TÉCNICAS E ABORDAGENS PARA MONITORAMENTO
DE TRÁFEGO DE REDE
Alessandro de Morais Coelho*
CONSIDERAÇÕES INICIAIS
Ultimamente as redes de computadores estão cada vez mais complexas e
gerênciá-las torna-se uma tarefa extremamente difícil. O gerente de rede tem hoje
uma gama muito ampla de ações a serem executadas e avaliadas em sua função de
analista de rede. Uma dessas ações que contribui para um funcionamento mais
adequado dessa estrutura é analisar o fluxo de dados que trafegam na rede e avaliar
seu desempenho. Sabe-se que, atualmente, os setores de TI buscam melhorar esse
aspecto da análise, pois existe uma tendência de má-utilização dos serviços que
envolvem links , ora por uma sub-utilização da banda oferecida, ora por um uso que
não se adequa aos propósitos da empresa.
A Rede Nacional de Ensino e Pesquisa - RNP oferece através dos seus 27
pontos de presença, um em cada unidade da federação, uma infraestrutura de rede
Internet voltada para a comunidade brasileira de ensino e pesquisa.
O PoP-PI é o ponto de presença da RNP no Piauí, e está sediado na Fundação
de Amparo à Pesquisa do Estado do Piauí - FAPEPI (Centro Administrativo, Bloco
"G", Térreo). Na época do seu surgimento, em 1996, o PoP-PI operava à velocidade
de 64 Kbps e estava interligado ao backbone da RNP pelo ponto de presença do Ceará
(PoP-CE). Em sete anos de funcionamento, a velocidade aumentou para 6 Mbps, o
link ganhou tecnologia ATM, e o PoP-PI passou a ser conectado ao ponto de presença
de Minas Gerais (PoP-MG).
O objetivo do PoP-PI é oferecer uma infraestrutura para compartilhamento de
um canal de conexão ao backbone da RNP, proporcionando acesso à Internet e às
redes acadêmicas internacionais às instituições de ensino e pesquisa, órgãos do
governo com também entidades privadas do estado do Piauí.
* Analista de Sistemas formado pela Faculdade de Tecnologia do Piauí e pós graduado em Redes com
ênfase em perícia forense pela Faculdade Diferencial Integral. Bolsista de pesquisa do PoP-Pi.
Os serviços oferecidos pelo PoP-PI são:
Conectividade IP
O PoP-PI oferece conectividade IP com a Internet através de um link de 34Mb
com a rede de distribuição da RNP, que proporciona às instituições clientes um índice
de disponibilidade, confiabilidade e a banda disponível para uso, estabelecidos pela
política de controle e segurança.
Conferência WEB
O serviço de conferência Web que o PoP-PI presta às suas organizações
usuárias é baseado em "Software Livre".
DNS secundário
A RNP é a detentora de todos os blocos IPs cedido às instituições.
fone@RNP
fone@rnp é o nome do serviço que permite a interconexão das instituições
clientes da rede VoIP (Voz sobre IP) da RNP. Por meio deste serviço, todos os
usuários das instituições clientes que compõem esta rede conseguem se comunicar por
voz (via telefone comum, telefone IP ou Softphone) pela Internet.
Medição de vazão
Através da ferramenta NDT se pode medir a vazão nas duas direções (c2s s2c) a fim de detectar possíveis problemas de rede tais como, perdas de pacotes
devido a cabos defeituosos. O PoP-PI possui um servidor NDT que está disponível
publicamente para realizar os testes.
Mirror
Um mirror ou "espelho" é um conjunto de pacotes para instalação de software
e seus respectivos códigos-fonte. O PoP-PI oferece um repositório debian (32bits e 64
bits), ou seja, uma cópia idêntica parcial ou integral de um repositório primário
Debian oficial.
NTP
Os servidores NTP permitem aos seus clientes a sincronização dos relógios de
seus computadores e outros equipamentos de rede a partir de uma referência padrão
de tempo aceita mundialmente, conhecida como UTC. O servidor NTP stratum 1 do
PoP-PI está ligado diretamente a um relógio de referência, mecanismo de altíssima
precisão via satélite.
