You are on page 1of 71

TutoJRES Mtrologie

Mesures passives

Universit Paris 5
3 Octobre 2008

Groupe de Mtrologie Rseau


gt-metro@services.cnrs.fr
Agenda

 Introduction

 Mesures et analyses du trafic

 Conclusion

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 3


Les mesures passives

 Capture dinformations sur le trafic qui passe en un ou


plusieurs points dun rseau afin de pouvoir les analyser

 Plusieurs mthodes :

La collecte dinformations via SNMP

La capture de flux via IPFIX/NetFlow

La capture de trafic via le port-mirroring

Sondes et cartes ddies

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 4


Mesures passives vs. Mesures actives

Mesures actives Mesures passives


Gnrer du trafic dans le rseau Capture dinformations sur le trafic
pour en observer les qui passe en un ou plusieurs
Principe caractristiques : taux de perte, points dun rseau afin de pouvoir
dlai, RTT, gigue les analyser
Pouvoir mesurer les paramtres Analyses trs avances du rseau
Avantage dun service que lon (veut) sans perturbation du trafic de
utilise(r) et/ou garantir. production : mthode non intrusive

Perturbation possible, introduite Ne permet pas de dterminer quel


Inconvnient par le trafic de mesure pouvant service peut tre garanti ou non
modifier ltat du rseau

Garantir lutilisation dapplications Dtection de dni de service, de


Exemples temps rel telle la ToIP, garantir le dpassement de dbit, de goulots
dutilisation bon fonctionnement des CoS et les dtranglement
SLA qui y sont lis
ping, traceroute, mtriques SNMP, IPFIX/NetFlow, Port-
Outils IPPM mirroring

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 5


Agenda

 Introduction

 Mesures et analyses du trafic


La collecte dinformations via SNMP

 Conclusion

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 6


La
collecte dinformations
via
SNMP

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 7


SNMP : Simple Network Management Protocol

 SNMPv1, v2, v3 : la v1 est la plus utilise, v3 est scurise.

 Interrogation intervalle rgulier dun ou plusieurs quipement(s) (polling)


au travers du rseau :
Rcupration (et visualisation) dinformations concernant lquipement, ses
connexions rseaux (dbit, perte de paquets), leur tat de chargegrce
des compteurs mis jour par lquipement
Modification du paramtrage de certains composants (modifier la conf)
Alerte de ladministrateur en cas dvnements considrs comme anormaux

 Nous nous intressons ici aux points 1 et 3 dans le cadre de lanalyse du


trafic et de son tat.

 SNMP permet bien plus que lanalyse du trafic et de son tat mais cela ne
sera pas abord dans cette prsentation

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 8


Principe
 4 lments composent SNMP :
Un superviseur :
Station lorigine de requtes SNMP pour la collecte de donnes et leur mise
en forme pour analyse.
Un lment actif :
Equipement du rseau comportant les informations analyser.
La MIB (Management Information Base) :
Base dinformation contenant tous les objets interrogeables (OID) de
llment actif
Un agent :
Processus intgr aux lments actifs en coute et rpondant au superviseur
Interroge les objets dfinis dans la MIB :
Nombre de paquets dropps sur une interface
Etat de charge CPU
Objet propritaire, en fonction du constructeur
Met jour les informations concernant ces objets : les compteurs

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 9


Fonctionnement
 SNMP utilise en gnral UDP
 Le superviseur qui met la requte sauthentifie avec un mot
de passe connu par lquipement rseau : la communaut
Droits daccs en fonction de la communaut
 Lagent coute sur le port 161
 Le superviseur coute sur le port 162 pour recevoir les alertes
provenant des agents

Commande Action
get-request Le superviseur demande une information un agent
get-next-request Le superviseur demande linformation suivante lagent
set-request Le superviseur met jour une information
get-reponse Lagent rpond un get-request ou un set-request
trap Lagent envoie une alarme au superviseur

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 10


Collecte SNMP
Internet

Interrogation SNMP avec


authentification en
utilisant la Compteur paquets in = 3
1
2
communaut connue de
lquipement rseau et de
la station :
Combien de paquets in ?

