27

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

IT-менеджмент Электронные коммуникации

Н. А. Мендкович

Анализ трафика некоммерческих сетей

Одним из объективных показателей,

характеризующих функционирова-

ние сетевых инфраструктур, явля-

ется их трафик. Учет сетевого трафика яв-

ляется актуальным, и для его реализации

существует ряд программных и техничес-

ких средств [1]. В частности, он реализу-

ется в коммерческих целях при предостав-

лении услуг сетевого доступа. Однако

собранные при этом данные не всегда

можно считать достаточно объективными,

так как обе стороны — поставщики услуг

и абоненты сети — стремятся сместить

показатели трафика в свою пользу или же

иногда неверно идентифицировать объ-

ект своего интереса к сети. На основании

данных о трафике во многих случаях могут

быть сделаны выводы о факторах, опреде-

ляющих активность пользователей, а так-

же об объектах их наибольшего интереса.

Учет необходим для поддержания тру-

довой дисциплины в различных организа-

циях, где зачастую сотрудники используют

доступ к сети, оплачиваемый работода-

телем, в личных целях. Это ведет не толь-

ко к напрасной трате сетевого времени

или трафика (в зависимости от способа

оплаты), но и к пассивности сотрудников

в рабочее время и, следовательно, низкой

производительности труда.

Таким образом, учет сетевого трафи-

ка фактически является частью политики

по обеспечению информационной и эко-

номической безопасности фирм и органи-

заций.

Следует также подчеркнуть, что регис-

трация и анализ трафика позволяют вы-

явить не только нехарактерные колебания

величины передаваемых данных, но и дают

возможность зачастую обнаружить и свое-

временно пресекать серьезные наруше-

ния [2].

Однако в качестве объекта анализа

нами выбраны некоммерческие научно-об-

разовательные сети, так как именно их не-

коммерческий характер позволяет собрать

наиболее полные данные об их сетевом

трафике.

В отличие от хорошо документирован-

ной статистики обращений к отечествен-

ным информационным ресурсам [3] пуб-

ликации данных о трафике российских

IP-сетей немногочисленны и не носят сис-

тематического характера. Есть все осно-

вания ожидать, что в случае коммерческих

сетей операторы которых рассматривают

данные о трафике в качестве конфиденци-

альной экономической информации, дан-

ное положение не претерпит изменений

в ближайшей перспективе. В то же вре-

мя в отношении научно-образовательных

сетей, значительная часть финансирова-

ния которых осуществляется из средств

бюджетов различного уровня, какие-либо

экономические соображения, препятству-

ющие публикации данной информации,

отсутствуют. Поэтому в качестве объекта

исследования в данной работе были вы-

браны российские научно-образователь-

ные сети. А конкретно — информация, пе-

редаваемая по международным каналам

связи, так как существует наиболее пол-

ная статистика повременного изменения

ее объемов.

В данной статье сделана попытка

обобщить собранные данные, касающие-

ся их адресного пространства, активнос-

ти пользователей и объемов полученной

ими из соответствующих сетей инфор-

мации. В качестве источника данных был

использован Сервер статистики сети

« RbNet» [4].

Прежде всего, обратим внимание

на данные, представленные на рисунке 1.

28

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКАА

нал

из

траф

ика

нек

ом

мер

чес

ких

сете

й

IT-менеджмент Электронные коммуникации

0 1 00000 2 00000 3 00000 400000

1

Се

ти

Ч и с л о а д р е с о в

R S S IR B NE T-P R O XY-S E RFR E E NE TR AD IO -MS UR E LAR N

Рис. 1. Адресное пространство 5 крупнейших сетей

Как видно из приведенных данных, лидирующие позиции занимают следу-ющие сети: RELARN (330240 адресов), RADIO-MSU (269056), FREENET (195328), RBNET-PROXY-SERVER (131840). Прочие

сети не преодолевают порог в 100 000 IP-адресов. Можно привести полные данные по входящему и исходящему тра-фику информации для каждой из сетей (табл. 1).