Plantão 24x7x365
A rede de interconexão ao PoP-PI opera em um regime de 24x7x365 , com
auxilio de ferramentas, que de forma automatizada, geram alertas via E-mail e SMS
(mensagem de texto via celular) em caso de "queda" de um link ou servidor. Desta
forma, a garantia de disponibilidade não se limita a um horário específico, e as
instituições-cliente terão a certeza de que sempre terá uma equipe analisando e
monitorando os circuitos.
Service Desk
Service Desk é um Help Desk de maior abrangência. Serviço oferecido
principalmente às instituições usuárias do PoP-PI, com o intuito de propor sugestões
para resolver possíveis problemas técnicos de forma eficiente, minimizando desta
forma o impacto nos serviços oferecidos por tal instituição.
Utilização de banda
O PoP-PI possui ferramentas de gerenciamento da rede que verificam, por
exemplo, o consumo da banda (upload e download) por determinada instituição.
OBJETIVOS
Realizar um estudo comparativo das estratégias e abordagens técnicas com a
finalidade de aplicabilidade para o monitoramento de tráfego da rede local do PoPPI/RNP. Foi realizada uma revisão de literatura em artigos publicados e sites na área
de informática e,a partir desse estudo comparativo, buscou-se subsídios que permitam
que o analista de sistema possa avaliar as técnicas mais apropriadas para serem
implementadas a fim de permitir uma análise mais eficiente do fluxo da rede do PoPPI, identificando e solucionando possíveis problemas no que se refere ao uso correto
de sua estrutura para melhor atender os clientes que fazem uso desses serviços.
REVISÃO DE LITERATURA
Em qualquer estrutura computacional existente hoje em dia, depara-se com o
problema da análise do fluxo de rede. Numa rede de computadores onde serviços
específicos são oferecidos, é gerado uma grande quantidade de informações que
trafegam entre esses elementos que a compõem e geralmente é esse fluxo, ou melhor,
a normalidade desse fluxo, que indica o bom funcionamento desses serviços. Analisar
o fluxo de dados engloba também elementos físicos de enlaces entre os computadores
que estruturam a rede que devem ter suas capacidades de funcionamento respeitados
dentro do que a estrutura propõe. Atualmente, é cada vez mais importante ter acesso à
informação e é notório o crescimento do volume de dados que as redes gerenciam. É
também crescente o numero de ataques hackers a essas redes com vários intuitos que
vão de simplesmente roubar informação, ou impedir que essas redes funcionem
corretamente.
Diante desse panorama o papel do analista de rede é cada vez mais importante,
e sua atuação em garantir o bom funcionamento das estruturas computacionais
fazendo uso de técnicas de gerenciamento e análise é indispensável. Dentre as
técnicas e abordagens podemos citar:
a) Logica Difusa
As estruturas tecnológicas fazem uso da lógica exata para seus processos
computacionais. Essa lógica muitas vezes produz um descompasso em relação ao
processo de entendimento da mente humana. A Lógica Difusa surgiu inspirada na
capacidade do pensamento humano de avaliar as possibilidades inexatas em um
contexto definido. Usa-se nessa lógica valores intermediários entre o FALSO (0) e o
VERDADEIRO (1) sendo uma extensão da logica booleana. Esse valores
intermediários podem, por exemplo, ser o TALVEZ (0,5) significando que o valor
difuso está entre 0 e 1. Pode-se implementar a lógica difusa para análise de
determinados dispositivos para avaliações não-quantitativas.
Uma prática comum em uma estrutura computacional é a análise do tráfego de
dados de sua rede. Segundo Angelis (2003), existe um esforço no sentido de
padronizar ou estabelecer uma linguagem comum para medição do tráfego de redes.