Envoi du rsultat de la
requte la station :
Nombre de paquets in = 3

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 11


La MIB: Management Information Base
 Base dinformation permettant la gestion dun quipement rseau

 Structure normalise et organise de manire hirarchique sous


forme dun arbre o chaque information est reprsente par un objet
(Object IDentifier - OID) dans une table

 Un OID est identifi par une suite de chiffres spars par des points :
Ex : ifType : type dinterface : 1.3.6.1.2.1.2.2.1.3

 MIB-2 : sous-ensemble concernant les protocoles de


lInternet.
En mtrologie cest essentiellement ce sous-ensemble qui est utilis!
Gestion des informations sur IPv4 et IPv6 partiellement
Une MIB dans la MIB
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 12
Larbre MIB
RFC1213

Systme Interface IP
1 2 4

Le nombre doctets entrant sur une interface :


IfNumber IfTable
1 2 1.3.6.1.2.1.2.2.1.10

IfEntry
1
Pour linterface n2 : 1.3.6.1.2.1.2.2.1.10.2

IfIndex IfDescr IfType IfInOctets IfInUcastPkts IfInNUcastPkts


1 2 3 10 11 12
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 13
Source : http://fr.wikipedia.org/wiki/Management_Information_Base
Utiliser la MIB

 Sur un lment actif, la MIB standard et la MIB propritaire


sont dj installes

 Sur un serveur :
Besoin de connatre la MIB standard : installe avec NET-SNMP par
exemple.
Besoin de connatre la(es) MIB(s) propritaire(s) : intgrer soi-mme
( tlcharger sur le site web du constructeur par exemple).
/usr/share/snmp/mibs/<Table_name>.txt :
SNMPv2-MIB.txt
IF-MIB.txt
IPV6-UDP-MIB.txt
TCP-MIB.txt

Sous forme de fichiers texte
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 14
Fonctionnement
Serveur de supervision
Application A Application B

Superviseur snmp MIB.txt

Requtes SNMP Rponses ou alarmes (trap) SNMP

Elment Agent snmp MIB


actif

Compteur_1 Compteur_2 Compteur_3


Ex: Nb paquets sur linterface X
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 15
Outils de collecte SNMP

 NET-SNMP (http://net-snmp.sourceforge.net/)
Successeur de UCD-SNMP
Gre SNMPv1, SNMPv2c et SNMPv3 en IPv4 et IPv6 (pour le
transport des requtes)
Outils dinterrogation snmp en ligne de commandes

 Tous les logiciels qui suivent se base sur cette implmentation


ou bien une implmentation de SNMP incluse au package

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 17


Outils danalyse SNMP
 MRTG est un grand classique (http://oss.oetiker.ch/mrtg/)
Outils dinterrogation SNMP, de stockage et de visualisation
Cod en Perl
Collecte toutes les 5 mn les valeurs OID dsires par requtes SNMP
Met en forme ces valeurs sous forme de pages HTML et de graphes au format
PNG.

 RRDTOOL coupl MRTG permet damliorer les performances et la


customisation des graphes : (http://oss.oetiker.ch/rrdtool/)
Round Robin Database
Suite doutils permettant de stocker des donnes (base de donne RRD) et de
les visualiser (cration de graphes en .png).
Cod en C

 Gnration de graphes journaliers, hebdomadaires, annuels :


Valeurs moyennes sur 5mn pour le journalier
2h pour les 2 autres.

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 18


Outils danalyse SNMP bass sur RRDTool

 Cacti est un MRTG amlior (http://www.cacti.net/) :


Logiciel crit en PHP qui sappuie sur une BDD MySQL et RRD
Collecte toutes les 5 mn les valeurs OID dsires par requtes SNMP
Interface graphique de configuration et de visualisation

 Munin (http://munin.projects.linpro.no/) :
Logiciel crit en Perl
Collecte toutes les 5 mn les valeurs OID dsires par requtes SNMP
Interface graphique de configuration et de visualisation
Customisation plus simple (?) laide de plugins

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 19


Exemple de requte SNMP

 Requte dun superviseur vers un routeur :

snmpget c <community> <machine> 1.3.6.1.2.1.2.2.1.10.2


=
snmpget c <community> <machine> interfaces.ifTable.ifEntry.ifInOctets.2
=
snmpget c <community> <machine> IF-MIB::ifInOctets.2
=
snmpget c <community> <machine> ifInOctets.2
=
IF-MIB::ifInOctets.2 = Counter32: 513270235

 Pas besoin de spcifier le chemin entier dans la MIB, nimporte quel outils sait
chercher dans /usr/share/mibs lOID correspondant.