Таблица 1

Число адресов, входящий и исходящий трафик в рассматриваемых сетях

Название сети Адресов в сети Входящий трафик Исходящий трафикRELARN 330 240 28 276,63 2541,29RADIO-MSU 269 056 33 594,43 33 139,87FREENET 195 328 44 617,47 37 621,85RBNET-PROXY-SER 131 840 1839,11 238,38RSSI 82 176 21 776,06 19 436,56NOVOSIBIRSK 73 728 41 064,61 14010,51NSU 69 120 1579,38 841,16RAS 68 864 33 150,64 27 001,86Kemerovo 66 048 1644,98 402,55JINR / HEPNET 65 536 7494,28• 2496,06EUNnet 10 752 12228,14 70,93MSUNET 6144 49 555,02 64 875,17VSU-VORONEZH 1536 2557,52 465,8SSAU-Samara 1280 6837,48 2943,37TSTUNET-Tambov 1280 707,08 586,34BSU-Bashkiria 1024 903,59 231,56NNSU 768 2855 2405,29SCI-NNOV 768 1255,8 0,02187KCNET-Khabarovsk 512 297,47 140,6KRASU 512 119,72 128,11KSTU-Kursk 512 218,63 76,61

29

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

Н. А

. М

ен

дко

ви

ч

IT-менеджмент Электронные коммуникации

Название сети Адресов в сети Входящий трафик Исходящий трафик

KUBANnet 512 2375,62 568,21

OBNINSK 512 5802,21 1341,39

OMSK 512 1151,77 472,21

PSU-Perm 512 857,67 235,67

TOMSK 512 4252,01 2469,1

UFANET 512 685,51 0,05068

URC-AS 512 2020,59 746,38

AMURSU 256 433,47 112,49

ASN-PRCNIT 256 350,42 0,03663

BRCNIT-Ulan-Ude 256 570,45 98,3

BSTA-Belgorod 256 174,78 16,37

IC-ISU-IRKUTSK 256 376,85 126,3

IITAM-Omsk 256 25,48 13,65

IRKUTSK 256 697,76 448,94

KRSC-RU 256 77,4 16,27

KSU-Kaliningrad 256 300,65 128,24

OSU-Orenburg 256 227,62 12,63

ROSINFORMRESURS 256 66,57 15,3

SSU-Samara 256 2763,54 1368,72

TRCI-TVER 256 2467,28 1153

UDSU-Izhevsk 256 340,53 267,32

Окончание табл. 1

На рисунке 2 с помощью точечного гра-

фика показано соотношение входящего

и исходящего трафиков для сетей, имею-

щих более 1000 IP-адресов. По оси X идут

значения адресного пространства, по Y —

входящий трафик (в гигабайтах).

Незначительное, в масштабах данного

графика, различие в значениях для сетей

с адресным пространством менее 1000 ад-

ресов заставляет описать его особо. Сети

NNSU и SCINNOV имеют по 768 IP-адресов,

и, соответственно, 2855 и 1255,8 гигабайт

Ад ре с ов б оле е 1 000

0

1 0000

20000

30000

40000

50000

60000

0 50000 1 00000 1 50000 200000 250000 300000 350000

Гб а й т

Гба

йт

Рис. 2. Соотношение входящего и исходящего трафиков для описанных сетей

30

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

Ан

ал

из т

ра

фи

ка

не

ко

мм

ер

че

ск

их

се

те

й

IT-менеджмент Электронные коммуникации

входящего трафика. На рис. 3 графичес-

ки представлены колебания входящего

трафика для класса сетей, имеющих 512

IP-адресов. Как видно, все эти значения

близки к 1000 гигабайт, кроме как для се-

тей OBNINSK и TOMSK. Для них же харак-

терны отклонения исходящего трафика

от «нормы» в 500 гигабайт.

Распределение трафика между различ-

ными сетями, использующими международ-

ный канал MSK-Telia, представлено на рисун-

ках 4 и 5. Как видно из рисунков, основной

объем трафика приходится на пять сетей.