Uma proposta do CAIDA (CooperativeAssociation for Internet Data Analysis) é a
unificação dos recursos de coleta dos dados, bem como sua classificação e exibição
dos dados em um só pacote. O CAIDA também alerta que nenhum resultado sobre
análise de tráfego de rede pode ser preciso tendo por base apenas um parâmetro e que
também é importante a avaliação do conjunto das variáveis que formam a estrutura
computacional. Dentre as entidades relacionadas com o desempenho e a qualidade
dos serviços de rede, o IPPM (IP Performance Metrics) pertencente ao IETF (Internet
Task Force) procura desenvolver um padrão para as métricas que possam servir para
esta medição de desempenho e qualidade destes serviços .
Um protótipo sugerido por Silveira e Dantas (2005) demonstra, através de
medições passivas, a aplicabilidade do monitoramento do fluxo de rede utilizando a
Lógica Difusa. Os autores acima citados, comentam que, nas medições passivas o
volume de dados coletados são reduzidos através da utilização do conceito de fluxos.
Essas medições são realizadas com o auxílio de dispositivos próprios (software) e não
interferem no comportamento do tráfego da rede.
Foi utilizado um sniffer para monitorar o comportamento de uma determinada
rede para gerar logs com as informações dos cabeçalhos dos protocolos em uma
determinada faixa de tempo. O seu protótipo foi implementado com o objetivo de
verificar a possibilidade da diminuição do esforço de monitoramento do tráfego de
rede utilizando a lógica difusa. Os autores ainda citam que as técnicas que utilizaram
são aplicáveis a qualquer ferramenta de monitoramento tendo apenas o diferencial do
raciocínio difuso.
No quadro abaixo podemos observar algumas das técnicas utilizadas para
caracterizar um determinado segmento de rede.
Quadro1. Técnicas utilizadas para caracterizar um determinado segmento de rede.
Fonte: Silveira e Dantas (2005)
A seguir podemos verificar um exemplo de avaliação de uma das variáveis
analisadas no processo difuso. Aqui é utilizado um pacote de software chamado
MATLAB para o ajuste das funções de pertinência da variável “somador de bytes por
segundo”.
Fig 1. Somador de Bytes por segundo.
FONTE: Silveira e Dantas (2005)
Fig. 2 Distribuição amostral do somador de bytes por segundo
FONTE: Silveira e Dantas (2005)
Fig 3. Ajuste das funções de pertinência do somador de bytes por segundo.
FONTE: Silveira e Dantas (2005)
Nas avaliações do protótipo foram obtidos resultados em alguns estudos de
caso. Verificou-se um evento causado por um execução de backup de dados gerando
uma notificação sobre mudanças de comportamento na rede geradas pelo evento.
Também foi estudado outro evento que indicou problemas físicos em switches
que atendiam vários setores notificando mudanças na geração de tráfego TCP, UDP e
ICMP.
Outras avaliações também foram feitas em relação ao tempo de resposta de
determinados segmentos de rede em períodos determinados.
b) Amostragem Estratificada
A amostragem estratificada estabelece uma população de N elementos que
assumem uma divisão de subelementos n1, n2, n3...nn. Esses subelementos juntos
formam toda a população e não se sobrepõem representando a totalidade de N.
Desse modo:
N= n1+ n2+ n+ ...nn
No processo de amostragem estratificada é possível realizar uma análise em
uma população de elementos heterogêneos dividindo essa população em
subpopulações com características similares transformando assim em amostras
homogêneas. Dessa forma obtêm-se uma análise mais precisa com pouca variação dos
elementos dessa amostragem.
Na amostragem estratificada esses subelementos são classificados como
estratos e representam muitas vezes conjuntos de características comuns identificadas
dentro a população.
Segundo Kamienski et al (2005) a amostragem estratificada pode ser
classificado em:
• Amostragem estratificada uniforme - onde os estratos têm o mesmo tamanho.
• Amostragem estratificada proporcional ou de Bowley- onde o número de
elementos em cada estrato é proporcional ao tamanho do estrato.
• Amostragem estratificada ótima- onde se considera o tamanho do estrato e a
variabilidade do mesmo.
Atualmente os monitoramentos de tráfego que são baseados em medições de
pacotes ou de fluxos, enfrentam um problema relacionado a dificuldade de análise do
grande número de dados gerados por esses métodos. Estabelecer novas formas de
medições pode ser uma ótima estratégia para contornar esse problema, visto que as
estruturas computacionais que envolvem esses processos aumentam a cada dia.
