2月~
回線帯域: 11Mbps
WIDEインターネットにおける使用例
WIDEインターネットにおける使用例



7/13-7/17にかけて特定のホストに対する
トラフィック量が急増した。
この期間断続的にtcpのコネクションが切
れるなど、通信が困難な状況になった。
国際線に直接接続しているルータでパケッ
トフィルタリングを行うことによって、通信が
困難な状況を緩和した。
データサイズ

7月におけるデータサイズ
 AGURI: 4.3MB
 tcpdump: 47.6GB
(サンプリングデータからの推定値)
tcpdumpと比較して、約11000倍のデータ
効率
まとめ

トラフィックプロファイラAGURIを作成した






効率的に集約
トラフィック量の多いフローを動的に検知
異なる時間粒度で視覚化
異なる視点で視覚化
短期から長期に渡って利用可能
実際のネットワーク運用を支援している