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 20


Pour quel besoins ?

 Dbits des interfaces :


En [K,M,G]bit/s, paquets/s ou octets/s
Visualisation possible par tranche:
Journalire
Hebdomadaire
Annuelle
 Charge de la CPU
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 21
Pour quels besoins ?
 En changeant lOID, on obtient des courbes sur :
Le nombre de paquets dropps par interface
Le nombre de paquets en CRC error par interface
La temprature du routeur
Le dbit du trafic multicast
Le dbit par VLAN
de nombreuses informations disponibles

 Information sur le comportement du rseau = graphes/courbes


Lanalyse des courbes permet de reconnatre un comportement normal ou non
du rseau, surtout avec un historique (graphes annuels)
Corrlation entre les diffrentes courbes

 Information sur ltat des liens du rseau = weathermap

 Alarmes en cas de dpassement de dbit = traps et logs


tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 22
Configuration routeurs/commutateurs
 Juniper : [ edit snmp ]  Cisco :
community lecture-mib { snmp-server community lecture-mib RO X
authorization read-only; snmp-server community modif-mib RW Y
clients { snmp-server host 10.20.30.40 lecture-mib
1.2.3.4/32; snmp-server enable traps
} !
community modif-mib { access-list X permit 1.2.3.4 255.255.255.255
authorization read-write;
access-list X deny ip any any
clients {
access-list Y permit 3.4.5.6 255.255.255.255
3.4.5.6/32;
} access-list Y deny ip any any
}
trap-group superviseur {  Pour passer SNMPv3 :
Juniper :
targets { http://www.juniper.net/techpubs/software/junos/junos92/swconfi
10.20.30.40; g-net-mgmt/configuring-snmpv3.html#id-10674057
} Cisco :
http://www.cisco.com/en/US/docs/ios/12_0t/12_0t3/feature/guid
} e/Snmp3.html
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 23
Exemples dutilisation de SNMP

 Weathermap de RENATER :
Polling SNMP (5mn) pour chaque interface de chaque routeur du backbone
snmpget de la valeur de lOID If{In;Out}Octets
Rsultats stocks dans une base RRD par interface
Une premire reprsentation sous forme de graphe, avec RRD (rrdgraph)
Un fichier texte est gnr toutes les 5 mn en prenant les valeurs des bases
RRDs incrmente chaque polling :
[ID lien (NR@INterface) ; Dbit nominal ; Dbit_In ; Dbit_Out, %Utilisation]
Un script php et un programme en java rpercute toutes les 5mn les rsultats du
polling sur une carte de RENATER :
Le pourcentage dutilisation correspond un code couleur

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 24


Exemple dutilisation de SNMP

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 25


Exemple dutilisation de SNMP
 Dbits RAP-RENATER : MRTG et RRD
bascule
2 liens dinterconnexions :
PoP Jussieu NR-Jussieu (10GBit/s)
PoP Odon NR-Aubervilliers (10Gbit/s)
Rpartition des charges
Polling toutes les 5mn du dbit en entre/sortie des 2 interfaces dinterco :

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 26


Agenda

 Introduction

 Mesures et analyses du trafic :


La collecte dinformations via SNMP
La capture de flux via IPFIX/NetFlow

 Conclusion

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 27


La capture de flux
via
IPFIX/NetFlow

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 28


Objectifs

 Analyser les flux dans un rseau :


Connatre les usages et applications du rseau - la nature du
trafic :
Qui ? Quoi ? O ? Quand ? Comment ?

