1
Relatore Laureanda Renato Lo Cigno Elisa Bisoffi
Misure e analisi del trafficoMisure e analisi del trafficoin un HotSpot 802.11:in un HotSpot 802.11:
estensione del tool Tstatestensione del tool Tstatper la gestione di proxy per la gestione di proxy
serversservers
2
Cosa vedremo…
Il lavoro è suddiviso in tre parti:
Analisi statistica del traffico TCP/IP della rete wireless della facoltà di Scienze
Estensione del tool utilizzato per l’analisi
Discussione dei risultati ottenuti in seguito all’applicazione di queste modifiche
3
Tstat
Tstat è un tool passivo che effettua analisi statistiche dettagliate e offre strumenti di post-processing
Se il link di raccolta delle tracce è bidirezionale Tstat è in grado di ricostruire le connessioni TCP
Tstat è in grado di svolgere analisi in real-time oppure su tracce precedentemente raccolte (supporta vari formati: tcpdump, snoop, …)
4
Tstat e la rete WILMA
Lo sniffing dei pacchetti è stato eseguito sul link di confine della rete wireless
Tstat distingue tra host esterni ed interni rispetto al punto di misurazione
5
Le tracce
Dal dicembre 2004 il D.I.T. monitorizza il traffico TCP/IP attraverso l’utilizzo di tcpdump
Periodi scelti per l’analisi: FEB: dal 31 gennaio 2005 al 13 febbraio 2005; MAR: dal 7 marzo 2005 al 20 marzo 2005; MAG: dal 1 maggio 2005 al 14 maggio 2005;
Pacchetti [106] Flussi [106]
TOT TCP UDP TOT TCP UDP
FEB 79,07 91,45% 7,18% 1,34 61,70% 38,22%
MAR 152,97 95,41% 4,12% 7,58 92,27% 7,73%
MAG 127,58 92,65% 6,53% 4,73 85,87% 14,12%
6
MISURE A LIVELLO IP
1. Indirizzi IP contattati2. Flussi TCP e UDP3. Pacchetti TCP e UDP4. Dimensione dei pacchetti5. Type Of Service6. Time To Live
7
Indirizzi IP contattati
I dieci indirizzi IP più contattati in FEB
Volte Indirizzo IP Nome macchina519181 193.205.213.166 proxy.science.unitn.it
69406 172.31.194.0 -
59807 193.205.206.25 proxy.unitn.it
11367 172.31.194.3 WilmaGate
3549 193.205.194.23 alpha.science.unitn.it
3453 193.205.194.4 brenta.dit.unitn.it
2454 195.176.255.135 a195-176-255-135.deploy.akamaitechnologies.com
2157 195.176.255.143 a195-176-255-143.deploy.akamaitechnologies.com
1506 66.235.181.59 -
1320 192.168.0.4 -
8
Flussi TCP e UDP
Utilizzo, in numero di flussi, dei protocolli TCP e UDP in MAG
9
Dimensione dei pacchetti
Lunghezza in byte dei pacchetti in FEB
Traffico in Traffico out
10
Time To Live
Utilizzo del campo TTL in FEB Valori di TTL impostati dai principali s.o.
MacOs 60Linux 64Windows 95 32Windows 98/NT/2000/ME/XP 128
TTL Traffico in TTL Traffico out63 88,55% 128 66,81%
127 7,66% 64 19,45%
56 2,04% 127 11,58%
59 0,82% 63 1,18%
60 0,26% 32 0,64%
11
MISURE A LIVELLO TCP
1. Maximum Segment Size2. Utilizzo delle opzioni TCP (SACK,WS,TS)3. Durata dei flussi TCP4. Dimensione dei flussi TCP 5. Congestion Window6. Pacchetti RST
12
Sack, Window Scale, Time Stamp
Utilizzo delle opzioni TCP (Sack, WS, TS) in MAG
Sack Window Scale Time Stamp
13
Durata dei flussi TCP
In FEB
14
Analisi pacchetti RST
Utilizzo dei pacchetti RST
RST Client
RST Server
FEB MAR MAG
0 1 3,07% 0,45% 0,50%
1 0 10,26% 4,01% 3,29%
0 0 86,65% 95,54% 96,20%
15
Gestione di server proxy
16
Dimensione migliore
Dimensione dei pacchetti (fino alle primitive GET e CONNECT)
Dimensione dei nomi degli host contattati
17
Analisi dei pacchetti HTTP
I dieci host più contattati in OTT(OTT: dal 26 ottobre 2005 al 2 novembre 2005)
Flussi TCP Host675 mail.google.com
539 news.google.com
268 thumbs.ebaystatic.com
259 pimpa.science.unitn.it:443
258 pics.ebaystatic.com
243 www.esse3.unitn.it:443
243 img.essedi.it
235 baym-wm25.webmessenger.msn.com
210 192.168.10.2
88 www.spazioadam.org
18
Conclusioni
Il lavoro ha permesso di:1. capire come venga utilizzata a livello di
distribuzione del traffico la rete WILMA2. perfezionare il tool d’analisi in modo che
possa fornire statistiche anche a livello applicativo HTTP
Partendo da questo lavoro è possibile ampliare l’analisi in reti con server proxy prevedendo misurazioni anche ad altri livelli applicativi (es: FTP, SMTP, …).