Их суммарный входящий трафик составляет

более половины от суммарного за весь рас-

сматриваемый период трафика. Поэтому

для более детального анализа мы исполь-

зовали данные, характеризующие между-

народный трафик этих пяти сетей. Отметим,

что их список не совпадает со списком се-

MSUNET12%

FREENET11%

NOVOSIBIRSK11%RAS

10%RELARN

9%

RSSI9%

EUNnet7%

JINR/HEPNET7%

Остальные14%

RADIO-MSU10%

Рис. 4. Распределение общего объема данных, полученных различными сетями за период с 1 февраля 2002 года по 31 июля 2003 года

FREENET21%

RADIO-MSU18%

MSUNET15%

RAS14%

RELARN1%

RSSI10%

NOVOSIBIRSK8%

SSAU-Samara2%

JINR/HEPNET1% Остальные

10%

Рис. 5. Распределение общего объема данных, полученных пользователями из различных сетей

за период с 1 февраля 2002 года по 31 июля 2003 года

тей, владеющим наибольшим

числом IP-адресов. RELARN

не попадает даже в первую

пятерку (по входящему тра-

фику он занимает 6-е место),

RBNET-PROXY-SERVER имеет

крайне малую долю в общем

трафике (как входящем, так

и исходящем). Лидирующие

позиции занимает FREENET,

но число адресов, принадле-

жащих, например, RADIO-

512 Адресов

0

1000

2000

3000

4000

5000

6000

7000

KCNET-Khabarovsk

KRASU KSTU-Kursk KUBANnet OBNINSK OMSK PSU-Perm TOMSK UFANET URC-AS

Гб

ай

т

Рис. 3. Входящий трафик для сетей с адресным пространством в 512 адресов

Рис. 6. Распределение общего объема данных, полученных пользователями из различных сетей за период с августа 2003 года по март 2004 года (для международного канала Москва-Транс-Телеком)

15%

14%

13%

12%8%

7%

4%

4%

4%

19% RASMSUNETNOVOSIBIRSKFREENETRELARNRSSIJINR/HEPNETEUNnetSSAU-SamaraОстальные

MSU, превосходит размеры его адресного

пространства почти вдвое. Тем не менее

трафик последней занимает пятое место

(входящий) и второе (исходящий).

Та же группа сетей-лидеров характер-

на и для международного канала Москва-

Транс-Телеком (рис. 6).

31

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

Н. А

. М

ен

дко

ви

ч

IT-менеджмент Электронные коммуникации

Рассмотрим активность

зарубежных пользователей

в российских научно-обра-

зовательных сетях за раз-

личные периоды. На рисун-

ке 7 представлен график,

описывающий изменение

входящего трафика на меж-

дународном канале MSK-

Telia в период с февраля

2002 года по июль 2003 года.

Как видно из рисунка,

имеют место достаточно вы-

раженные сезонные изме-

нения трафика, в частности

минимумы в летний период

времени. Для указанного

периода характерна тенден-

ция к быстрому росту входя-

щего трафика. (Канал начал

функционировать в февра-

ле 2002 года, ряд сетей стал

пользоваться им позднее.)

Так, например, уровень тра-

фика в 2003 году сущест-

венно превосходит соответствующие зна-

чения 2002 года.

Как видно из данных, представленных

на рисунке 8, изменение величины вхо-

дящего трафика происходит практичес-

ки симбатно для всех рассматриваемых

сетей и имеет отчетливо выраженную се-

зонную зависимость, практически совпа-

дающую с сезонными изменениями сум-

марного трафика по данному каналу. В

частности, несмотря на заметные различия

в абсолютных величинах трафика, для них

характерно наличие минимума в точке, со-

ответствующей июню 2002 года. (В апреле

2003 года: 4549 гигабайт для сети FREENET

и 2467 — для RADIO-MSU.)

Как для отдельных сетей, так и для сум-

марного трафика характерны падение ак-

тивности в летний период и рост в марте–

апреле, что особенно заметно на примере

весны 2003 года. Данный график отражает

изменения суммарного трафика всех се-

тей, использующих данный канал. Как вид-

Суммарный трафик

05000

10000150002000025000300003500040000

Feb_2002 May_2002 Aug_2002 Nov_2002 Feb_2003 May_2003

Гбай

тРис. 7. Изменения величины месячного входящего трафика

на международном канале MSK-Telia в 2002–2003 гг.

