Literature Database Entry

japes2004konzeption


Christian Japes, "Konzeption und Implementierung einer Analysefunktion für Netzwerkverkehr im Hochgeschwindigkeitsbereich," Pre-Master's Thesis (Studienarbeit), Department of Computer Sciences, University of Erlangen-Nuremberg, February 2004. (Advisor: Falko Dressler)

Abstract

Ziel der vorliegenden Arbeit ist es, die an der Friedrich-Alexander-Universität Erlangen-Nürnberg eingesetzte Moni-Box, ein Programm zur Netzwerküberwachung, an die Anforderungen der heute verwendeten Netzwerktechnologie, insbesondere an Geschwindigkeiten, die teilweise über einem Gigabit pro Sekunde liegen, anzupassen. In der aktuellen Version ist die Moni-Box noch nicht in der Lage, eingehende Daten schnell genug zu verarbeiten. Zu diesem Zweck wurden zunächst verschiedene Hilfsmittel zur Netzwerkdatenanalyse untersucht und auf eventuelle Einsetzbarkeit hin überprüft. Dazu zählt zum einen die bereits genannte Moni-Box und zum anderen ntop, ein Open-Source-Programm, welches neben der Erstellung von umfangreichen Statistiken über den empfangenen Netzwerkverkehr auch den Zugriff auf die abgeleiteten Daten mittels einer Weboberfläche gestattet. Ebenfalls vom ntop-Autor stammt das Programm nProbe, das zwar auch Netzwerkdaten empfängt, diese aber nicht analysiert, sondern lediglich die Datenmenge durch Generierung von NetFlow-Datenpaketen verringert und somit häufig in Verbindung mit ntop eingesetzt wird. Außerdem sollte überprüft werden, inwieweit die Benutzung eines standardisierten Datenformats in den Analyseprozess der Moni-Box integriert werden könnte. Am interessantesten erschienen hier das NetFlow- und das sFlow-Format, weshalb diese Formate näher untersucht wurden. Die Entscheidung für eines der beiden fiel schließlich zugunsten des NetFlow-Formates aus, unter anderem weil auch das zukünftige IPFIX-Format der IETF auf diesem Format basiert. Nachdem sowohl für die bestehende Moni-Box als auch für nProbe Performanztests durchgeführt worden waren, wurde eine Kombination der beiden Programme für sinnvoll befunden. Daneben musste die Moni-Box um einen Mechanismus erweitert werden, der es ermöglichen sollte, einzelne Datenströme zu aggregieren. Diese Fähigkeit kann beispielsweise dazu benutzt werden, festzustellen, welche Datenmengen von und zu einem bestimmten Rechner transportiert werden (interessant z.B. bei Web- und Proxyservern) oder aber auch um die Moni-Box bei Angriffen auf das angeschlossene Netzwerk zu entlasten. Häufig wird zur Vorbereitung solcher Angriffe ein sogenannter Portscan durchgeführt, bei dem in schneller Folge versucht wird, Verbindungen zu unterschiedlichen Ports unterschiedlicher Rechner aufzubauen. Bei der bestehenden Moni-Box wird für jeden dieser Versuche ein neuer Datensatz im Speicher angelegt, was schnell zur Belegung des gesamten Hauptspeichers führen kann. Des Weiteren sollte die erweiterte Moni-Box die Möglichkeit bieten, Konfigurationsoptionen zur Laufzeit ändern zu können um beispielsweise auf die bereits genannten Angriffe reagieren zu können ohne die Moni-Box neu starten zu müssen. Das wurde schließlich auf der Basis von Signalen realisiert, während das Problem der Datenaggregation auf einem Template-basierten System aufbaut. Dabei können Quelle und Ziel des zu aggregierenden Datenverkehrs angegeben werden und auf eine ebenfalls wählbare virtuelle Verbindung abgebildet werden. Die abschließenden Performanztests für das entwickelte System ergaben einen Geschwindigkeitsgewinn, vor allem hervorgerufen durch die Modifikation eines Kernelpuffers. Zusätzlich wurde die Funktionalität der Moni-Box durch den standardisierten Datenexport, die mögliche Aggregierung von Datenströmen und die Laufzeitkonfiguration erweitert.

Quick access

BibTeX BibTeX

Contact

Christian Japes

BibTeX reference

@phdthesis{japes2004konzeption,
    author = {Japes, Christian},
    advisor = {Dressler, Falko},
    title = {{Konzeption und Implementierung einer Analysefunktion f{\"{u}}r Netzwerkverkehr im Hochgeschwindigkeitsbereich}},
    institution = {Department of Computer Sciences},
    year = {2004},
    month = {February},
    location = {Erlangen},
    school = {University of Erlangen-Nuremberg},
    type = {Pre-Master's Thesis (Studienarbeit)},
   }
   
   

Copyright notice

Links to final or draft versions of papers are presented here to ensure timely dissemination of scholarly and technical work. Copyright and all rights therein are retained by authors or by other copyright holders. All persons copying this information are expected to adhere to the terms and constraints invoked by each author's copyright. In most cases, these works may not be reposted or distributed for commercial purposes without the explicit permission of the copyright holder.

The following applies to all papers listed above that have IEEE copyrights: Personal use of this material is permitted. However, permission to reprint/republish this material for advertising or promotional purposes or for creating new collective works for resale or redistribution to servers or lists, or to reuse any copyrighted component of this work in other works must be obtained from the IEEE.

The following applies to all papers listed above that are in submission to IEEE conference/workshop proceedings or journals: This work has been submitted to the IEEE for possible publication. Copyright may be transferred without notice, after which this version may no longer be accessible.

The following applies to all papers listed above that have ACM copyrights: ACM COPYRIGHT NOTICE. Permission to make digital or hard copies of part or all of this work for personal or classroom use is granted without fee provided that copies are not made or distributed for profit or commercial advantage and that copies bear this notice and the full citation on the first page. Copyrights for components of this work owned by others than ACM must be honored. Abstracting with credit is permitted. To copy otherwise, to republish, to post on servers, or to redistribute to lists, requires prior specific permission and/or a fee. Request permissions from Publications Dept., ACM, Inc., fax +1 (212) 869-0481, or permissions@acm.org.

The following applies to all SpringerLink papers listed above that have Springer Science+Business Media copyrights: The original publication is available at www.springerlink.com.

This page was automatically generated using BibDB and bib2web.