Diplomová práce. Analýza síťového provozu

Transkript

1 Diplomová práce Analýza síťového provozu vypracoval: Bc. Antonín Kolísek vedoucí práce: Ing. Jan Roupec Ph.D. obor: Inženýrská informatika a automatizace specializace: Informatika 2007

2

3 Strana 3 ZADÁNÍ ZÁVĚREČNÉ PRÁCE (na místo tohoto listu vložte originál a nebo kopii zadání Vaš práce)

4

5 Strana 5 LICENČNÍ SMLOUVA POSKYTOVANÁ K VÝKONU PRÁVA UŽÍT ŠKOLNÍ DÍLO uzavřená mezi smluvními stranami: 1. Pan/paní Jméno a příjmení: Bc. Antonín Kolísek Bytem: V Brňanech 382/82c, Vyškov Narozen/a (datum a místo): Vyškov (dále jen autor ) a 2. Vysoké učení technické v Brně Fakulta strojního inženýrství se sídlem Technická 2896/2, Brno jejímž jménem jedná na základě písemného pověření děkanem fakulty:... (dále jen nabyvatel ) Čl. 1 Specifikace školního díla 1. Předmětem této smlouvy je vysokoškolská kvalifikační práce (VŠKP): disertační práce diplomová práce bakalářská práce jiná práce, jejíž druh je specifikován jako... (dále jen VŠKP nebo dílo) Název VŠKP: Vedoucí/ školitel VŠKP: Ústav: Datum obhajoby VŠKP: Analýza síťového provozu Ing. Jan Roupec, Ph.D. Automatizace a Informatiky VŠKP odevzdal autor nabyvateli v * : tištěné formě počet exemplářů.. elektronické formě počet exemplářů.. 2. Autor prohlašuje, že vytvořil samostatnou vlastní tvůrčí činností dílo shora popsané a specifikované. Autor dále prohlašuje, že při zpracovávání díla se sám nedostal do rozporu s autorským zákonem a předpisy souvisejícími a že je dílo dílem původním. 3. Dílo je chráněno jako dílo dle autorského zákona v platném znění. 4. Autor potvrzuje, že listinná a elektronická verze díla je identická. * hodící se zaškrtněte

6 Strana 6 Licenční smlouva Článek 2 Udělení licenčního oprávnění 1. Autor touto smlouvou poskytuje nabyvateli oprávnění (licenci) k výkonu práva uvedené dílo nevýdělečně užít, archivovat a zpřístupnit ke studijním, výukovým a výzkumným účelům včetně pořizovaní výpisů, opisů a rozmnoženin. 2. Licence je poskytována celosvětově, pro celou dobu trvání autorských a majetkových práv k dílu. 3. Autor souhlasí se zveřejněním díla v databázi přístupné v mezinárodní síti ihned po uzavření této smlouvy 1 rok po uzavření této smlouvy 3 roky po uzavření této smlouvy 5 let po uzavření této smlouvy 10 let po uzavření této smlouvy (z důvodu utajení v něm obsažených informací) 4. Nevýdělečné zveřejňování díla nabyvatelem v souladu s ustanovením 47b zákona č. 111/ 1998 Sb., v platném znění, nevyžaduje licenci a nabyvatel je k němu povinen a oprávněn ze zákona. Článek 3 Závěrečná ustanovení 1. Smlouva je sepsána ve třech vyhotoveních s platností originálu, přičemž po jednom vyhotovení obdrží autor a nabyvatel, další vyhotovení je vloženo do VŠKP. 2. Vztahy mezi smluvními stranami vzniklé a neupravené touto smlouvou se řídí autorským zákonem, občanským zákoníkem, vysokoškolským zákonem, zákonem o archivnictví, v platném znění a popř. dalšími právními předpisy. 3. Licenční smlouva byla uzavřena na základě svobodné a pravé vůle smluvních stran, s plným porozuměním jejímu textu i důsledkům, nikoliv v tísni a za nápadně nevýhodných podmínek. 4. Licenční smlouva nabývá platnosti a účinnosti dnem jejího podpisu oběma smluvními stranami. V Brně dne:... Nabyvatel Autor

7 Strana 7 ANOTACE Cílem této diplomové práce je navržení vhodného řešení pro analýzu počítačové sítě na serverech pracujících pod OS GNU/Linux a vytvořit počítačový program (v programovacím jazyce ANSI C). Teoretická část této práce je věnována metodám jak získat správné a dostatečné informace o veškerém dění v počítačové síti o službách serveru a využití přenosového pásma pod operačním systémem GNU/Linux. Navržené metody a algoritmy demonstrují obecné postupy analýzy a můžou být použity v jiných aplikacích podobného typu. ANNOTATION The goal of the diploma work is to prepare appropriate solution for network analysing on GNU/Linux-based operating systems and create computer program (under programming language ANSI C).Theoretical part of this work is focused on the general methods how to get valid and sufficient informations about all network activity, server`s services and network bandwidth usage under GNU/Linux.Suggested methods and algorithms cover general steps in network analysis and can be used in applications of similar type.

8

9 Strana 9 PODĚKOVÁNÍ Děkuji svému vedoucímu práce Ing. Janu Roupcovi, Ph.D. za pomoc, ochotu a vedení při tvorbě této práce. Prohlášení: Prohlašuji, že jsem práci na téma Analýza síťového provozu zpracoval sám a vyznačil jsem všechny prameny, které byly použity při jejím zpracování. Tento dokument a program, který je součástí práce byl vytvořen pomocí Open Source programů na počítači s operačním systémem GNU/Linux. V Brně

10

11 Strana 11 Obsah: Zadání závěrečné práce Licenční smlouva Anotace Poděkování Seznam použitých symbolů Úvod TCP/IP Architektura protokolů TCP/IP Internet protokol (IP) Formát IP datagramu Směrování IP datagramů Řídící zprávy (ICMP) Spojovaná služba TCP Vlastnosti a struktura TCP protokolu Zřizování TCP spojení Nespojovaná služba UDP Struktura UDP datagramu TCP/IP V GNU/Linux Sítě v GNU/Linux Síťové prostředí Souborový systém procfs Netfilter a program iptables Externí aplikace pro administraci sítě Protokol SNMP BSD Sockety Rodina protokolů Vytvoření socketu Pojmenování socketu Čtení ze socketu Uzavření socketu Volby socketu Provoz na počítačové síti Informace o využití sítě Měření přístupů ke službám Měření vytíženosti přenosového pásma Provoz na síti Analýza spojení Analýza TCP provozu Analýza UDP provozu Analýza ICMP zpráv Aplikace pro monitoring sítě Návrh a struktura programu Struktura programu Struktura main Funkce a struktury sensors.h Činnost programu Spuštění a inicializace programu Zachytávání paketů Analýza paketů Vyhodnocení provozu Vyhodnocení přenosového pásma

12 Strana 12 Poděkování 5.3 Programové prostředí Konfigurace programu Parametry programu Interaktivní režim Režimy výpisů Závěr Literatura