Рис. 8. Изменения величины месячного входящего трафика на международном канале MSK-Telia в 2002–2003 гг.

для лидирующих по объему входящего трафика сетей

0

1000

2000

3000

4000

5000

6000

7000

Feb_2002

Mar_2002

Apr_2002

May_2002

Jun_2002

Jul_2002

Aug_2002

Sep_2002

Oct_2002

Nov_2002

Dec_2002

Jan_2003

Feb_2003

Mar_2003

Apr_2003

May_2003

Jun_2003

Jul_2003

Гбай

т

MSUNET FREENET NOVOSIBIRSK RAS RADIO-MSU

но по графикам пяти лидирующих сетей,

данные колебания характерны и для этих

сетей, что позволяет делать на его основе

выводы об отдельных сетях.

На рисунке 9 представлены аналогич-

ные данные, характеризующие исходящий

трафик. Для исходящего трафика, так же

как и для входящего, характерна значи-

тельная амплитуда изменений. Так, на-

пример, наблюдается значительный рост

объема данных в марте–апреле 2003 года,

однако значения за тот же период 2002 года

(73 440 килобайт и 0,00106 мегабайт соот-

ветственно) пренебрежимо малы и не пред-

ставлены на графике суммарного трафика

(рис. 10). Сравнительно большое значение

исходящего трафика достигнуто только

в мае того же года (напомним, что данная

статистика касается пяти сетей, имеющих

наибольший трафик).

В данном случае тенденции к росту

или падению за те или иные периоды харак-

терны для всех рассматриваемых сетей, кро-

32

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

Ан

ал

из т

ра

фи

ка

не

ко

мм

ер

че

ск

их

се

те

й

IT-менеджмент Электронные коммуникации

ме RADIO-MSU. (В декабре–январе 2003 года

данная сеть переживает резкий рост исхо-

дящего трафика, в марте же в противопо-

ложность остальным сетям — спад.) Однако

на графике колебаний суммарного трафика

0100020003000400050006000700080009000

Feb_2002

Mar_2002

Apr_2002

May_2002

Jun_2002

Jul_2002

Aug_2002

Sep_2002

Oct_2002

Nov_2002

Dec_2002

Jan_2003

Feb_2003

Mar_2003

Apr_2003

May_2003

Jun_2003

Jul_2003

Гбай

т

FREENET RADIO-MSU MSUNET RAS RSSI

Рис. 9. Изменения месячной величины исходящего трафика на международном канале MSK-Telia в 2002–2003 гг.

(для пяти лидирующих сетей)

0

1 0000

20000

30000

40000

50000

60000

70000

80000

Fe b_2002 Ma y_2002 Aug _2002 No v_2002 Fe b_2003 Ma y_2003

Гба

йт

Рис. 10. Изменения месячной величины исходящего трафика на международном канале MSK-Telia в 2002–2003 гг.

0

1 0000

2 0000

30000

40000

50000

60000

7 0000

80000

Fe b_2 002 Ma y_2 002 Au g _2 002Nov_2 002 Fe b_2 003 Ma y_2 003

Гба

йт

В ходящ и й Исходящ и й

Рис. 11. Изменения входящего и исходящего трафика в период с февраля 2002 года по июль 2003 года

представлена некая усредненная динамика,

позволяющая говорить о некоторой симбат-

ности рассматриваемых сетей.

Обратим внимание, на какого рода ин-

формацию существует наибольший спрос

пользователей. По исходя-

щему трафику, как видно из

представленного выше гра-

фика, на большинстве вре-

менных промежутков лидиру-

ет сеть FREENET. Наибольший

объем как входящего, так и

ис ходящего трафиков ха-

рактерен для IP-адресов,

при надлежащих Институту

теоре тической физики имени

Ландау в Москве. Ниже при-

водится таблица IP-адресов,

являющихся абсолютными

лидерами по входящему и ис-

ходящему трафикам за март

2003 года (табл.2).

Исходя из приведенных

выше статистических дан-

ных, можно сделать ряд вы-

водов, касающихся спроса

иностранных пользователей

на информацию, доступную

в компьютерных сетях науч-

но-образовательного харак-

тера.