Et optimiser la gestion et lutilisation du rseau :


Dtecter des anomalies, des vulnrabilits
Dtecter des incidents et en trouver lauteur (ou plutt le bloc IP)
Statistiques dutilisation par protocoles, ports, prfixes IP ou machines
(TOP)
Surveiller lutilisation des classes de service afin de garantir une
qualit de service (SLA)
...
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 29
Analyse du trafic
 Le trafic dun rseau est compos de flux :
Un flux est dfini comme un ensemble de paquets IP passant par un point
dobservation du rseau pendant un intervalle de temps donn et ayant un
ensemble de proprits en commun. Ces proprits peuvent tre :
La valeur dun ou plusieurs champ den-tte du paquet (adresse
IP destination, numro de port source)
Des caractristiques du paquet ( sa longueur, nombre de labels
MPLS)
Le traitement du paquet (adresse next-hop, interface de sortie)

Un paquet appartient un flux sil vrifie toutes les proprits dfinies


pour ce flux.

Dfinition tire du RFC 5101 : Specification of the IP Flow Information Export (IPFIX) Protocol
for the Exchange of IP Traffic Flow Information.

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 30


La capture de flux
Internet

Collecteur

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 31


NetFlow
 NetFlow de Cisco Systems :
http://www.cisco.com/en/US/products/ps6601/products_ios_protocol_group_home.html

 Protocole propritaire Cisco sappuyant sur la notion de flux pour effectuer


ses mesures et permettre la surveillance et lanalyse du trafic :
Export dinformations dun quipement actif vers un collecteur :
Mcanisme Push contrairement SNMP (polling)

 Les versions 1, 5, 7, 8 sont propritaires

 La version 5 est la plus rpandue, la 8 permet de lagrgation sur les flux

 La version 9 est standardise :


RFC 3954 : Cisco Systems NetFlow Services Export Version 9

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 32


Fonctionnement de NetFlow
 Capture et stockage des flux :
Lagent NetFlow maintient en mmoire une table des flux actifs un instant t et
compte le nombre de paquets et doctets reus pour chaque flux, le cache netflow
A chaque paquet reu, lagent met jour ce cache, soit en crant une nouvelle
entre, soit en incrmentant les compteurs dune entre dj existante.

 Expiration et export dun flux :


Un flux stock dans le cache expire lorsque :
Il a t inactif pendant un certains temps
Il est actif depuis trop longtemps
Il sagit dun flux avec flags TCP FIN ou RST
Lorsquun flux a expir :
Il est supprim du Cache NetFlow
Il est export vers une machine de collecte au moyen de messages NetFlow

 Collecte :
Le collecteur reoit des messages NetFlow
Par mesure dconomie de la bande passante, un message NetFlow regroupe
plusieurs flux
Analyse, visualisation des donnes reues
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 33
Collecteur &
Message NetFlow
Analyseur
contenant les
enregistrements de flux

192.168.0.0/24 192.168.1.0/24
Agent NetFlow

Table des flux actifs


Cache NetFlow
@_SRC @_DST flgs Time Left Active Nb Nb
(sec) Time (mn) paquets Octets

192.168.0.1 192.168.1.8 0 0 4 46
48
47 3652
3590
3512 Incrmentation
192.168.0.6 192.168.1.8 0 20
19 3 5 258 Expiration
192.168.0.5 192.168.1.1 0 12 30
29 230 54987 Expiration
192.168.0.5 192.168.1.2 0
FIN 11 25 123 23456 Expiration
192.168.0.2 192.168.1.1 0 0 1 2 124 Nouvelle entre
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 34
(Protocol, ToS, DST port)
NetFlow v9
 Format dexport des flux :
http://www.cisco.com/en/US/technologies/tk648/tk362/technologies_
white_paper09186a00800a3db9.html

 Support de nouveaux protocoles : IPv6, le multicast, MPLSet


ceci est extensible :
Dautres protocoles et/ou informations contenus dans les flux non dfinis
par dfaut dans le format Netflow peuvent tre dfinis.
Une centaine dinformations diffrentes sur les flux au niveau 2, 3 et 4
(champs den-tte), sur leur proprit (taille) et/ou info(s) drive(s) du
traitement du paquet (AS number)

 Le format nest plus fixe comme pour la version 5, il devient


programmable avec la technologie flexible netflow.
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 35
Informations exportes
 Par dfaut un flux est identifi par les 7 champs cls suivant :
Adresses IP source
Adresse IP destination
Numro de port source
Numro de port destination
Protocole
Classe de service (ToS)
Linterface (logique) dentre dans le routeur

