Protocol Analyzer for Embedded IP Router
Download
Report
Transcript Protocol Analyzer for Embedded IP Router
Protocol Analyzer for Embedded IP Router
Espoo 7.10.2003
Valvoja: Prof. Patric Östergård
Ohjaaja: DI Pasi Kinnari
Tuomo Sievilä
File Name
Sisällysluettelo
Johdanto
HW ja SW – ympäristö
Verkon liikenteen seuranta
Ohjelmistojen vertailu
Toteutetun protokolla-analysaattorin
kuvaus
Johtopäätökset
File Name
Johdanto
Työ toteutettiin osana Tellabs Oy:n tuotekehitysprojektia
Tavoite: protokolla-analysaattori sulautettuun reitittimeen
Käytännön työ:
Eri analysaattorityökalujen tutkiminen ja vertailu
Tcpdump-ohjelman siirtäminen kohdejärjestelmään
Kaapattujen pakettien analysointi
File Name
Johdanto
Internet-liikenne kasvaa huikeaa tahtia
Valtaosa IP-liikennettä
Reitittimet aiemmin:
Perustehtävänä pakettien lähettäminen oikeaan osoitteeseen
Reitittimet nykyään
Monipuolisia verkkoelementtejä
Pystyttävä tulkitsemaan useita protokollia
Palvelun laatuun liittyvä liikenteen hallinta
File Name
HW-ympäristö
Access Node:
Kontrollikortti ja 0-12 linjakorttia
Linjakorteilla eri dataliittymiä, esim. Gigabit Ethernet, STM-
16
Nopein liittymä STM-16: 2,5 Gbit/s
Linjakorteilla liikenneprosessorit
Monimutkaisempi prosessointi kontrollikortilla
Suuri määrä RAM-muistia, vähemmän FLASH-muistia
File Name
SW-ympäristö
Sulautettu järjestelmä:
Käyttöjärjestelmä perustuu FreeBSD:hen
Rajallinen määrä muistia -> pienetkin muistivuodot kriittisiä
Vain yksi ohjelma ajossa, muodostuu aliprosesseista
CLI-komentorajapinta:
Cisco-tyyppinen yhteysrajapinta asetuksia varten
Hyvin rajallinen graafinen tuki (ncurses)
Käskyt avainsanoilla, parseri yksinkertainen
File Name
Verkon liikenteen seuranta
Verkosta kulkevista paketeista otetaan kopio omalle
koneelle
Kaapattuja paketteja voi tutkia protokolla-analysaattorilla
Useita käyttötarkoituksia:
Ohjelmoijalle
Verkon ylläpitäjälle
Verkkoa vastaan hyökkääjälle
File Name
Verkon liikenteen seuranta: ohjelmoija
Pystytään helposti tutkimaan, toimiiko protokollatoteutus
oikein:
Kulkevatko paketit oikeaan osoitteeseen?
Onko pakettien sisältö oikean muotoinen?
Kulkeeko verkossa ylipäätään paketteja?
Ohjelmistojen toiminnan testaus verkon yli helpottuu
Toimintaa voidaan tutkia erilaisilla liikennekuormilla ja
ruuhkatilanteissa
File Name
Verkon liikenteen seuranta: ylläpitäjä
Pystytään paikantamaan verkossa:
Vialliset laitteet
Solmukohdat
Yhteensopivuusongelmat
Mahdolliset tunkeutujat ja hyökkäykset
Hyvä protokolla-analysaattori erinomainen työkalu:
Ongelmatilanteet havaitaan
Ongelmatilanteet voidaan ennakoida
File Name
Verkon liikenteen seuranta: hyökkääjä
Joka kolikolla kaksi puolta:
Hyvä ylläpitotyökalu väärissä käsissä vaarallinen
Mahdollisia väärinkäytöksiä:
Kaiken salaamattoman ja heikosti salatun liikenteen
salakuuntelu
Käyttäjätunnuksien ja salasanojen selvittäminen
Toisten sähköpostin lukeminen
Tiedostojen kaappaaminen
File Name
Ohjelmistojen vertailu
Työssä vertailtiin kuuden erilaisen protokolla-
analysaattorin ominaisuuksia:
2 freeware-ohjelmaa: Ethereal, Ettercap
2 shareware-ohjelmaa: Network Spy, Sniff’em
2 täysin maksullista: EtherPeek, LanExplorer
File Name
Ohjelmistojen vertailu: tulokset
Kaikki pystyivät:
Tavallisimpien IP-pinon protokollien datan tulkinta
Pakettien kaappaus lähiverkkoympäristössä
Yksinkertainen kaapatun liikenteen suodatus
Edistyneempien ohjelmien ominaisuuksia:
Tilastollinen analyysi verkon tilasta ja liikennemääristä
Etäagentin käyttö liikenteen analyysiin ulkoverkoissa
Liikenteen kaappauksen aloittaminen erikoisolosuhteissa
Monipuoliset liikenteen suodatusominaisuudet
File Name
Toteutetun protokolla-analysaattorin
kuvaus
Tcpdump:
Vapaalla lisenssillä levitettävä liikenteen kaappausohjelma
Koodi vapaasti saatavissa ja muokattavissa
Toimii komentoriviltä
Monipuoliset suodatinvaihtoehdot
De facto standardi liikenteen kaappaukseen
File Name
Toteutetun protokolla-analysaattorin
kuvaus
Tcpdump:in siirto kohdeympäristöön:
Muistinhallinta
Tulostusfunktiot
Komentoriviparseri
Pääohjelmasta aliprosessiksi
Keskeytysten hallinta
File Name
Toteutetun protokolla-analysaattorin
kuvaus
Toteutus ainoastaan kontrollikortille
Suurin osa linjakorteille tulevasta datasta ei kulje
kontrollikortin kautta
Kaikkea liikennettä ei voi kaapata, koska data kulkee
reitittimen läpi gigabittiluokan nopeudella
Kontrollikortillekin tulee paljon liikennettä
File Name
Toteutetun protokolla-analysaattorin
kuvaus
Ethereal tulkitsee kaapatun liikenteen
Tcpdump-tiedostot siirretään FTP:llä Etherealille
Etherealin ominaisuuksia:
Tulkitsee useita satoja eri protokollia
Aktiivisesti kehitettävä ohjelma
Ilmainen, lähdekoodi avoin
File Name
Johtopäätökset
Tcpdump:in toteutus onnistui kohdeympäristöön
Perusominaisuudet hyvät
Edistyneemmät analysointiominaisuudet vajavaiset
Kaikkea liikennettä ei voi kaapata
Liikenteen kaappaus suoraan linjakorteilta vaatisi paljon
lisää työtä, koska sallitut prosessointiajat ovat niin pienet
File Name
Kiitos!
Kiitoksia mielenkiinnosta,
kysyttävää?
File Name