Учет сетевого трафика: предпосылки, проблемы, решения. Коноплев В.В., Назиров Р.Р. Институт Космических Исследований РАН Таруса, апрель 2001 Доклад на. - презентация

1 Учет сетевого трафика: предпосылки, проблемы, решения. Коноплев В.В., Назиров Р.Р. Институт Космических Исследований РАН Таруса, апрель 2001 Доклад на семинаре: «Механика, управление и информатика»

2 Освещаемые вопросы Актуальность и проблемы учета трафика. Организация системы учета трафика: Архитектура Стандартные решения Технологические находки Демонстрация на примере узла RMIX - ИКИ

3 Для чего нужен учет сетевого трафика Эффективность политики маршрутизации Корректность работы сети Вопросы целевого использования Вопросы безопасности Вопросы взаиморасчетов

4 Ссылки на работы в области исследования сетевого трафика RTFM Group NeTraMet system Cisco NetFlow Technology NetFlow accounting LBN Laboratory bpf flter CAIDA Intenet Monitoring Tools

5 Что может представлять интерес ? Привязка к регионам Привязка к сервисам Привязка к клиентскому и серверному трафику

6 Проблемы учета трафика Как собирать статистику? Степень детализации статистики? Время хранения статистики ? Интерфейс для доступа к статистике? Количество сетей~ 15 Объем трафика10 Гбайт Количество удаленных хостов 150 тысяч Количество учетных записей 1,5 Миллиона Суточный объем информации (на примере сети RSSI)

7 Архитектура системы учета (RFC 1272) Измеритель Коллектор Анализирующее приложение

8 Возможные реализации измерителя Резидентно на маршрутизаторе: обработка транзитного трафика Реализуется как функция операционной системы маршрутизатора производителем оборудования. Примеры: «NetFlow», «Cisco Ip Accounting». На мониторинговой станции: пассивный анализ пакетных заголовков Реализуется как приложение, анализирующее перехваченные пакетные заголовки сетевого интерфейса. Примеры: «Snoop», «Tcpdump», «NeTraMet».

9 Сравнительный анализ реализаций измерителя NetFlowNeTraMet Преимущества Легкость реализации Широкий диапазон охвата Масштабируемость Стандарт де факто Информация канального уровня Гибкое агрегирование Масштабируемость Стандартизация (RFC) Недостатки Низкая надежность транспортной базы Низкая безопасность Высокие вычислительные затраты Низкая эффективность транспортной базы

10 Коллектор: проблема двойного учета

11 Подсистема хранения Произвольный доступ Простота реализации Приемлемое время доступа Приемлемый объем данных

12 Решения по оптимизации хранения Двунаправленные потоки Позволяют в 2 раза сократить число записей Стратегия удаления детализации Чем больше объем трафика в записи, тем дольше она находится в базе

13 Подсистема доступа: реализация произвольного поиска Иерархия адресных об объектов блок -> локальный адрес -> удаленный адрес Классификатор позволяет получать статистику по различным атрибутам трафика: региону, датам, типам сервиса и адресным объектам нижнего уровня. Фильтр Позволяет ограничивать статистику по требуемым атрибутам трафика

14 Организации, подключенные к RSSI через RMIX

15 Однодневная статистика узла IKI-RMIX по сетевым блокам

16 Однодневная статистика узла IKI-RMIX по сервисам

17 Локализация источника трафика

18 Оценки производительности Конфигурация системы 1. Компьютер Celeron 450 Mh / 256Mb / 18Gb 2. Диск Ultra whide SCSI 3. OS Linux 4. СУБД MySQL Загрузка процессора при обработке пакетных заголовков – 30 – 50 % Объем базы данных ~ 2 Gb. Среднне время выборки для сети кл. «С» 1. За один день – 3 сек 2. За один месяц – 20 сек