 Mais le nombre dinformations envoyes au collecteur est plus important et


varie en fonction du protocole (IPv4, IPv6, MPLS) :
Adresse de Next-hop
Numro dAS source/destination
Masque du prfixe source/destination
Code ICMP
Label MPLS
Flag TCP
Nombre doctets ou paquets par flux
Temporisation : dbut et fin du flux
Index de sortie (interface)

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 36
Flexible NetFlow
 Nouvelle gnration de la technologie NetFlow qui devient programmable :
Processus de capture, de maintient en cache et dexport des flux

 Avec NetFlow v9, il programme ce quil exporte :


Permet de slectionner les informations sur le trafic capturer et exporter. On
nexporte que ce qui est ncessaire :
Dfinition des proprits dun flux (ex: champ TOS et adresse src), au lieu des 7 par dfaut
Volume dinformation transport minimis
Utilisation de templates
Gain de prcision

 Permet de multiplier les caches et les exports simultanment :


Ex : 2 exports NetFlow, lun pour de lanalyse de performance, lautre pour de
lanalyse de scurit
Ex : 2 caches NetFlow, lun pour de lanalyse temps rel, lautre pour de lanalyse de
tendances

 Meilleure capacit de suivi dinformations :


Meilleure capacit de dtection dincidents (temps rel)
Enrichissement des informations captures jusquau niveau 7 (mais il faut NBAR)
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 37
Exemple Flexible NetFlow
 Pour faire un brin de scurit dans son rseau, il faut par
exemple capturer des informations parmi les suivantes :
Fragmentation Flag
Fragmentation Offset
ID
Total Length
Payload Size
TTL
ICMP Code
ICMP Type
TCP Ack Number
TCP Header Lenght
TCP Sequence Number
TCP Flag : tous
UDP Message Length

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 38


IPFIX

 IP Flow Information eXport est la standardisation IETF de Netflow avec pour


base la version 9.

 Il reprend les mmes fonctionnalits : Programmable et Extensible avec pour


base Flexible NetFlow et le format dexport NetFlow v9

 Et en comble les lacunes :


Supporte les protocoles de transport UDP, TCP, SCTP MAIS cest ce dernier qui est
prconis dans lusage dIPFIX (PR-SCTP)
Transport de linformation fiable et scuris :
Prise en compte de la congestion
Anonymisation des flux
AAA (Authentification, Autorisation, Traabilit)

 Les informations qui suivent concernent aussi bien IPFIX que NetFlow v9 avec
Flexible NetFlow.

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 39


Schma gnral de fonctionnement dIPFIX
Paquet entrant dans un point dobservation

En-tte
Processus
du de (1)
paquet mesure
(P.M)
Enregistrement de flux (MAJ du/des cache(s))

Processus
dexport (2)
(P.E)
Transport dun message IPFIX vers collecteur

Processus
de (3)
collecte
(P.C)
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 40
Les domaines et points dobservation

 Le Domaine dObservation (D.O) est un bloc logique regroupant


1 ou plusieurs Points dObservation (P.O).
 Chaque P.O dans est associ un D.O
 Plusieurs D.O possibles dans un quipement
 Chacun ayant un identifiant unique
 Ex :
1
LineCard 1 = Domaine dobservation
2
3 Port GigaEthernet 1/3 = Point dobservation
4
5
6
7
8

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 41


(1) Processus de mesure

 Fonctions du P.M dans la slection des paquets :


En-tte de paquet captur

Marquage de la date (timestamping)

+ +

Echantillonnage (fonction de sampling) 1 sur N

Filtrage (fonction de filtrage) Flow key

+ +

Classification du paquet dans un Flux Mise en cache

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 42


(2) Processus dexport

 Le P.E reoit les flux du P.M

 Le P.E exporte les enregistrements de flux dans des messages


IPFIX un ou plusieurs processus de collecte (P.C) :

Encodage des flux dans un message IPFIX

Envoi de templates au P.C dfinissant les flux


Donne la structure des flux envoys utlrieurement

Puis envoi de data (les flux) au P.C


Elments dinformations sur les flux (SRC IP)

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 43


(3) Processus de collecte

 Stocke les templates dcrivant la structure des donnes (flux)


envoyes par le P.E, i.e les messages IPFIX

 Identifie, accepte et dcode les messages IPFIX

 coute sur les ports 4739 et 4740 (scuris) toute tentative


dtablissement dassociation SCTP de la part du P.E (Les
mmes ports en UDP et TCP).