13 SEZNAM POUŽITÝCH SYMBOLŮ Strana 13

14

15 Strana 15 1 ÚVOD V dnešní době je práce ve většině oborů bez použití internetu téměř nemyslitelná. Internet je obrovským zdrojem informací a prostředníkem propojujícím celý svět. Pomocí internetu člověk může komunikovat, sdílet informace, připojovat se na svůj počítač doma z jakéhokoli místa na světě. Možnosti využití sítě internet jsou obrovské. Tento luxus s sebou nese poměrně velké množství úskalí a problémů. Proto je jednou z hlavních otázek bezpečnost sítě. Dobré zabezpečení se neobejde bez informací. Informace jsou základním stavebním kamenem dnešních informačních technologií. Cílem této práce je souhrnné podání metod a postupů používaných pro analýzu provozu počítačové sítě. I pro zabezpečenou počítačovou síť je velmi důležité, mít informace o dění na síti, protože v internetu není nikdy zabezpečení bezchybné. Vždy existuje nebo může existovat postup, jakým je možné síť napadnout nebo ji zneužít Na podkladě informací může administrátor podniknout patřičné kroky pro dosažení maximální možné bezpečnosti a bezproblémového provozu sítě. Konečně jsou aktuální informace potřebné pro zjištění stavu sítě v daný okamžik. Problematika vyhodnocování síťového provozu v této práci je směřována pro použití operačního systému GNU/Linux, neboť operační systémy Unixového typu (mezi které patří i GNU/Linux) stály u zrodu první počítačové sítě ARPA NET. Tyto operační systémy v dnešní době hrají na poli serverů významnou roli, především pro nabízený vysoký výkon, bezpečnost a stabilitu. Analýza síťového provozu v této práci je zaměřena na servery používající protokoly TCP/IP, které nabízejí klientům služby dostupné v prostřednictvím sítě internet. Je tedy správné, klást důraz především na informace podávající ucelený přehled o stavu serveru připojeného do počítačové sítě. Teoretická část této práce je rozdělena do několika témat. První část je věnována struktuře protokolu TCP/IP, který je základním stavebním kamenem celé problematiky. Další část se týká souhrnu metod vhodných pro analýzu činnosti serverů a tím i jejich dostupnosti v počítačové síti. Dále je poukázáno na metody vyhodnocování a měření dat využití služeb běžících na serveru. Z těchto poznatků plyne praktická část práce, věnovaná tvorbě programu (v jazyce C), který slouží k získávaní informací o celkovém využití služeb, běžících na serveru. Program dále vyhodnocuje objem přenesených dat počítačovou sítí od serveru ke klientům a aktuální stav navázaných spojení. Programem podávané informace tak výrazně napomohou k ucelenému přehledu o stavu počítačové sítě.

16

17 Strana 17 2 TCP/IP Cílem této kapitoly je podat ucelený přehled o vlastnostech rodiny protokolů TCP/IP, jelikož se jedná o standard při budování počítačových sítí. 2.1 Architektura protokolů TCP/IP Činnost sady protokolů TCP/IP [1] je hierarchicky rozdělena do čtyř vrstev na rozdíl od standardu ISO/OSI. Standard ISO/OSI (kde OSI znamená Open Systems Interconnection) obsahuje sedm vrstev, vyznačených na Obr. 1. Tento referenční model byl vytvořen v roce 1977 organizací ISO (International Organization for Standardization), za účelem standardizace počítačových sítí. Z pohledu na problematiku protokolu TCP/IP je vhodné zaměřit se právě na model TCP/IP. Jak již bylo řečeno, TCP/IP model obsahuje čtyři vrstvy, kde vrstva nižší poskytuje služby vrstvě vyšší. vrstvy ISO/OSI vrstvy TCP/IP aplikační presentační aplikační relační transportní síťová transportní internetová linková fyzická síťové rozhraní Obr.1 ISO/OSI referenční model a TCP/IP model vrstva síťového rozhraní nejnižší vrstva přístup k přenosovému médiu (Ethernet, FDDI, TokenRing, IEEE 802.x, ) internetová vrstva směrování předávání datagramů adresace protokoly: ARP, RARP, IP, ICMP, IGMP, IPSEC transportní vrstva spojované (TCP) a nespojované (UDP) transportní služby aplikační vrstva koncové programy komunikace programů prostřednictvím portů spojované (TCP) a nespojované (UDP) transportní služby

18 Strana 18 2TCP/IP Aplikace SMTP FTP SSH DNS TFTP BootP RPC TCP UDP IP + ICMP (+ IGMP) ARP RARP Ethernet, FDDI, TokenRing,... Obr. 2: Vzájemný vztah protokolů TCP/IP Vzájemné vztahy jednotlivých vrstev jsou znázorněny na Obr. 2. Je zde patrné, které služby užívají protokolu TCP a které protokolu UDP. Některé služby (např. DNS) používají pro svoji činnost UDP i TCP protokolů současně. Jednotlivé vrstvy budou v následujících kapitolách popsány podrobněji. 2.2 Internet protokol (IP) IP zajišťuje základní nespojovanou datagramovou službu na úrovni internetové vrstvy. Jelikož se jedná o nespojovanou službu, není zaručeno spolehlivé doručení datagramu cílovému počítači. Hlavním účelem IP je směrování paketů. Každý paket je směrován nezávisle na ostatních. Prostřednictvím IP jsou stanoveny pravidla pro přenos datagramů Formát IP datagramu IP datagram obsahuje následující položky [1], znázorněné na obr.3. Version : verze IP protokolu Header length : délka záhlaví datagramu (32 bytové slovo) Type of service : typ služby pro přenos datagramu Precedence : priorita datagramu D : malé zpoždění T : vysoká propustnost R : vysoká spolehlivost Total length : délka datagramu včetně záhlaví Identification : identifikace daného datagramu Flags : řízení fragmentace nebo znovusestavení datagramu D : zákaz fragmentace M : následují další fragmenty pro daný datagram Fragment offest : pozice počátku datové části fragmentu vzhledem k původnímu datagramu Time to live : (TTL) doba životnosti datagramu v sekundách, při průchodu routerem se dekremunetuje alespoň o 1 Protocol : protokol vyšší vrstvy, jemuž náleží zpráva v datové části datagramu Header checksum : kontrolní součet IP záhlaví Source IP address : zdrojová (odesilatelova) IP adresa Destination IP address : cílová (adresátova) IP adresa

