1

Relatore Laureanda Renato Lo Cigno Elisa Bisoffi

Misure e analisi del trafficoMisure e analisi del trafficoin un HotSpot 802.11:in un HotSpot 802.11:

estensione del tool Tstatestensione del tool Tstatper la gestione di proxy per la gestione di proxy

serversservers

2

Cosa vedremo…

Il lavoro è suddiviso in tre parti:

Analisi statistica del traffico TCP/IP della rete wireless della facoltà di Scienze

Estensione del tool utilizzato per l’analisi

Discussione dei risultati ottenuti in seguito all’applicazione di queste modifiche

3

Tstat

Tstat è un tool passivo che effettua analisi statistiche dettagliate e offre strumenti di post-processing

Se il link di raccolta delle tracce è bidirezionale Tstat è in grado di ricostruire le connessioni TCP

Tstat è in grado di svolgere analisi in real-time oppure su tracce precedentemente raccolte (supporta vari formati: tcpdump, snoop, …)

4

Tstat e la rete WILMA

Lo sniffing dei pacchetti è stato eseguito sul link di confine della rete wireless

Tstat distingue tra host esterni ed interni rispetto al punto di misurazione

5

Le tracce

Dal dicembre 2004 il D.I.T. monitorizza il traffico TCP/IP attraverso l’utilizzo di tcpdump

Periodi scelti per l’analisi: FEB: dal 31 gennaio 2005 al 13 febbraio 2005; MAR: dal 7 marzo 2005 al 20 marzo 2005; MAG: dal 1 maggio 2005 al 14 maggio 2005;

Pacchetti [106] Flussi [106]

TOT TCP UDP TOT TCP UDP

FEB 79,07 91,45% 7,18% 1,34 61,70% 38,22%

MAR 152,97 95,41% 4,12% 7,58 92,27% 7,73%

MAG 127,58 92,65% 6,53% 4,73 85,87% 14,12%

6

MISURE A LIVELLO IP

1. Indirizzi IP contattati2. Flussi TCP e UDP3. Pacchetti TCP e UDP4. Dimensione dei pacchetti5. Type Of Service6. Time To Live

7

Indirizzi IP contattati

I dieci indirizzi IP più contattati in FEB

Volte Indirizzo IP Nome macchina519181 193.205.213.166 proxy.science.unitn.it

69406 172.31.194.0 -

59807 193.205.206.25 proxy.unitn.it

11367 172.31.194.3 WilmaGate

3549 193.205.194.23 alpha.science.unitn.it

3453 193.205.194.4 brenta.dit.unitn.it

2454 195.176.255.135 a195-176-255-135.deploy.akamaitechnologies.com

2157 195.176.255.143 a195-176-255-143.deploy.akamaitechnologies.com

1506 66.235.181.59 -

1320 192.168.0.4 -

8

Flussi TCP e UDP

Utilizzo, in numero di flussi, dei protocolli TCP e UDP in MAG

9

Dimensione dei pacchetti

Lunghezza in byte dei pacchetti in FEB

Traffico in Traffico out

10

Time To Live

Utilizzo del campo TTL in FEB Valori di TTL impostati dai principali s.o.

MacOs 60Linux 64Windows 95 32Windows 98/NT/2000/ME/XP 128

TTL Traffico in TTL Traffico out63 88,55% 128 66,81%

127 7,66% 64 19,45%

56 2,04% 127 11,58%

59 0,82% 63 1,18%

60 0,26% 32 0,64%

11

MISURE A LIVELLO TCP

1. Maximum Segment Size2. Utilizzo delle opzioni TCP (SACK,WS,TS)3. Durata dei flussi TCP4. Dimensione dei flussi TCP 5. Congestion Window6. Pacchetti RST

12

Sack, Window Scale, Time Stamp

Utilizzo delle opzioni TCP (Sack, WS, TS) in MAG

Sack Window Scale Time Stamp

13

Durata dei flussi TCP

In FEB

14

Analisi pacchetti RST

Utilizzo dei pacchetti RST

RST Client

RST Server

FEB MAR MAG

0 1 3,07% 0,45% 0,50%

1 0 10,26% 4,01% 3,29%

0 0 86,65% 95,54% 96,20%

15

Gestione di server proxy

16

Dimensione migliore

Dimensione dei pacchetti (fino alle primitive GET e CONNECT)

Dimensione dei nomi degli host contattati

17

Analisi dei pacchetti HTTP

I dieci host più contattati in OTT(OTT: dal 26 ottobre 2005 al 2 novembre 2005)

Flussi TCP Host675 mail.google.com

539 news.google.com

268 thumbs.ebaystatic.com

259 pimpa.science.unitn.it:443

258 pics.ebaystatic.com

243 www.esse3.unitn.it:443

243 img.essedi.it

235 baym-wm25.webmessenger.msn.com

210 192.168.10.2

88 www.spazioadam.org

18

Conclusioni

Il lavoro ha permesso di:1. capire come venga utilizzata a livello di

distribuzione del traffico la rete WILMA2. perfezionare il tool d’analisi in modo che

possa fornire statistiche anche a livello applicativo HTTP

Partendo da questo lavoro è possibile ampliare l’analisi in reti con server proxy prevedendo misurazioni anche ad altri livelli applicativi (es: FTP, SMTP, …).