 Affiche les rsultats (peut tre sur une station diffrente).

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 44


Schma densemble des processus IPFIX
Point dObservation = PO
Domaine dObservation 1
Line card 1 Processus de Mesure 1
PO1
PO2
PO3
PO4

Processus dExport
PO5
PO6
PO7
PO8 Export
paquets entrant
vers le Collecteur
PO1
PO2
PO3
PO4
PO5
PO6
PO7
PO8
Routeur (IPFIX) Processus de Mesure 2
Line card 2 Domaine dObservation 2
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 45
IPFIX Exemple dun message IPFIX

Message Template Set Data Set ...


Header (1 Template Record, ID=x) (3 Data Records, ID=x)

Options Template Set Data Set


... (1 Template) (3 Data Records)

Un message IPFIX par D.O (ID dans len-te)!!

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 46


IPFIX Exemple dun message IPFIX
 Le Template : structure des lments dinfos qui composent le flux
Utilisation dlments dinformation standardiss par lIETF (draft info)
Source IPv4 : sourceIPv4Address (ID = 8)
Destination IPv4 : destinationIPv4Address (ID = 12)
Next-hop IPv4 : ipNextHopIPv4Address (ID = 15)
Nombre de paquets dans le flux : inPacketDeltaCount (ID = 2)
Nombre doctets dans le flux : inOctetDeltaCount (ID = 1)

Set ID = 2 Length = 28 octets


Template ID 256 Field Count = 5
IETF 0 sourceIPv4Address = 8 Field Length = 4
0 destinationIPv4Address = 12 Field Length = 4
0 ipNextHopIPv4Address = 15 Field Length = 4

0 inPacketDeltaCount = 2 Field Length = 4

0 inOctetDeltaCount = 1 Field Length = 4


tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 47
IPFIX Exemple dun message IPFIX
 Le Data Record :
Set ID = 256 Length = 64
192.0.2.12
192.0.2.254
Record 1 192.0.2.1
5009
5344385
192.0.2.27
192.0.2.23
Record 2 192.0.2.2
748
388934
192.0.2.56
192.0.2.65
Record 3 192.0.2.3
5
6534

Src IP addr. Dst IP addr. Next Hop addr. Packet number Octets number
192.0.2.12 192.0.2. 254 192.0.2.1 5009 5344385
192.0.2.27 192.0.2.23 192.0.2.2 748 388934
192.0.2.56 192.0.2.65 192.0.2.3 5 6534
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 48
Configuration dun routeur
 Cisco :
Router(config-if)# ip route-cache flow
 Juniper : Router(config)# ip flow-export destination 193.50.20.5 8080
[edit forwarding-options] Router(config)# ip flow-export version 9
sampling {
input {  Flexible NetFlow :
family inet { flow record toto
rate 30;
match transport udp destination-port
}
match ipv4 destination address
}
match ipv4 source address
output {
cflowd 193.50.20.5 { flow exporter toto-exporter
port 8080; destination 193.50.20.5
version 5; flow monitor toto-toutdesuite
} record packet-section
} exporter toto-exporter
} cache type immediate

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 49


Quelques outils de collecte NetFlow/IPFIX

 Etat de limplmentation IPFIX/Netflow dans les routeurs :


Cisco :
NetFlow v5 : Depuis longtemps.
Netflow v9 : 12.3(1) sur cisco 800, 1700, 1800, 2600, 2800, 3700par ex.
IPFIX : 12.5(1th)T
Juniper :
Cflow :
Version 5 = mme format que Netflow v5 : depuis longtemps
Version 9 = mme format que NetFlow v9 : JUNOS 8.3 (chassis ?)
IPFIX : venir dans les prochaines versions
Nortel :
IPFIX : release 4.1

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 50


RENETCOL : collecteur de RENATER

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 51


Netfix : collecteur du CRIHAN

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 52


Stager

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 53


NfDump/NFSen

tcpdump like

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 54


Flow-tools/Flow[Viewer,Grapher,Tracker]

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 55


SFlow
 SFlow dInMon (Internet Monitoring) : http://www.sflow.org/

 Technologie normalise et utilise par plusieurs fournisseurs,


conue pour fournir un contrle continu de grands rseaux
dans les environnements commuts haut-dbit.