19 2TCP/IP Strana 19 Options : položky dalšího nastavení Strict source route : striktní definice úplné cesty datagramu internetem Record route : trasování cesty datagramu Loose source route : minimální předepsaná cesta datagramu internetem Timestamp : vyznačení trasy jednotlivými routery při trasování Security : stupeň utajení Padding : zarovnání na hranici 32 bytů Version Header length Type of service Total length Identification Flags Fragment offset Time to live Protocol Source IP address Header checksum Destination IP address Options Padding Obr. 3: Formát IP datagramu Tato práce se věnuje pouze IP protokolu verze 4, neboť je v rámci internetu primárním protokolem. I když již delší dobu existuje protokol IP verze 6, který je plně podporovaný moderními operačními systémy, jeho plné nasazení je stále otázkou budoucnosti. Můžeme se s ním zatím setkat pouze u páteřních sítí internetu, kde dochází k překladu adres z IPv6 na IPv4. Zmíněný IPv6 má především vyřešit některé problémy vzniklé rozvojem internetu a zároveň umožnit perspektivní vývoj internetu v budoucnosti. Více informací o IP v [15] Směrování IP datagramů Směrování probíhá na úrovni IP protokolu a jde o proces při kterém dochází k výběru další cesty po které bude datagram dále putovat. Existují dva případy směrování IP datagramů. Přímé směrování, u kterého není vyžadována spolupráce routeru. Směrování probíhá po stejném segmentu sítě (např. mezi dvěma počítači v téže síti). Nepřímé směrování potřebuje pro přenos IP datagramu router, jehož adresu zná vysílající počítač. Stačí znát adresu prvního routeru, protože ostatní routery jsou spolu strukturovaně propojeny tak, že si postupně předávají patřičný datagram, až do doby kdy dorazí k cílovému počítači. Směrování probíhá na podkladě informací uložených ve směrovací tabulce (IP routing table). Směrovací tabulka obsahuje informace o cílové síti, adresu následujícího routeru a metriku, která určuje výhodnost dané cesty. Tabulka může být statická, nebo dynamická (měnící se v čase, dle aktuálního stavu internetu) Řídící zprávy (ICMP) Data Jelikož IP protokol nabízí pouze nespojovanou a nespolehlivou službu pro přenos datagramu, je nutný řídící mechanizmus pro přenos zpráv mezi routery a počítači. Pro tento účel byl vytvořen ICMP (Internet Control Message Protocol). ICMP zpráva je součástí datové části IP datagramu, nachází se ihned za záhlavím IP. Následující Tabulka 1 obsahuje souhrn všech ICMP zpráv. [1]

20 Strana 20 2TCP/IP Typ ICMP Význam zprávy 0 Echo Reply Odpověď na echo žádost. 3 Destination Unreachable Adresát je nedosažitelný. 4 Source Quench Žádost o snížení toku dat. 5 Redirect Informace o přesměrování cesty. 8 Echo Request Test dosažitelnosti žádostí o echo. 11 Time Exceedet for a Datagram Vypršení doby životnosti datagramu. 12 Parameter Problem on a Datagram Problém při rozpoznávání záhlaví datagramu. 13 Timestamp Request Žádost o odhad doby přenosu datagramu. 14 Timestamp Reply Odpověď na žádost o čas. 15 Information Request Žádost o síťovou část IP adresy. 16 Information Reply Odpověď na žádost o síťovou část IP adresy. 17 Address Mask Request Žádost o masku subsítě. 18 Address Mask Reply Odpověď na požadavek o masku subsítě. Tabulka 1: Význam ICMP zpráv Test dosažitelnosti počítače je často prováděn programem ping, kdy adresát odesílá cílovému počítači nebo routeru žádost echo request. Cílový počítač je povinen odpovědět zprávou echo reply. V případě, že nebylo možné zprávu doručit, je adresátovi odeslána zpráva destination unreachable. Často bývají některé ICMP zprávy blokovány firewallem ve snaze zabránit získání informací o dané síti. Úplné zakázání ICMP zpráv by vedlo k narušení provozu celé sítě, proto není vhodné filtrovat firewallem veškeré ICMP zprávy. 2.3 Spojovaná služba TCP TCP (Transmission Control Protocol) protokol [17] definuje nejdůležitější přenosovou službu pracující na úrovni transportní vrstvy. Jedná se o spolehlivou spojovanou službu, u které se zaručuje obdržení všech dat v patřičném pořadí, což patří mezi hlavní výhody oproti UDP protokolu, který bude probrán následně Vlastnosti a struktura TCP protokolu Jak již bylo řečeno, TCP poskytuje spolehlivý přenos dat. Všechna data jsou cílovému počítači doručena bez ztrát, zkreslení a v naprosto přesném pořadí, bez duplicitních paketů a kolizí. Přenosová služba je spojovaná, což znamená, že mezi dvěma procesy dochází ke zřízení spojení. Po ukončení přenosu dat dojde k řádnému ukončení spojení. TCP umožňuje plně duplexní spojení. Data jsou vysílána bufferovaně, tzn. k vysílání dojde až je nashromážděno dostatek dat, což s sebou nese jistou úsporu vytíženosti přenosových cest. Hlavní podstatou spojované přenosové služby je metoda potvrzování. Díky tomu se stávají přenosové schopnosti TCP protokolu velmi spolehlivé. Podstata navazování spojení a metoda potvrzování bude popsána v následujících kapitolách. TCP s sebou nese určitou daň ve formě vyšší časové náročnosti zpracování, což je zapříčiněno zabezpečením tohoto protokolu.

21 2TCP/IP Strana 21 Source port Destination port Sequence number Acknowledgement number Header length Reserved U R G A C K P S H R S T S Y N F I N Window Checksum Urgent pointer Options Padding Data Obr. 4 : Formát TCP segmentu Následující obr. 4 znázorňuje strukturu TCP segmentu. Z hlediska analýzy využití služeb běžících na serveru jsou zajímavé především položky Source port a Destination port. Pomocí portu lze identifikovat jakou službu daný klient využívá. Dále pak položka Flags (příznak), kterou využívá metoda potvrzování. Pomocí tohoto příznaku je možné identifikovat zda se jedná o nové, stávající spojení nebo konec spojení. Metoda zřizování spojení mezi klientem a serverem a princip potvrzování budou vysvětleny v následující kapitole. Nyní následuje popis jednotlivých položek [1]. Source port : zdrojový port dané aplikace Destination port : cílový port dané aplikace Sequence number : offset prvního datového oktetu segmentu, vzhledem k celé sekvenci dat Acknowledgement number : číslo oktetu, který je přijímač připraven přijmout, je-li nastaven ACK flag Header length : celková délka TCP záhlaví Flags : příznaky URG : segment bude příjemci doručen co nejrychleji SYN : žádost a zřízení spojení FIN : ukončení spojení ACK : Acknowledgement number platí RST : reset spojení PSH : požadavek okamžitého doručení Window : velikost okna Checksum : kontrolní součet Urgent pointer : poslední oktet urgentních dat Options : další volitelné položky