A amostragem estratificada mostra-se como uma ferramenta poderosa para
análise e descrição do comportamento do tráfego de rede a nível de fluxo de dados.
Num estudo realizado por Kamienski et al ( 2005 ) foram utilizados quatro
conjuntos de dados com cada um contendo informações de fluxos de tráfego que ele
chamou de traces (rastros). Os fluxos foram padronizados como sendo o conjunto de
pacotes com os mesmos valores dos campos de endereço IP de origem e destino, porta
(TCP ou UDP) de origem e destino e protocolo em uma rede de 34Mbps.
A tabela a seguir mostra um resumo das principais características do traces.
Tab 1. Principais características do traces .
FONTE: Kamienski et al (2005)
Cada trace foi analisado em uma data específica nos períodos de maior fluxo
de dados da rede. A tabela também registra o volume de dados analisado e o número
de fluxos.
A metodologia utilizada para a análise foi dividida em fases que permitiram
desde a configuração dos traces, definição de variáveis, caracterização das amostras
como calculo e comparação das mesmas.
Kamienski et al (2005) citam ainda que, os resultados obtidos em sua
experiência com amostragem estratificada ótima são bastante representativos e podem
apontar para o uso dessa métrica na análise do fluxo de rede baseado em fluxo de
dados. Seus resultados revelam a possibilidade de análise do comportamento de redes
que geram uma grande quantidade de dados e que tenha sua estrutura composta por
vários enlaces distribuídos.
c) Análise de entropia de tráfego
Segundo Lucena e Moura (2008), entende-se por anomalia de tráfego tudo
aquilo que foge a um padrão de normalidade no tráfego de rede. Essas anomalias de
tráfego podem estar associadas a um uso indevido da estrutura da rede que as vezes
torna impossível a utilização dos recursos dos elementos que a compõem
prejudicando os serviços que por ventura são fornecidos.
Os autores acima citados destacam algumas anomalias que, frequentemente,
ocorrem nas redes de computadores, tais como: ataques que negação de serviço
distribuído (DDos), vírus (Worms), grupos de máquinas controladas sem permissão
de seus donos (Botnets), correio eletrônico não solicitado (Spam) entre outros.
Alguns métodos de detecção de anomalias baseiam-se na identificação de
elementos que estejam diretamente ligados ao evento que possam caracterizá-lo. Este
tipo de detecção costuma ser onerosa do ponto de vista computacional porque exige a
inspeção de cada pacote IP que trafega por uma ou mais conexões de rede. Em outra
visão usa-se a identificação de uma assinatura representativa do tráfego de rede
relacionado a uma determinada anomalia. Analisando os comportamentos dos fluxos
verifica-se a anomalia sem a necessidade da inspeção dos pacotes IP. Esta abordagem
é mais adequada para redes de backbone, dado o grande volume de pacotes que
costuma atravessar seus roteadores
A análise de entropia de tráfego é o método de análise do comportamento dos
fluxos de rede estabelecendo parâmetros comparativos que possam indicar estados de
normalidade ou estados onde esse fluxo se comporta de forma anormal. Essa
metodologia se baseia na assinatura de estatística de tráfego e é utilizada tanto para
detectar como para classificar a anomalia, inclusive anomalias que ainda não são
conhecidas.
A simples adoção de medidas de entropia, por si só, não se configura num
processo eficiente de detecção de anomalias. Faz-se necessário o uso de alguma
técnica que seja capaz de verificar automaticamente, e em tempo real, se a medida de
entropia fugiu de seu padrão de normalidade . Um exemplo que pode ser
experimentado é a estimativa de Holt-Winters que detecta medições de entropia que
possam diferenciar bastante do estado tido como normal. Em ataques de negação de
serviço distribuído (DDos), por exemplo, esse comportamento é identificado pelo
comportamento do fluxo de dados que partem de vários endereços IPs para apenas um
único IP de destino em um fluxo realmente que diferencia da normalidade
caracterizando uma anomalia.