 RFC 3176 : InMon Corporation's sFlow: A Method for


Monitoring Traffic in Switched and Routed Networks

 Utilis par les constructeurs Extreme et Foundry

 SFlow donne sensiblement les mmes informations que


NetFlow, mais ce dernier toffe ses fonctionnalits avec le
NetFlow v9 et Flexible NetFlow (et donc IPFIX)

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 56


Pour quels besoins ?
 Exemples :
Dtection de problmes de routage
Statistiques sur les protocoles
Statistiques sur les applications utilises (ports UDP/TCP)
Recherche de trafic anormal : scans et deny de service
Volumtrie et alarme en cas de dpassement de dbit :
Par interface
Par prfixe IP
Surveillance du dpassement de dbit par classe de service
Surveillance de la bonne rpartition de charge du trafic
Analyse fine : capture suivant des signatures particulires (ports,
nombre de paquets, taillesP2P, virus)

 Corrlation des diffrents rsultats


tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 57
Exemple dutilisation de NetFlow/IPFIX
Rpartition des flux et des octets pour le trafic du NR de Lyon

Rpartition par ports autres

5020

4662

445

137
Octets
80
Flux
53

25
Protocoles
22
others
0% 20
udp icmp
14%
0
2%

0 10 20 30 40 50

icmp
tcp
udp
others

Rpartitions
par protocoles
tcp
84%

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 58


Exemple dutilisation de NetFlow/IPFIX

 Exemple de connexions sur un serveur web :


index
Adresse index de Port Port AS AS
Adresse source destination Routeur d'entre sortie source dest. Prot Octets Paquets source dest.
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1164 80 6 821 10 0 65037
194.199.8.10 193.49.159.141 193.51.179.66 14 16 80 1164 6 14456 14 65037 0
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1165 80 6 544 7 0 65037
194.199.8.10 193.49.159.141 193.51.179.66 14 16 80 1165 6 6582 7 65037 0
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1166 80 6 552 7 0 65037
194.199.8.10 193.49.159.141 193.51.179.66 14 16 80 1166 6 6641 7 65037 0
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1167 80 6 551 7 0 65037
194.199.8.10 193.49.159.141 193.51.179.66 14 16 80 1167 6 6895 8 65037 0
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1168 80 6 755 12 0 65037
194.199.8.10 193.49.159.141 193.51.179.66 14 16 80 1168 6 20203 17 65037 0
193.49.159.141 194.199.8.10 193.51.179.66 16 14 1169 80 6 460 5 0 65037

1 clic = 1flux

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 59


Observation dune attaque DoS avec NetFlow (1/2)
Analyse NetFlow : Exemple sur RENATER
Nombre de flux anormal
Graphe du nombre de flux sur le
backbone de RENATER
Alerte dun nombre de flux trop lev
Infos complmentaires (recherche
s! !
dans les flux) :
of
DST IP = toujours la mme
o
SRC IP = toujours diffrente
Adresse du routeur, lorigine de s sp
la capture s e
Port TCP SRC toujours diffrent
es
Port TCP DST toujours le mme dr
Toujours la mme taille de paquets A
Aprs vrification :
DST IP = adresse relle sur un FAI
SRC IP nappartient pas au bloc
RENATER
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 60
Observation dune attaque DoS avec NetFlow et SNMP (2/2)

 Comportement anormal du rseau peru sur


les graphes de collecte SNMP :
1:
- Aprs dtection et localisation  CERT

FAI
2:
PoP
Sfinx
3

BACKBONE
BACKBONE

PoP 1 3:
2 Limoges Rseau de
Collecte
Routeur NetFlow du slide prcdent

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 61


Agenda

 Introduction

 Mesures et analyses du trafic :