22 Strana 22 2TCP/IP Zřizování TCP spojení Procedura zřizování spojení [1] mezi dvěma stranami je poměrně komplikovaná problematika. Pomocí procedury potvrzování je eliminována ztráta nebo duplicita segmentů. Celý proces je vysvětlen na následujícím obrázku. PC1 SYN SYN ACK ACK internet SYN SYN ACK ACK PC2 Obr. 5 : Zřízení TCP spojení Na Obr.5 je zřetelný příklad zřízení TCP spojení. Stanice PC1 chce navázat spojení se službou na serveru PC2 a proto odesílá SYN flag. PC2 SYN flag příjme a odpovídá odesláním SYN ACK stanici PC1. Tím dává PC2 najevo, že obdržel požadavek o navázání spojení. PC1 příjme kladné potvrzení SYN ACK od PC2 a odpovídá odesláním ACK flagu, který příjme PC2. Ukončování spojení probíhá obdobným způsobem. Jen místo flagu SYN je odesílán flag FIN což znamená ukončení spojení. 2.4 Nespojovaná služba UDP UDP (User Datagram Protocol) poskytuje nespolehlivou přenosovou službu, bez navazování spojení [16]. Stejně jako TCP využívá i UDP protokol pro svou práci vrstvu IP. Tento protokol slouží primárně k posílání datagramů mezi aplikačními programy. Umožňuje oproti IP protokolu rozlišovat mezi různými adresáty na jednom počítači pomocí portů. Protokol UDP nemá takové rozšíření mezi aplikacemi jako TCP. Hlavním důvodem je nespolehlivost UDP a nepřívětivost z hlediska programování, protože aplikace si musí sama hlídat stav, ve kterém se komunikace nachází. Některé aplikace protokol UDP přesto používají a v jistých případech se může použití UDP jevit jako mnohem lepší volba než TCP Struktura UDP datagramu Na Obr.6 je vysvětlen význam jednotlivých položek[1] UDP datagramu z čehož jsou nejdůležitější především položky Source port a Destination port.. Source port Length Destination port Checksum Data Source port : port vysílající aplikace Destination port : port cílové aplikace Length : délka UDP paketu Checksum : kontrolní součet Obr.6: Formát UDP datagramu

23 Strana 23 3 TCP/IP V GNU/LINUX Cílem následující kapitoly je seznámení s problematikou sítí [7] v operačním systému GNU/Linux. Budou zde probrány základní informace o struktuře a prostředí GNU/Linux z hlediska síťového subsystému. Jelikož se jedná o operační systém unixového typu a tyto systémy jsou úzce propojeny s programovacím jazykem C (ve kterém je i celý systém napsán), je nutné poukázat na základní avšak důležité prvky tohoto systému i z hlediska programování aplikací používající TCP/IP. Tato práce za nezabývá konfigurací sítě, proto od této problematiky bude upuštěno. 3.1 Sítě v GNU/Linux Práce se síťovým prostředím v operačním systému Linux, je co do administrace a nastavení velmi podobná s ostatními systémy unixového typu. Jak již bylo řečeno v úvodu, tato práce se týká především protokolů TCP/IP, a proto se nebude zabývat jinými protokoly. Je vhodné poznamenat, že operační systém GNU/Linux podporuje snad všechny existující a dnes používané síťové protokoly. Pro administraci sítě nabízí Linux poměrně velkou řadu možností, od externích nástrojů až po interní funkce jádra Síťové prostředí V Unixových systémech se z podstaty návrhu a celkové filosofie,,se z pohledu uživatele, tváří jakékoli zařízení jako soubor. Rozlišuje se jen mezi blokovým (Block device) a znakovým (Character device, Raw device) zařízením. Veškerá podporovaná zařízení lze objevit ve virtuálním souborovém systému /dev. Jakmile tedy systém detekuje nějaké zařízení, nahraje pro něj patřičný ovladač (modul), pokud není přímo součástí jádra (závisí na stylu skladby jádra) a vytvoří v adresáři /dev soubor patřící odpovídajícímu zařízení, respektive ovladači tohoto zařízení. Podpora protokolů a síťových zařízení je závislá na konfiguraci daného jádra. Pokud je systém řádně nakonfigurován a obsahuje patřičné ovladače síťových zařízení, je z hlediska uživatele lhostejné o jaké zařízení jde, zda se jedná o síťovou kartu (ethernet), bezdrátovou kartu (wifi a/b/g) nebo modem. Důležité je, aby zařízení podporovalo patřičný protokol (pro nás TCP/IP). Z hlediska identifikace síťových zařízení je označení platné dle následující tabulky. Značení eth0, eth1,... wlna0, wlan1,.. ppp0, ppp1,... ippp0, ippp1,... lo Popis Ethernet síťová karta Wifi bezdrátová karta Modem ISDN modem Local Loopback- zpětná smyčka Mnoho dalších zařízení Tabulka 2 : Značení síťových zařízení Z pohledu aplikací je přístup k zařízení možný jen prostřednictvím volání služeb jádra (kernelu). Přímý přístup k hardware není na unixových systémech možný kvůli bezpečnosti a celkové filozofii systému. Zde je nutno poznamenat, že existují dva režimy běhu procesů. Režim uživatelský (neboli uživatelský prostor) pod kterým jsou spuštěny veškeré procesy. Dále pak existuje tzv režim jádra neboli prostor jádra. V tomto prostoru pracuje samotné jádro a nikdo jiný nemá do jaderného prostoru přístup. Absolutní a jedině možný přístup k zařízením má tedy pouze kernel. Následující kapitola ukazuje jednu z množností jak přistupovat k některým informacím jádra systému, které by jiným způsobem nebylo možné v uživatelském prostoru získat.