Aplicabilidade da estimativa de Holt-Winters
Lucena e Moura (2008) sugerem coletas de registros NetFlow com valores de
entropia calculados para cada intervalo de cinco minutos que os resultados sejam
armazenados em bases RRD, uma para cada parâmetro (IP de origem, IP de destino,
porta de origem e porta de destino).
É importante obter quatro valores de entropia dentro do mesmo intervalo de
tempo para poder identificar um determinado tipo de anomalia e de posse desses
quatro valores, pode-se atribuir uma possível classificação, conforme exemplo a
seguir:
DoS:
• Entropia baixa para IP de origem(origem específica),
• Entropia baixa para IP de destino (alvo específico);
DDoS:
• Entropia alta para ip de origem (origem dispersa),
• Entropia baixa para ip de destino (alvo específico),
• Entropia alta para porta de origem (portas aleatórias);
PortScan:
• Entropia baixa para IP de destino (mesmo IP com portas sendo varridas),
• Entropia alta para porta de destino (muitas portas sendo varridas);
WormScan:
• Entropia alta para IP de origem (possível Botnet),
• Entropia alta para IP de destino (procura possíveis vítimas),
• Entropia alta para porta de origem (várias conexões para múltiplos destinos),
• Entropia baixa para porta de destino (explora a vulnerabilidade de alguns serviços).
CONSIDERAÇÕES FINAIS
Conclui-se que, dentre os diversos métodos de análise de fluxo de rede, a
técnica de análise de entropia de tráfego pode ser de grande valia para alguns dos
problemas encontrados atualmente na rede do PoP-PI/RNP , como por exemplo, o uso
indevido de arquivos torrent dentro da estrutura da rede que prejudica o bom
funcionamento dos serviços oferecidos por esta entidade.
A adoção de uma postura pró-ativa em relação a problemas similares dentro da
rede PoP-Pi/RNP mostra-se mais do que conveniente e também a adoção de um
protocolo para o estabelecimento das análises de fluxo de rede. A utilização de
simuladores para o aprimoramento desse protocolo também pode ser de interesse da
instituição no que se refere a aplicabilidade dos métodos citados.
REFERÊNCIAS
ANGELIS, A., Um Modelo de Tráfego de Rede para Aplicação de Técnicas de Controle
Estatístico de Processos, Tese de Doutorado. São Paulo: Instituto de Física de São Carlos - USP, 2003.
CAIDA, Cooperative Association for Internet Data Analysis, http://www.caida.org, 2003.
CHEN, J-L. HUANG, P-H., A fuzzy expert system for network fault management, IEEE
International Conference on Systems, Man and Cybernetics, Information Intelligence and
Systems, Vol. 1, pp. 328-331, 1996.
Grupo de Trabalho em Computação Colaborativa (GT-P2P) – Rede Nacional de Pesquisa,
http://www.rnp.br/pd/gts2004-2005/p2p.html, acessado em dezembro/2004.
KAMIENSKI,C., et al, Caracterizando Propriedades Essenciais do Tráfego de Redes através de
Técnicas de Amostragem Estratificada, Pernambuco,UFPE, 2005.
LUCENA, S. ,,MOURA, A. S. Detecção de Anomalias Baseadas em Análise de Entropia de
Tráfego da RNP, Rio de Janeiro, UNIRIO, 2008.
MATLAB, Fuzzy Logic Toolbox, MATHWORKS INC, 1998.
SHAW, I., SIMÕES, M. G. Controle e Modelagem Fuzzy. São Paulo: Edgard Blücher Ltda, 1a
edição. 1999.
SILVEIRA, E. R., DANTAS, M.A.R., Uma Abordagem de Monitoração de Trafego de Rede
Utilizando Lógica Difusa, Santa Catarina, UFSC, CTC, INE, 2005.
SIMÕES, R. F., Uma Análise de Fuzzy Cluster, Notas de Discussão No. 26. Belo Horizonte: UFMG,
2003.
WEBER, L., KLEIN T. A. P., Aplicações da Lógica Fuzzy em Software e Hardware, Canoas (RS):
Ed. Ulbra, 2003.