IPP2P i L7

IPP2P i L7--filter

filter

Tomasz Nawrot, Piotr Klecha

Spis tre

ś

ci

Spis tre

ś

ci

•

Wprowadzenie

•

Narz

ę

dzia do analizy ruchu

•

IPP2P

•

IPP2P

•

L7-filter

•

Zalety i wady

•

Problemy

Wprowadzenie

Wprowadzenie

•

Potrzeby analizowania ruchu w sieci

•

Podstawowe sposoby zarz

ą

dzania pasmem

•

Filtrowanie ruchu

•

Filtrowanie ruchu

•

Kolejkowanie ruchu

•

Jakiekolwiek metody zarz

ą

dzania lub

monitorowania ruchu wymagaj

ą

metod do

rozpoznawania jego typu

Wprowadzenie

Wprowadzenie

•

Mo

ż

liwe strategie zarz

ą

dzania

pasmem

•

Policing (podział na klasy)

•

Policing (podział na klasy)

•

Priority assigning (nadawanie priorytetów)

•

Shaping (ograniczanie pasma)

•

Filtering (całkowite eliminowanie ruchu

niepo

żą

danego)

Wprowadzenie

Wprowadzenie

•

Mo

ż

liwe sposoby rozpoznawania

ruchu

•

protokół

•

protokół

•

adres/port

•

analiza zawarto

ś

ci pakietów

Narz

ę

dzia do analizy ruchu

Narz

ę

dzia do analizy ruchu

•

Sniffery

•

Wireshark

•

Etherape

•

Etherape

•

Cisco IOS

IPP2P

IPP2P

•

Rozpoznawanie ruchu P2P

•

Sieci

•

eDonkey, eMule, Kademlia

•

KaZaA, FastTrack

•

Gnutella

•

Gnutella

•

Direct Connect

•

BitTorrent

•

AppleJuice

•

WinMX

•

SoulSeek

•

Ares

IPP2P

IPP2P

•

Instalacja i uruchomienie

◦

Potrzebujemy: Linuxa – j

ą

dro z obsług

ą

netfilter

◦

tar –xzf

◦

make

◦

cp libipt_ipp2p.so /usr/lib/iptables/

◦

cp libipt_ipp2p.so /usr/lib/iptables/

◦

insmod ipt_ipp2p.ko

•

Zastosowanie

•

Odfiltrowanie ruchu p2p:

iptables -A FORWARD -m ipp2p --ipp2p

--bit --apple --winmx --soul --ares -j DROP

IPP2P

IPP2P

•

Zastosowanie

•

Zapewnienie QoS:

iptables -t mangle -A PREROUTING -p tcp -j

CONNMARK --restore-mark

iptables -t mangle -A PREROUTING -p tcp -m mark

! --mark 0 -j ACCEPT

iptables -t mangle -A PREROUTING -p tcp -m ipp2p

--ipp2p -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -p tcp -m mark

--mark 1 -j CONNMARK --save-mark

iptables -t mangle -A POSTROUTING -o eth0 -m

mark --mark 1 -j CLASSIFY --set-class 1:12

iptables -t mangle -A POSTROUTING -o eth1 -m

mark --mark 1 -j CLASSIFY --set-class 2:12

IPP2P

IPP2P

•

Zastosowanie

•

Zbieranie statystyk:

iptables -t mangle -A PREROUTING -j CONNMARK --restore-mark

iptables -t mangle -A PREROUTING -m mark ! --mark 0 -j ACCEPT

iptables -t mangle -A PREROUTING -m ipp2p --edk -j MARK --set-mark 1

iptables -t mangle -A PREROUTING -m ipp2p --dc -j MARK --set-mark 2

iptables -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -m ipp2p --bit -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -j CONNMARK --save-mark

iptables -t mangle -A POSTROUTING -m mark --mark 1 -j ACCEPT

iptables -t mangle -A POSTROUTING -m mark --mark 2 -j ACCEPT

iptables -t mangle -A POSTROUTING -m mark --mark 3 -j ACCEPT

iptables -t mangle -L -n -v -x

L7

L7--filter

filter

•

Analiza zawarto

ś

ci pakietów

•

Rozpoznawanie dowolnego ruchu

•

Protokoły

•

Typy plików

•

Typy plików

•

Malware

•

Prawie 150 gotowych filtrów

L7

L7--filter

filter

•

Wersja Kernel

•

starsza wersja, dobrze przetestowana,
lecz skomplikowana instalacja i problemy
z SMP, tylko proste wyra

ż

enia regularne

•

Wersja Userspace

•

obecnie wczesna wersja rozwojowa, nie
ma ryzyka zawieszenia systemu,
dost

ę

pne „wyra

ż

enia regularne GNU”

L7

L7--filter

filter

U

ż

ycie analogiczne do ipp2p

iptables -t mangle -A PREROUTING -m layer7

--l7proto ssh -j DROP

Mo

ż

liwe wykorzystanie do tworzenia

statystyk, filtrowania, zapewniania

statystyk, filtrowania, zapewniania
QoS…

Zalety i wady

Zalety i wady

IPP2P

•

Zalety

•

prostota u

ż

ycia

•

Wady

L7-filter

•

Zalety

•

Dowolny ruch

•

Wysoka dokładno

ść

Wady

•

Tylko ruch p2p

•

projekt nierozwijany

•

Łatwa
rozszerzalno

ść

•

Wady

•

Obci

ąż

a CPU

Problemy

Problemy

•

Dokładno

ść

przyporz

ą

dkowania

•

Konieczno

ść

uwzgl

ę

dnienia ogólnych

wzorców oraz zachowania kolejno

ś

ci

w trakcie rozpoznawania ruchu

w trakcie rozpoznawania ruchu

•

Szyfrowany ruch (np. bittorrent,
Skype)

•

R

ę

czna konfiguracja jest do

ść

uci

ąż

liwa

Wykorzystanie

Wykorzystanie

Systemy ułatwiaj

ą

ce konfiguracj

ę

filtrów dla ruchu sieciowego i QoS (np.
QOS-L7 Package)

Dost

ę

pno

ść

ipp2p i l7 w gotowych

Dost

ę

pno

ść

ipp2p i l7 w gotowych

‘serwerowych’ dystrybucjach linuxa

Firmware routerów (dd-wrt, tomato…)

Podobne projekty

Podobne projekty

ourmon

◦

potrafi podejmowa

ć

decyzje na podstawie

danych statystycznych – wykrywanie
anomalii

Hi-Performance Protocol Identification
Engine

◦

aktualnie brak oficjalnej wersji

NetEqualizer

◦

projekt komercyjny

Koniec

Koniec

A teraz prezentacja praktyczna…