24 Strana 24 3TCP/IP V GNU/Linux Souborový systém procfs Procfs je virtuálním souborovým systémem [4], který obsahuje proměnné kernelu. Tento systém byl primárně vyvinut především pro usnadnění práce programátorům, aby tak měli souhrnné prostředí sloužící k informacím týkajících se činnosti kernelu. Jelikož je velmi složité a často nemožné přistupovat ze strany uživatelských procesů (aplikací) k informacím jádra, je použití procfs velikou výhodou a hlavně usnadněním. Navíc jsou všechny virtuální soubory přístupné jako klasický textový soubor, takže jsou informace často uloženy v poměrně srozumitelné formě a není problém při jejich dalším využití. Struktura procfs je velmi rozsáhlá a rozsah je určen především konfigurací jádra a počtem běžících procesů. Z hlediska této práce je zajímavá část týkající se síťového subsystému. Následující výpis ukazuje souborovou strukturu /proc/net, která je opět závislá na konfiguraci jádra a hardwaru počítače. tux@tux:/proc# ls -l /proc/net/ celkem 0 -r--r--r-- 1 root root :56 arp -r--r--r-- 1 root root :28 dev -r--r--r-- 1 root root :56 dev_mcast -r--r root root :56 ip_conntrack -r--r root root :56 ip_conntrack_expect -r--r root root :56 ip_tables_matches -r--r root root :56 ip_tables_names -r--r root root :56 ip_tables_targets dr-xr-xr-x 2 root root :56 netfilter -r--r--r-- 1 root root :56 netlink -r--r--r-- 1 root root :56 netstat -r--r root root :56 nf_conntrack -r--r root root :56 nf_conntrack_expect -r--r--r-- 1 root root :56 packet -r--r--r-- 1 root root :56 protocols -r--r--r-- 1 root root :56 raw -r--r--r-- 1 root root :28 route -r--r--r-- 1 root root :56 rt_acct -r--r--r-- 1 root root :56 rt_cache -r--r--r-- 1 root root :56 snmp -r--r--r-- 1 root root :56 sockstat -r--r--r-- 1 root root :56 softnet_stat dr-xr-xr-x 2 root root :56 stat -r--r--r-- 1 root root :56 tcp -r--r--r-- 1 root root :56 udp -r--r--r-- 1 root root :56 udplite -r--r--r-- 1 root root :56 unix -r--r--r-- 1 root root :56 wireless Většina zde uvedených souborů používá různé aplikace informující o stavu síťového subsystému. Často pro zobrazení informací například o navázaných spojeních o souhrnných statistikách přenesených dat, atd.. Virtuální souborový systém procfs umožňuje mimo čtení taktéž i zápis. Což znamená, že změnu obsahu některých souborů (jen takových, které jsou určeny i pro zápis) bere v úvahu přímo kernel a v reálném čase je možné měnit chování operačního systému. Ve vztahu k síťovému subsystému jde především o soubory v adresáři /proc/sys/net/. Zde muže zkušený administrátor měnit chování jádra systému. Například může stanovit dobu pro vypršení TCP spojení, jak má kernel reagovat na příchozí spojení, a mnoho dalších nastavení. Většinou není potřeba implicitní hodnoty měnit, neboť pro drtivou většinu případů plně postačují. Jen v okrajových a specifických případech je nutné zasáhnout do nastavení TCP/IP subsystému jádra. Nicméně cílem této práce není konfigurace sítě, ale její analýza, proto není nutné podobnější probírání této problematiky.

25 3.1.3 Netfilter a program iptables 3TCP/IP V GNU/Linux Strana 25 Netfilter je součástí jádra systému. Jedná se o paketový firewall, který byl zahrnut do jádra počínaje řadou 2.4. K nastavení filtrovacích pravidel slouží nástroj iptables. Pokud je na daném serveru provozován i firewall, pak je možné využít pro získání informací o dění na síti přímo programu iptables. Respektive je použito výstupu tohoto programu většinou v podobě souboru, obsahující výpis programu (často označován jako logový soubor). Pochopitelně není možné zaznamenat každý paket, což by s sebou neslo při větším zatížení sítě poměrně velkou zátěž procesoru, ale také kapacitu diskového prostoru. Proto je vhodné zaznamenat pouze informace, které mají informační hodnotu. Mnohem důležitější informace, které nástroj iptables přináší, jsou souhrnné statistiky o počtu příchozích, odchozích a přesměrovaných dat, dále pak statistiky o počtu zamítnutých a povolených spojení. Podmínkou je přítomnost funkčního (a nakonfigurovaného) firewallu na serveru. U větších sítí je obvyklé, že na každém serveru běží patřičná služba a router/firewall je oddělen. Jinak řečeno, odděluje internet od lokální sítě. Informace z firewallu by tedy byly smysluplné pro monitoring větší infrastruktury sítě, respektive více serverů, na které se přistupuje přes router/firewall. K tomuto účelu by bylo vhodné použití externí aplikace pro zpracování výstupu z iptables. Tato práce se však věnuje monitoringu provozu na jednom serveru, který nabízí více služeb, jak je časté u menších sítí. Z toho důvodu není zpracovávání informací touto cestou nejvhodnějším řešením, i když tato možnost existuje a může být pro dané případy použita Externí aplikace pro administraci sítě Z pohledu uživatele/administrátora je často vhodným řešením použít některou z aplikací, které jsou primárně určeny pro vyhodnocování, podávání statistik a informací o počítačové síti. Některé aplikace jsou často součástí programového vybavení systému (myšleno součástí distribuce GNU/Linux) a slouží k účelům nastavení sítě a sledování jejího stavu. Pro zjednodušení můžeme tyto aplikace zařadit do několika skupin. systémové utility : route, ifconfig, netstat, arp,... konfigurace a informace o stavu sítě monitorovací aplikace : ethereal, iftop, netwatch, tcpdump,... vyhodnocování a monitoring sítě sniffery : kismet, nast,... odchytávání a analýza paketů Použití každé zde uvedené skupiny aplikací je závislé na situaci. V některých případech je vhodné kombinovat různé aplikace. Utility pro zprávu sítě jsou součástí každé distribuce GNU/Linux a v podstatě všech unixových systémů. Je to tedy v některých případech jediná možnost, jak ověřit stav dané sítě, pokud se v systému nenachází žádné vhodnější aplikace. Názorný příklad ukazuje použití programu netstat, který vypisuje aktuálně navázané TCP spojení. Na druhém příkladu je výstup programu ifconfig pro získání informací o přenesených datech. tux@mercury:~$ netstat Active Internet connections (w/o servers) Proto Recv-Q Send-Q Local Address Foreign Address State tcp 0 0 inet.mercury:4066 web3.iinfo.cz:http ESTABLISHED tcp 0 0 inet.mercury:4190 out.smtp.cz:pop3 ESTABLISHED tcp 0 0 inet.mercury: :http ESTABLISHED tcp 0 0 inet.mercury: :http ESTABLISHED tcp 0 0 mercury:3128 mercury:4292 TIME_WAIT tcp 0 0 mercury:4293 mercury:3128 ESTABLISHED tcp 0 0 inet.mercury: :http ESTABLISHED tcp 0 0 mercury:3128 mercury:4293 ESTABLISHED

