トラフィックプロファイラAGURIの設計と実装 慶應義塾大学 政策・メディア研究科 海崎 良 kaizaki@sfc.wide.ad.jp
目的 短期的から長期に渡り利用可能なトラフィックプロファイラの作成 通信機器における特徴的なフローの抽出 特徴的 フロー データ量が多い パケット数が多い フロー (一般的)ip_addrペア + その他のフィールド (本研究)集約されたip_addrグループ + その他のフィールド
AGURIに要求される仕様 データの集約 データ量の多いフローの抽出 複数の視点からの視覚化 異なる時間粒度での視覚化 計算機資源の節約 集約されたデータからの抽出 抽出するフロー数を出来るだけ少なくする 複数の視点からの視覚化 異なる時間粒度での視覚化
IPアドレス空間 class A-E CIDR(Classless Inter-Domain Routing) 10.0.0.0/29 class A-E CIDR(Classless Inter-Domain Routing) 現状のツール AS番号とbind 予めの設定 IPアドレス空間はbinary treeで表現することが可能 10.0.0.0/30 10.0.0.4/30 10.0.0.0 .1 .2 .3 .4 .5 .6 .7
IPアドレス空間 class A-E CIDR(Classless Inter-Domain Routing) 10.0.0.0/29 class A-E CIDR(Classless Inter-Domain Routing) 現状のツール AS番号とbind 予めの設定 IPアドレス空間はbinary treeで表現することが可能 600 360 10.0.0.0/30 240 10.0.0.4/30 160 200 40 200 100 60 200 40 100 100 10.0.0.0 .1 .2 .3 .4 .5 .6 .7
設計概要 パトリシア木アルゴリズムを使用 LRU(Least Recently Used)でノード数を管理 (リーフ数) = N 不要な中間ノードが作成されない LRU(Least Recently Used)でノード数を管理 (リーフ数) = N (ノード数) = 2N - 1 閾値を用いて最終的な刈り込み
設計概要(時間粒度) 集約されたネットワーク情報を記述したものを「サマリ」と定義する。 最も時間幅の短いサマリ(この場合5分サマリ)から時間粒度の粗いサマリを算出する。 5分サマリ 1時間サマリ 1日サマリ 1ヶ月サマリ
設計概要(データを保持する対象) src_ip_address dst_ip_address protocol + src_port protocol + dst_port tcp80 udp42
AGURIによって実現される事 管理者がネットワーク運用を行うことを支援 優先、制限の判断材料を提供する 特定のパケットを優先 Layer4スイッチによる負荷分散 特定のパケットを制限する DoS-attackの検知 アドレス空間に対するport-scan 優先、制限の判断材料を提供する 優先、制限が実際に意図通りに行われているか確認する。
WIDEインターネットにおける使用例 対象: 東京<->LosAngelsの国際線 期間: 2001年2月~ 期間: 2001年2月~ 回線帯域: 11Mbps
WIDEインターネットにおける使用例
WIDEインターネットにおける使用例 7/13-7/17にかけて特定のホストに対するトラフィック量が急増した。 この期間断続的にtcpのコネクションが切れるなど、通信が困難な状況になった。 国際線に直接接続しているルータでパケットフィルタリングを行うことによって、通信が困難な状況を緩和した。
データサイズ 7月におけるデータサイズ AGURI: 4.3MB tcpdump: 47.6GB (サンプリングデータからの推定値) (サンプリングデータからの推定値) tcpdumpと比較して、約11000倍のデータ効率
まとめ トラフィックプロファイラAGURIを作成した 短期から長期に渡って利用可能 実際のネットワーク運用を支援している 効率的に集約 トラフィック量の多いフローを動的に検知 異なる時間粒度で視覚化 異なる視点で視覚化 短期から長期に渡って利用可能 実際のネットワーク運用を支援している