Transcript Protocol Analyzer for Embedded IP Router

Protocol Analyzer for Embedded IP Router
Espoo 7.10.2003
Valvoja: Prof. Patric Östergård
Ohjaaja: DI Pasi Kinnari
Tuomo Sievilä
File Name
Sisällysluettelo
 Johdanto
 HW ja SW – ympäristö
 Verkon liikenteen seuranta
 Ohjelmistojen vertailu
 Toteutetun protokolla-analysaattorin
kuvaus
 Johtopäätökset
File Name
Johdanto
 Työ toteutettiin osana Tellabs Oy:n tuotekehitysprojektia
 Tavoite: protokolla-analysaattori sulautettuun reitittimeen
 Käytännön työ:
 Eri analysaattorityökalujen tutkiminen ja vertailu
 Tcpdump-ohjelman siirtäminen kohdejärjestelmään
 Kaapattujen pakettien analysointi
File Name
Johdanto
 Internet-liikenne kasvaa huikeaa tahtia
 Valtaosa IP-liikennettä
 Reitittimet aiemmin:
 Perustehtävänä pakettien lähettäminen oikeaan osoitteeseen
 Reitittimet nykyään
 Monipuolisia verkkoelementtejä
 Pystyttävä tulkitsemaan useita protokollia
 Palvelun laatuun liittyvä liikenteen hallinta
File Name
HW-ympäristö
 Access Node:
 Kontrollikortti ja 0-12 linjakorttia
 Linjakorteilla eri dataliittymiä, esim. Gigabit Ethernet, STM-
16
 Nopein liittymä STM-16: 2,5 Gbit/s
 Linjakorteilla liikenneprosessorit
 Monimutkaisempi prosessointi kontrollikortilla
 Suuri määrä RAM-muistia, vähemmän FLASH-muistia
File Name
SW-ympäristö
 Sulautettu järjestelmä:
 Käyttöjärjestelmä perustuu FreeBSD:hen
 Rajallinen määrä muistia -> pienetkin muistivuodot kriittisiä
 Vain yksi ohjelma ajossa, muodostuu aliprosesseista
 CLI-komentorajapinta:
 Cisco-tyyppinen yhteysrajapinta asetuksia varten
 Hyvin rajallinen graafinen tuki (ncurses)
 Käskyt avainsanoilla, parseri yksinkertainen
File Name
Verkon liikenteen seuranta
 Verkosta kulkevista paketeista otetaan kopio omalle
koneelle
 Kaapattuja paketteja voi tutkia protokolla-analysaattorilla
 Useita käyttötarkoituksia:
 Ohjelmoijalle
 Verkon ylläpitäjälle
 Verkkoa vastaan hyökkääjälle
File Name
Verkon liikenteen seuranta: ohjelmoija
 Pystytään helposti tutkimaan, toimiiko protokollatoteutus
oikein:
 Kulkevatko paketit oikeaan osoitteeseen?
 Onko pakettien sisältö oikean muotoinen?
 Kulkeeko verkossa ylipäätään paketteja?
 Ohjelmistojen toiminnan testaus verkon yli helpottuu
 Toimintaa voidaan tutkia erilaisilla liikennekuormilla ja
ruuhkatilanteissa
File Name
Verkon liikenteen seuranta: ylläpitäjä
 Pystytään paikantamaan verkossa:
 Vialliset laitteet
 Solmukohdat
 Yhteensopivuusongelmat
 Mahdolliset tunkeutujat ja hyökkäykset
 Hyvä protokolla-analysaattori erinomainen työkalu:
 Ongelmatilanteet havaitaan
 Ongelmatilanteet voidaan ennakoida
File Name
Verkon liikenteen seuranta: hyökkääjä
 Joka kolikolla kaksi puolta:
 Hyvä ylläpitotyökalu väärissä käsissä vaarallinen
 Mahdollisia väärinkäytöksiä:
 Kaiken salaamattoman ja heikosti salatun liikenteen
salakuuntelu
 Käyttäjätunnuksien ja salasanojen selvittäminen
 Toisten sähköpostin lukeminen
 Tiedostojen kaappaaminen
File Name
Ohjelmistojen vertailu
 Työssä vertailtiin kuuden erilaisen protokolla-
analysaattorin ominaisuuksia:
 2 freeware-ohjelmaa: Ethereal, Ettercap
 2 shareware-ohjelmaa: Network Spy, Sniff’em
 2 täysin maksullista: EtherPeek, LanExplorer
File Name
Ohjelmistojen vertailu: tulokset
 Kaikki pystyivät:
 Tavallisimpien IP-pinon protokollien datan tulkinta
 Pakettien kaappaus lähiverkkoympäristössä
 Yksinkertainen kaapatun liikenteen suodatus
 Edistyneempien ohjelmien ominaisuuksia:
 Tilastollinen analyysi verkon tilasta ja liikennemääristä
 Etäagentin käyttö liikenteen analyysiin ulkoverkoissa
 Liikenteen kaappauksen aloittaminen erikoisolosuhteissa
 Monipuoliset liikenteen suodatusominaisuudet
File Name
Toteutetun protokolla-analysaattorin
kuvaus
 Tcpdump:
 Vapaalla lisenssillä levitettävä liikenteen kaappausohjelma
 Koodi vapaasti saatavissa ja muokattavissa
 Toimii komentoriviltä
 Monipuoliset suodatinvaihtoehdot
 De facto standardi liikenteen kaappaukseen
File Name
Toteutetun protokolla-analysaattorin
kuvaus
 Tcpdump:in siirto kohdeympäristöön:
 Muistinhallinta
 Tulostusfunktiot
 Komentoriviparseri
 Pääohjelmasta aliprosessiksi
 Keskeytysten hallinta
File Name
Toteutetun protokolla-analysaattorin
kuvaus
 Toteutus ainoastaan kontrollikortille
 Suurin osa linjakorteille tulevasta datasta ei kulje
kontrollikortin kautta
 Kaikkea liikennettä ei voi kaapata, koska data kulkee
reitittimen läpi gigabittiluokan nopeudella
 Kontrollikortillekin tulee paljon liikennettä
File Name
Toteutetun protokolla-analysaattorin
kuvaus
 Ethereal tulkitsee kaapatun liikenteen
 Tcpdump-tiedostot siirretään FTP:llä Etherealille
 Etherealin ominaisuuksia:
 Tulkitsee useita satoja eri protokollia
 Aktiivisesti kehitettävä ohjelma
 Ilmainen, lähdekoodi avoin
File Name
Johtopäätökset
 Tcpdump:in toteutus onnistui kohdeympäristöön
 Perusominaisuudet hyvät
 Edistyneemmät analysointiominaisuudet vajavaiset
 Kaikkea liikennettä ei voi kaapata
 Liikenteen kaappaus suoraan linjakorteilta vaatisi paljon
lisää työtä, koska sallitut prosessointiajat ovat niin pienet
File Name
Kiitos!
Kiitoksia mielenkiinnosta,
kysyttävää?
File Name