26 Strana 26 3TCP/IP V GNU/Linux root@tux:/home/tux# ifconfig lo lo Link encap:local Loopback inet addr: Mask: UP LOOPBACK RUNNING MTU:16436 Metric:1 RX packets:31 errors:0 dropped:0 overruns:0 frame:0 TX packets:31 errors:0 dropped:0 overruns:0 carrier:0 collisions:0 txqueuelen:0 RX bytes:2032 (1.9 KiB) TX bytes:2032 (1.9 KiB) Monitorovací aplikace podávají ucelený přehled o funkci sítě a často obsahují mocné prostředky pro záznam a zpracování souborů obsahující statistiky. Nejznámějším kandidátem je program Ethereal nebo tcpdump [3]. Především program tcpdump je často používaným nástrojem administrátory pro potřeby ladění sítě a odhalování problémů se sítí v případech kdy síť nepracuje dle požadavků. Následující příklad demonstruje použití programu tcpdump při analýze zaslaného paketu programem ping. Příklad programu tcpdump je zde uveden záměrně, neboť se jedná o velmi rozšířený nástroj pro správu a monitoring sítě. Obdobou programu tcpdump je zmíněná aplikace Ethereal, která pracuje v grafickém prostředí a její ovládání je proto mnohem intuitivnější a především poskytuje mnohem přehlednější výstup. root@tux:/home/tux# tcpdump -vvv -i lo tcpdump: listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes 21:32: IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: ICMP (1), length: 84) localhost > localhost: ICMP echo request, id 6154, seq 1, length 64 21:32: IP (tos 0x0, ttl 64, id 64870, offset 0, flags [none], proto: ICMP (1), length: 84) localhost > localhost: ICMP echo reply, id 6154, seq 1, length 64 Z výstupu programu tcpdump je patrné, že je možné číst informace přímo o struktuře IP datagramu. Program je možné spouštět s mnoha parametry kde mezi nejzajímavější volby patří možnost filtrování paketů dle IP adresy nebo portu. Díky tomu je možné monitorovat jen ty informace, které nás zajímají. Programy z kategorie snifferů nejsou tak často používány jako předešlé dvě kategorie programů. Zmíněny jsou jen z důvodu, že tyto programy existují a v případě potřeby je možné těchto aplikací využít, často ke specifickým účelům Protokol SNMP Pro rozsáhlé sítě, obsahující větší množství serverů, by bylo nevhodné a příliš komplikované řešení, použít pro monitoring aplikaci pracující na každém serveru samostatně. Pro tyto případy byl vytvořen speciální protokol SNMP (Simple Network Management Protocol), který umožňuje nejen vzdálený monitoring, ale především vzdálenou zprávu počítačové sítě. Na tomto protokolu je založena většina velkých monitorovacích systémů. Protokol SNMP není využíván jen u Unixových operačních systémů, ale i v mnoha dalších. Tato kapitola je věnovaná SNMP přesto, že se nejedná o věc týkající se speciálně GNU/Linux. Nicméně bylo by velkou chybou nepoukázat na možnosti tohoto protokolu. Aplikace založené na SNMP jsou většinou rozděleny do dvou kategorií, dle toho k jakému účelu slouží. dohledový systém : monitorovaná strana sběrna dat : monitorovací strana, vyhodnocení informací Na monitorované straně je spuštěna aplikace (agent), který shromažďuje informace o stavu systému. Monitorovací strana (manager) se dotazuje agenta a žádá o patřičné informace. Předávání informací mezi agentem a managerem je závislé na znalosti databáze MIB (Management Information Base).

27 3TCP/IP V GNU/Linux Strana 27 Pro názornost je zde uvedena sada operací (příkazů), které umožňuje provádět protokol SNMP verze 1 a 2. get-request : žádost a získání hodnoty určité proměnné trap : odpověď agenta na specifickou událost set-request : změna hodnoty proměnné agenta get-respone : reakce agenta na předchozí příkazy get-bulk : žádost o čtení skupiny informací z MIB inform : komunikace dvou managerů mezi sebou get-next-request : žádost a získání hodnoty určité proměnné bez přesné znalosti jména V operačním systému GNU/Linux je nejznámějším řešením balík nástrojů Net-SNMP. Velkou výhodou použití SNMP je možnost předání naměřených dat k dalšímu zpracování v jiné aplikaci. Velmi známým nástrojem pro tento účel je například aplikace MRTG, která umožňuje tvořit statistiky naměřených dat formou grafů. Výsledky potom mohou být zpracovány prostřednictvím webových aplikací a sledovány vzdáleně přes prohlížeč. Na Obr.7 je ukázka výstupu programu MRTG. Obr.7 : Grafický výstup programu MRTG Existuje několik verzí protokolu SNMP [1]. Poslední verze 3, která byla ohlášena za standard roku Odstraňuje většinu problémů a nedostatků předešlých dvou verzí. Verze 1 a 2 neobsahují žádné bezpečnostní prvky, což může znamenat množství rizik. Bezpečnostní nedostatky částečně odstraňuje verze 3, která nabízí šifrovanou komunikaci, použití autentizace a zavedení uživatelských práv pro přístup k MIB objektům. V případě nutnosti použití SNMP je vhodné použít verzi 3 a nebo SNMP starší verze používat jen pro účely monitoringu. 3.2 BSD Sockety Sockety jsou v podstatě standardem, který umožňuje programům využívat nejen TCP/IP protokoly. Jedná se o API [10] (Application Program Interface) nadstavbu nad internetovými protokoly. Dále nad protokoly sloužícími ke komunikaci mezi procesy na jednom počítači, tzv Unix domain, protokolem XNS (Xerox Network Systems) a dalšími protokoly u kterých však použití není příliš časté. Primárně bylo sockets rozhraní vyvinuto pro BSD systém, ale následně bylo přijato jako standard pro práci se síťovým subsystémem ostatními unixovými operačními systémy. Pro účel této práce jsou zajímavé pouze Sockety ve vztahu s rodinou protokolů TCP/IP. Samotný socket je definován jako komunikační uzel. V podstatě se jedná o datovou strukturu, která obsahuje potřebné údaje ke komunikaci. Komunikace vždy probíhá mezi dvěma komunikačními body, neboli porty. Port je přiřazen samotnému procesu a spojení procesu s portem se děje právě pomocí socketu. Pro komunikaci jsou k dispozici spojované a nespojované komunikační služby. Obě dvě služby umožňují použít duplexní přenos zpráv. V této kapitole bude probrán princip využití socketů z hlediska programování. Nebudou zde popsány všechny funkce a volání, ale jen ty, které budou použity v praktické části této práce. Ostatní funkce je možné vyhledat v případě potřeby přímo v manuálových stránkách (dokumentaci) k rozhraní Socket, které jsou většinou součástí všech Unixových systém nebo v jiném manuálu k rozhraní BSD Sockets.

28 Strana 28 3TCP/IP V GNU/Linux Rodina protokolů Sockety definují rodiny protokolů jako symbolické konstanty, které sdružují protokoly příbuzné. Výběr používaného protokolu v rozhraní Socket se definuje typem patřičné služby. Následující tabulky [10] definují souhrn protokolů a typů služeb. Rodina Descriptor Popis AF_UNISPEC 0 unspecified AF_UNIX 1 Local to host AF_INET 2 Interentwork: UDP, TCP AF_IMPLINK 3 Arpanet imp address AF_PUP 4 Pup protocol AF_CHAOS 5 Mit CHAOS protocol AF_NS 6 XEROX NS protocol AF_NBS 7 Nbs protocol AF_ECMA 8 European computer manufactures AF_DATAKIT 9 Datakit protocol AF_CCITT 10 CCITT protocol AF_SNA 11 IBM SNA AF_DECnet 12 DECnet AF_DLI 13 Direct data link interface AF_LAT 14 LAT AF_HYLINK 15 NSC Hyperchannel AF_APPLETALK 16 Apple talk AF_BSC 17 BISYNC 2780/3780 AF_DSS 18 Distributed system services AF_OSI 19 OSI Protocols AF_NETMAN 20 Phase V network management AF_X25 21 X25 protocol Tabulka 3 : Rodiny protokolů Rodina Typ Protokol Přenosový protokol AF_INET SOCK_DGRAM IPPROTO_UDP UDP AF_INET SOCK_STREAM IPPROTO_TCP TCP AF_INET SOCK_RAW IPPROTO_ICMP ICMP AF_INET SOCK_RAW IPPROTO_RAW RAW Tabulka 4 : Vztah rodiny, typu a protokolu

