Académique Documents
Professionnel Documents
Culture Documents
Franois-Xavier Andreu
(francois-xavier.andreu@renater.fr)
PLAN
Introduction, rappel sur la mtrologie RENATER Les besoins lmentaires De nouvelles mesures... pour de nouveaux besoins Conclusion
PLAN
Introduction, rappel sur la mtrologie RENATER Les besoins lmentaires De nouvelles mesures... pour de nouveaux besoins Conclusion
C
Paquets sondes de C vers D
D
4
PLAN
Introduction, rappel sur la mtrologie RENATER Les besoins lmentaires De nouvelles mesures... pour de nouveaux besoins Conclusion
RENATER-3
Les services:
IPv4 IPv6 Allocation d'adresses IP (actuellement 4000 blocs en IPv4) MPLS (service ATOM ) Multicast (v4,v6:www.m6bone.net):
MBGP, MSDP
Le "Nud Rgional"
Routeur Cisco 12xxx
quipement R2bis Encore en place
Backbone
Rseau de Collecte
Rseau de Collecte
Site
Site
Rseau de Collecte
PLAN
Introduction, rappel sur la mtrologie RENATER Les besoins lmentaires
Les MIBs et SNMP NetFlow
Dcouverte des nouvelles interfaces Minimum 4 oids relevs sur chacune des interfaces (1000*4*2 paquets UDP) UCD-SNMP au dbut, aujourd'hui Net-SNMP version 5.0.7
JRES 2003 : La Mtrologie au GIP RENATER 9
Charge de la CPU:
10
11
NetFlow
Rappel:
Nombre de paquets du flux Nombre d'octets du flux temps: dbut et fin du flux
Index de sortie (interface) AS source et destination Masque des IP source et destination Cumul des flags TCP
12
NetFlow (suite)
Architecture :
Caractristiques :
un dbit de 8 Mb/s en journe, 3Mb/s la nuit vers le collecteur. 6 millions de flux / 5 minutes en journe, un minimum de 2 millions la nuit (attention, 80% des quipements sont en mode chantillonnage).
13
NetFlow (suite)
Exemple d'une connexion sur un serveur web:
Adresse Adresse source destination 193.49.159.141 194.199.8.10 194.199.8.10 193.49.159.141 193.49.159.141 194.199.8.10 194.199.8.10 193.49.159.141 193.49.159.141 194.199.8.10 194.199.8.10 193.49.159.141 193.49.159.141 194.199.8.10 194.199.8.10 193.49.159.141 193.49.159.141 194.199.8.10 194.199.8.10 193.49.159.141 193.49.159.141 194.199.8.10 Routeur 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 193.51.179.66 index index de Port Port AS AS d'entre sortie source dest. Prot Octets Paquets source dest. 16 14 1164 80 6 821 10 0 65037 14 16 80 1164 6 14456 14 65037 0 16 14 1165 80 6 544 7 0 65037 14 16 80 1165 6 6582 7 65037 0 16 14 1166 80 6 552 7 0 65037 14 16 80 1166 6 6641 7 65037 0 16 14 1167 80 6 551 7 0 65037 14 16 80 1167 6 6895 8 65037 0 16 14 1168 80 6 755 12 0 65037 14 16 80 1168 6 20203 17 65037 0 16 14 1169 80 6 460 5 0 65037
Permanente pour :
14
NetFlow (suite)
Dbit d'un bloc d'adresse de RENATER :
15
NetFlow (suite)
Rpartition du trafic suivant les ports : Alarmes sur les problmes de routages. Matrice de trafic. Capture des flux suivant des signatures particulires au niveau du collecteur (ports, nombre de paquets, tailles,). Gnration chaque jour d'un top 40 des adresses ayant un trafic "singulier" (P2P, ftp Warez). Ces informations sont passes au CERT-RENATER pour y tre traites. Depuis Juin 2002, le trafic ne respectant pas la charte RENATER baisser de moiti.
16
NetFlow
(suite)
Rpartition par ports
autres 5020 4662 445 137 80 53 25 22 20
Protocoles
Octets Flux
0
others 0% udp 14% icmp 2%
10
20
30
40
50
tcp 84%
17
NetFlow (suite)
Dtection d'attaques :
Envoie de mail vers le CERT-RENATER lors de dpassement de seuil Extrait des flux :
Adresse source 194.57.222.66 194.57.222.211 194.57.222.170 194.57.222.190 194.57.222.18 194.57.222.10 194.57.222.139 194.57.222.203 194.57.222.116 194.57.222.34 194.57.222.166 194.57.222.1 194.57.222.182 194.57.222.163 194.57.222.6 Adresse destination 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 163.15.163.247 Routeur 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 193.51.177.42 index de Port Port AS index d'entre sortie source dest. Prot Octets Paquets source 5 3 1445 80 6 40 1 1715 5 3 1414 63 6 40 1 1715 5 3 1191 53 6 40 1 1715 5 3 1232 34 6 40 1 1715 5 3 1610 25 6 40 1 1715 5 3 1582 23 6 40 1 1715 5 3 1103 1 6 40 1 1715 5 3 1590 116 6 40 1 1715 5 3 1877 113 6 40 1 1715 5 3 1566 98 6 40 1 1715 5 3 1122 90 6 40 1 1715 5 3 1975 86 6 40 1 1715 5 3 1248 82 6 40 1 1715 5 3 1696 70 6 40 1 1715 5 3 1270 62 6 40 1 1715 AS dest. 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539 7539
18
NetFlow (suite)
Une limite :
Plus le trafic augmente, plus le traitement au niveau de l'quipement devient un problme.
Sur RENATER: 10% des paquets (~1/2 des flux) sauf BdC et DOM-TOM : 100%
JRES 2003 : La Mtrologie au GIP RENATER 19
Attention l'interprtation
20
PLAN
Introduction, rappel sur la mtrologie RENATER Les besoins lmentaires De nouvelles mesures... pour de nouveaux besoins
METROPOLIS Les Mtriques Exigences des applications Ordre de grandeur sur RENATER Problmatiques Solutions existantes Premire solution : re-spcification des besoins
Conclusion
JRES 2003 : La Mtrologie au GIP RENATER 22
METROPOLIS
Projet RNRT exploratoire (Mtrologie pour l'Internet et les Services) Participants :
Pour chaque classe de service et type de protocole IP Notion de prcision importante Mesures de bout en bout mais aussi en interne :
JRES 2003 : La Mtrologie au GIP RENATER 24
25
26
Problmatiques
Prcision
dlai quelques ms prcision 100 s
Synchronisation :
NTP :
En WAN > 1 ms instabilit
Dlais unidirectionnels entre deux stations A et B directement relie, A est synchronise sur B par NTP, B synchronise sur son horloge locale.
GPS :
10 s Problme de cot et d'installation
matrielle matriel
oui
Colle cte
non oui Logs locaux Logs locaux, envoys au site envoi au site central central par rpc quotidiennemen de chaque t mesure
oui
oui
Logs locaux
Logs locaux
Non intgre
Impossible commerciale
T rs complte, sur serveur web local et central ( Amsterdam) Possible (mais ncessite demande RIPE) commerciale
Site web Non intgre Non intgre Non intgre Possible (mais code source imposant) GPL central
Possible GPL
Impossible commerciale
29
Conclusion
La mtrologie au GIP RENATER se dcompose en :
une volution de l'existant une rponse aux nouveaux besoins :
De l'exploitation (ex: supervision des classes de services) Des utilisateurs (ex: mesures de bout en bout)
31
32