La collecte dinformations via SNMP
La capture de flux via IPFIX/NetFlow
La capture de trafic via le port-mirroring

 Conclusion

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 62


La capture de trafic
via
le port-mirroring

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 63


Objectif
 Tout le trafic transitant par un port est dupliqu vers un autre port

 Analyse prcise du trafic de manire ponctuelle :


Capture du trafic avec un PC dont linterface est en mode promiscuous :
Tcpdump/libpcap
Wireshark/libpacap
Lanalyse au niveau applicatif nest pas ais voir impossible avec ces outils

 Analyse jusquau niveau applicatif et analyse, statistiques et dtection


dincident :
Capture du trafic par une sonde ou analyse avec un logiciel comme ntop
Mesures pro-actives avec par ex. des changements de rgles QoS en cas de
phnomnes anormale nest possible quen coupure de lien.

 Attention, cela peut augmenter la charge CPU

 Le port-mirroring peut palier une indisponibilit NetFlow/IPFIX/SFlow


tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 64
Principe
Exemple : Port-mirroring du port 1 vers le port 3 auquel est raccord directement
(ou via un commutateur) un PC pour analyse (wireshark, tcpdump)

port 1
Rseau A Rseau B

port 3

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 65


Configurer le port-mirroring sur un routeur/commutateur

 Juniper :  Cisco :
[edit forwarding-options] #monitor session 1 source interface fastethernet 4/2
Port -mirroring {
#monitor session 1 destination interface fastethernet 4/3
family (inet | inet6) {
input {
rate X;
run-length Y;
}
output {
interface ge-4/3/9 { + une configuration pour le PC en coute
next-hop 10.0.0.2;
}
no-filter-check;
}
}
}

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 66


Outils danalyse
 Tcpdump
Commande en ligne permettant dafficher en temps rel les paquets qui
transite sur une interface
Affichage ou stackage dans un fichier .pcap
ACLs daffichage grce la librairie pcap
 Libpcap :
Libpcap permet notamment la restriction des paquets en utilisant les
expressions BPF (Berkeley Packet Filter) :
Filtres BPF :
src net 10.0.0.1 and tcp port 80

 Tcpreplay :
Permet de rejouer un fichier .pcap dans une maquette :
Tester la mise en uvre de nouveaux protocoles
Tcprewrite permet de modifier le fichier .pcap en question

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 67


Outils danalyse
 Wireshark (ex ethereal), reprenant les mmes principes que tcpdump &
libpcap, mais avec une interface graphique :

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 68


Des sondes

http://www.01net.com/editorial/323733/reseau/sondes-explorer-les-dessous-du-wan/

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 69


Agenda

 Introduction

 Mthodes danalyses

 Conclusion

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 70


 Une solution simple - la collecte SNMP : Conclusion
Connatre les tendances gnrales et reprer un trafic anormal
Surveiller des dpassements de seuil
Quantification du trafic, mais de quelle nature ?

 Une solution complmentaire - lanalyse des flux NetFlow/IPFIX :


Slectionner les informations analyser
Connatre les tendances prcises par prfixe IP et reprer lauteur dun trafic anormal
Analyser les flux, dtecter une attaque ou un dpassement de seuil et en localiser la
source
Statistiques par protocoles, top consommation

 Le port-mirroring :
Dans le cas ou les 2 premires solutions ne suffisent pas
Pour aller jusquau niveau applicatif
Pour palier lindisponibilit de Netflow/IPFIX.

 Corrler les rsultats

 Cela ne prouve pas que les performances du rseau sont bonnes et permettent
lutilisation dune application en particulier : mesures actives!
tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 71
Bibliographie

 Network Management: Accounting and Performance


strategies de B. Claisse & R. Wolter - Cisco Press.
 Cisco Systems NetFlow Services Export Version 9 (RFC
3954)
 Specification of IPFIX for the Exchange of IP Traffic Flow
Information (RFC 5101)
 Le protocole SNMP : http://christian.caleca.free.fr/snmp/

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie 72


TutoJRES Mtrologie
Mesures passives

Questions ?

tutoJRES Mtrologie 3 octobre 2008 GT Mtrologie

You might also like