29 3TCP/IP V GNU/Linux Strana 29 Dle Tabulky 4 je patrné, že programátor může používat služeb TCP i UDP, ale může přistupovat také k základní úrovni protokolu. To však požaduje pro práci oprávnění uživatele root (tedy UID = 0). V takovém případě je nutné použít typ socketu SOCK_RAW, který není přímo spojen s protokolem a proto je možné přistupovat k libovolnému protokolu (IP, ICMP, TCP, UDP). Naopak při použití socketu typu SOCK_STREAM je možné použít spolehlivou spojovanou službu. Při použití typu SOCK_DGRAM lze používat nespolehlivou nespojovanou službu Vytvoření socketu Při vytváření struktury socket se použije volání funkce socket(). Návratovou hodnotou funkce je deskriptor socketu, pokud nedošlo k chybě. U aplikací klient-server se volání používá na straně serveru i na straně klienta. Při použití tohoto volání je potřeba mít v daném programu obsaženy patřičné hlavičkové soubory, jak je patrné na následujícím příkladu. #include <sys/types.h> #include <sys/socket.h> int socket(int domain, int type, int protocol); domain : rodina protokolů pro komunikaci AF_UNIX, AF_INET,... type : typ požadované služby SOCK_STREAM, SOCK_DGRAM, SOCK_RAW,... protocol : číslo protokolu užívaného socketem 0 = implicitně pro daný protokol Pojmenování socketu K pojmenování socketu slouží volání bind(). Socketu je přiřazeno jméno, respektive adresa. Volání bind() je často používané u aplikací na straně serveru. Pokud volání proběhlo v pořádku je návratovou hodnotou 0, v případě neúspěchu -1. #include <sys/types.h> #include <sys/socket.h> int bind(int sockfd, const struct sockaddr *my_addr, socklen_t addrlen); sockfd : deskriptor socketu vytvořený funkcí socket() *my_addr : adresa struktury popisující IP adresu a port addrlen : délka adresní struktury ve slabikách Čtení ze socketu Pro příjem dat, tedy čtení socketu se používá funkce read() nebo funkce recvfrom(). Prncip použití funkce read() je totožný s použitím k čtení klasického souboru. Použití této funkce ke čtení socketů má odlišné chování u spojovaných a nespojovaných služeb. Pokud se jedná o spojovanou službu, čte funkce read() data nejprve do vyrovnávací paměti. Je-li dat více, čte pouze po zaplnění bufferu a ostatní data odloží k dalšímu čtení. U nespojované služby čte funkce pouze jeden datagram. Pokud je datagram větší než velikost vyrovnávací paměti, je přečtena pouze ta část, která se vejde do vyrovnávací paměti a ostatní je zahozeno. Funkce recvfrom() je častěji používaná u nespojovaných služeb a pomocí příznaků umožňuje nastavení konkrétního chování při čtení dat ze socketu. Následující příklad demonstruje použití funkcí recvfrom() a read().

30 Strana 30 3TCP/IP V GNU/Linux #include <unistd.h> ssize_t read(int fd, void *buf, size_t count); fd : deskriptor socketu vytvořený funkcí socket() *buf : adresa paměti pro uložení čtené zprávy count : délka místa paměti ve slabikách #include <sys/types.h> #include <sys/socket.h> ssize_t recvfrom(int s, void *buf, size_t len, int flags, struct sockaddr *from, socklen_t *fromlen); s : deskriptor socketu vytvořený funkcí socket() *buf : adresa paměti pro uložení čtené zprávy len : délka místa paměti ve slabikách flags : řídící příznak MSG_PEEK : nahlédnutí do dat ve frontě (pouze pro čtení) MSG_OOB : pokyn pro čtení přednostních dat (out-of-band) MSG_WAITALL: čekání dokud není přečten celý objem dat *from : adresa odesilatele zprávy *fromlen : délka adresy Uzavření socketu K uzavření socketu slouží funkce close(). Použití zmíněné funkce je totožné s uzavíráním klasického souboru. Voláním této funkce se ruší deskriptor socketu. Pokud je deskriptorů více, zrušením posledního se dealokuje socket a všechna nepřečtená data jsou ztracena. Jinou možností uzavírání socketu je použití funkce shutdown(), která uzavře socket, ale neruší deskriptor. Tato funkce se používá pro duplexní sockety, jelikož dovoluje postupné uzavírání spojení. #include <unistd.h> int close(int fd); fd : deskriptor socketu vytvořený funkcí socket() #include <sys/socket.h> int shutdown(int s, int how); s : deskriptor socketu vytvořený funkcí socket() how : uzavření socketu pro: SHUT_RD : čtení SHUT_WR : zápis SHUT_RDWR : čtení i zápis Volby socketu Vlastnosti a chování každého socketu lze modifikovat. Před samotnou modifikací vlastností pomocí funkce setsockopt() je často nutné zjistit dosavadní vlastnosti socketu. K tomu účelu slouží funkce getsockopt(). Volby můžeme měnit na několika úrovních, tedy v různých vrstvách síťového modelu.

31 3TCP/IP V GNU/Linux Strana 31 #include <sys/types.h> #include <sys/socket.h> int getsockopt(int s, int level, int optname, void *optval, socklen_t *optlen); int setsockopt(int s, int level, int optname, const void *optval, socklen_t optlen); s : deskriptor socketu vytvořený funkcí socket() level : úroveň protokolu optname : identifikátor parametru *optval : adresa bufferu pro uložení parametru optlen : délka parametru *optlen : délka pole optval Úroveň protokolu Parametr Význam IPPROTO_IP IP_OPTIONS Parametry IP záhlaví. IPPROTO_TCP TCP_MAXSEQ Maximální velikost TCP segmentu. TCP_NODELAY Vysílání bez zpoždění. SOL_SOCKET SO_BROADCAST Broadcast vysílání. SO_DEBUG SO_ERROR SO_DONTROUTE SO_LINGER SO_KEEPALIVE SO_OOBINLINE SO_RCVBUF SO_SNDBUFF SO_TYPE Záznam trasování. Nulování chyby. Nebude se směrovat. Pozdržení konce spojení. Udržování spojení. Uvolnění out-of-band dat. Velikost bufferu pro příjem socketu. Velikost paměti pro vysílání socketu. Typ socketu. SO_REUSEADDR Znovupoužití adresy. Tabulka 5 : Parametry socketu. Tento stručný souhrn o BSD socketech postačuje k pochopení základů problematiky. Jsou zde popsány pouze funkce, které budou použity v praktické části diplomové práce, nejsou tedy z daleka všechny. Věnovat se této problematice podrobněji by značně přesáhlo rámec práce.