Первый и наиболее важ-

ный вывод следующий: раз-

меры входящего трафика

сетей не всегда прямо про-

порциональны числу адре-

сов в них, т. е. сети, лиди-

рующие по одному из этих

показателей, необязатель-

но лидируют по второму.

Как видно из приведенных

данных, лидирующие пози-

ции занимают следующие

сети: RELARN (330 240 адре-

сов), RADIO-MSU (269 056),

FREENET (195 328), RBNET-

PROXY-SERVER (131 840).

Однако наибольший исхо-

33

№ 2 2006

ПРИКЛАДНАЯ ИНФОРМАТИКАПРИКЛАДНАЯ ИНФОРМАТИКА

Н. А

. М

ен

дко

ви

ч

IT-менеджмент Электронные коммуникации

дящий трафик имеет сеть MSUNET (12 %

от общего трафика), второе место занима-

ют FREENET и Novosibirsk (по 11 %). RBNET-

PROXY-SERVER вообще не входит в число

сетей — лидеров по исходящему (равно

и входящему) трафику. По входящему тра-

фику лидируют FREENET (21 %), RADIO-

MSU (18 %), MSUNET (15 %).

На основании приведенной статистики

можно сделать вывод, что наличие зна-

чительного числа адресов само по себе

не обеспечивает значительного сетевого

трафика, однако является при этом фак-

тором, способствующим ему, как мы видим

это на примере.

Приведенный выше объем статистичес-

ких данных позволяет выделить также ряд

сетей, чей трафик сетей по тем или иным

причинам отклоняется от среднестатис-

тической нормы в те или иные периоды.

Изучение причин описанных отклонений

позволяет сделать ряд выводов по вли-

янию технологических, экономических

и иных факторов на трафик научно-обра-

зовательных сетей, что, в свою очередь,

имеет прикладное значение. Следует, од-

нако, отметить, что данная статистическая

выборка имеет тот недостаток, что отно-

сится к сравнительно небольшому пери-

оду, так что те или иные закономерности

(например, спад трафика в июле каждого

года) могут носить случайный характер

и не проявляться в будущем. Не следует

также забывать, что по крайней мере часть

рассматриваемого периода является вре-

менем становления каналов, что объясня-

ет стабильный среднегодовой рост их тра-

фика, что, естественно, не может являться

однозначно верным для будущих перио-

дов. Однако автор надеется, что, несмотря

на указанные оговорки, собранные дан-

ные представят определенный интерес

для читателя.

Автор выражает благодарность за пре-

доставление доступа к архиву данных «Сер-

вер Статистики Сети “RbNet”».

Источники

1. Олифер В. Г., Олифер Н. А. Основы се-

тей передачи данных. — Интернет-универ-

ситет информационных технологий, 2003.

2. Астахов А. Актуальные вопросы вы-

явления сетевых атак // Jet Info. № 3. (106).

2002.

3. http://www.spylog.ru

4. Сервер Статистики Сети «RbNet»

(http://rbn-stat.cosmos.ru).

5. База данных whois на http://www.ripe.net

Таблица 2

Статистика респондентов Института теоретической физики имени Ландау

за март 2003 года

IP-адрес

респондента

Входящий

трафик, гигабайт

Исходящий

трафик, гигабайтОписание организации — владельца адреса

204.0.0.0 98.09 2.92Verio, Inc. 8005 South Chester Street Suite 200/ Englewood [5]

216.0.0.0 19.67 1.96Allegiance Telecom Companies Worldwide 1950 North Stemmons Freeway/ Dallas

128.0.0.0 6.68 0.15Internet Assigned Numbers Authority 676 Admiralty Way, Suite 330/ Marina del Rey

213.0.0.0 2.96 50.84RIMA Telefonica De Espana SAU (NCC#1999085999) Red de servicios IP Spain

80.0.0.0 1.35 67.30NTL NTL BIA — Leeds Seacroft Harrogate CAM DHCP Pool [5]

217.0.0.0 1.40 53.47 DTAG-DIAL13 Deutsche Telekom AG