32

33 Strana 33 4 PROVOZ NA POČÍTAČOVÉ SÍTI Následující kapitoly se budou týkat především teoretického a částečně i praktického pohledu na problematiku analýzy provozu počítačové sítě. Počítačovou sítí je zde myšlena především komunikace mezi klientskou a serverovou aplikací. Celý internet a vlastně většina počítačových sítí je založena na modelu klient-server. Pod pojmem analýza síťového provozu proto bude nyní bez výjimek myšleno vyhodnocování komunikace mezi klientem a serverem. Hlavní důraz bude kladen především na problematiku provozu serverů. Server nabízí počítačové síti své služby, a proto je důležité klást důraz na sledování a vyhodnocování na této části sítě. Je nutné sledovat jakým způsobem nabízí své služby a v jaké míře k nabízeným službám klienti přistupují. 4.1 Informace o využití sítě Nejdůležitější vlastností každé počítačové sítě je její bezpečnost a s tím spojená bezproblémová funkce. Hlavním úkolem administrátora sítě je dodržet tyto dvě vlastnosti v souladu. Příliš vysoká bezpečnost, která by měla negativní vliv na správnou funkci sítě a nebo naopak zanedbání bezpečnosti na úkor (lepší/rychlejší) funkčnosti jsou stejně nežádoucí postoje. Zabezpečení a optimální vyladění počítačové sítě nejsou nárazové zásahy. Naopak se vždy jedná o dlouhodobější proces, spojený s pečlivým sledováním a odhalováním problémů. Zkušený administrátor si to vždy uvědomuje a proto podrobuje počítačovou síť patřičným analýzám. Důležitou podmínkou je, aby veškeré informace o stavu konkrétní počítačové sítě byly aktuální a především přehledné a souhrnné. Existuje velké množství nástrojů pro analýzu sítě. Většina nástrojů je často součástí všech distribucí GNU/Linux nebo jiných unixových operačních systémů. Častým problémem je, že většina takových nástrojů slouží ke konkrétnímu účelu, ale nepodávají ucelený přehled o celkové problematice a hlavně o všech službách které server nabízí. Většina serverových aplikací obsahuje vestavěné funkce pro monitoring stavu běžící služby. Tyto informace jsou většinou ve formě souboru, který obsahuje statistiky. Opět je zde problém spojený s neuspořádaností, a chybí centralizace dat. Na druhou stranu existuje řada aplikací, které podávají velmi podrobné informace. Jedná se především o různé analyzátory přenášených dat, jak bylo probráno v kapitole Problém těchto aplikací je, že jsou určeny k cíleným analýzám, které jsou spojeny s odhalováním konkrétního problému. Proto se pro dlouhodobý monitoring většinou nehodí. Z tohoto důvodu je hlavním cílem praktické části této práce navržení a vytvoření aplikace, která by nabízela souhrnné informace na jednom místě. Aplikace proto musí splňovat následující požadavky. souhrnné statistiky aktuální informace o stavu možnost výpisu jen požadovaných informací Jak bylo uvedeno, informace musí být souhrnné a především stručné a aktuální. Důvod popisuje následující příklad. Dejme tomu, že je v konkrétní síti připojené k internetu server, který nabízí několik služeb klientům. Například služby FTP, HTTP, MTA (POP3 + SMTP). Z nějakého důvodu administrátor zjistí, že server pracuje velmi pomalu a procesor je velmi vytížen. Hned v počátku se nabízí několik hypotéz. První příčinou by mohla být chyba v některé aplikaci, která spotřebovala veškerý čas procesoru. Příčina by také mohla být způsobena nadměrným přetížením některé z nabízených služeb. Taktéž by to mohla být kombinace obou příčin a nebo úplně jiný typ problému. Odstraňování takové záležitosti někdy může znamenat značné úsilí a hodiny stráveného času. Pokud by administrátor používal některou z aplikací, která by monitorovala stav sítě a serveru, mohl by jednoduše zkontrolovat jakým způsobem je konkrétní služba aktuálně využívána, což by znamenalo značné usnadnění práce a eliminaci příčin přetížení.

34 Strana 34 4Provoz na počítačové síti Měření přístupů ke službám Úlohou serveru přepojeného do internetu je nabízet patřičné služby svým klientům. Je to většinou jediná úloha, kterou má server vykonávat a musí ji vykonávat co nejlépe. Proto je nutné tuto jedinou a důležitou činnost patřičně monitorovat. Podívejme se na problematiku vyhodnocení přístupů ke službám nejprve z teoretického hlediska. Internet je založený na rodině protokolů TCP/IP a pro drtivou většinu provozu je používaná přenosová služba TCP. Jedná se o spolehlivou, spojovanou službu, založenou na metodě potvrzování. Více informací o protokolu TCP obsahuje kapitola 2.3. Následující obrázek demonstruje princip připojení klienta k serveru s požadavkem o http spojení. klient IP1 : 4172 IP2 : 80 server IP1 : 4172 IP2 : 80 Obr.8 : Komunikace klient server Počítač klienta s IP adresou IP1 se chce připojit k HTTP serveru o adrese IP2. Klientská aplikace požaduje z portu například 4172 (klient si pro komunikaci rezervuje náhodný volný port větší než 1023) spojení s webovým serverem na korektním portu 80 (standardně používaný port pro http). Vyšle tedy k serveru požadavek o TCP spojení, server požadavek zachytí a pokud uzná za vhodné (což je otázkou konfigurace http serveru a nastavení firewallu), odpovídá klientovi kladným potvrzením o navázání spojení. Klient potvrzení od serveru akceptuje a započne komunikace. Průběh ukončení spojení je obdobný a opět založený na metodě potvrzování. Z tohoto postupu je nejdůležitější informací ve spojitosti s analýzou provozu právě samotný proces potvrzování. Díky zachycení požadavku o zřízení spojení nebo ukončení spojení je možné analyzovat, že právě v daný okamžik probíhá komunikace mezi klientem a serverem, nebo tato komunikace byla ukončena. Samotný princip vyhodnocení je tedy založený na analýze IP datagramu jak vysvětluje následující obrázek. IP header TCP header zdrojový port cílový port příznak (u TCP) IP data TCP data zdrojová IP adresa cílová IP adresa přenosová služba (TCP/UDP) Obr. 9 : Zapouzdření dat v IP datagramu Podle Obr. 9 je patrné jakým způsobem jsou v IP datagramu data zapouzdřena. Celá podstata spočívá v postupné analýze IP datagramu. V prvním kroku dojde k vyhodnocení IP hlavičky. Odtud je možné získat především informace o přenosové službě (protokolu vyšší vrstvy), zdrojovou a cílovou IP adresu a velikost IP datagramu v bytech. Protokol vyšší vrstvy je zapouzdřen do datové části IP datagramu. V tomto kroku je již patrné odkud a kam daný paket míří a jaká s sebou nese další data. Především o jakou přenosovou službu se jedná.