PDF de programación - Análisis del Tráfico de una Red Local

Centro de Investigaci´on y de Estudios

Avanzados

del Instituto Polit´ecnico Nacional

Departamento de Ingenier´ıa El´ectrica

Secci´on de Computaci´on

An´alisis del Tr´afico de una Red Local

Tesis que presenta

Jorge Enrique Morf´ın Galv´an

para obtener el Grado de

Maestro en Ciencias

en la Especialidad de

Ingenier´ıa El´ectrica

Director de la Tesis

Dr. Arturo D´ıaz P´erez

M´exico, D.F.

Marzo 2004

ii

Abstract

Try to predict a local network behavior is very hard, because there are
many involved factors and the fast technologies changes. However, is very
important to have a mechanism that allow us predict and analyze the network
behaver.

This work describes the creation of a statistical model from the behav-
ior of the traffic that goes in or out from the network. It also describes the
construction a proposed system, to capture and analyze the network traffic,
comparing it to the proposed statistical model. The system is composed by
two modules: a capture module and an analysis module. The capture module
capture all the packets that goes in or out from the local net, and transfer
them to the analysis module. The analysis module makes the statistical anal-
ysis, the error percents when comparing the data to the model and graphics to
present the results. It’s also show the system obtained results: data captured
and data storage and analysis results and total traffic by totals, protocols,
address, ports (source and destiny).

This system is capable to detect some network attacks and the most

frequent failures in a network.

iii

iv

Resumen

Es dif´ıcil tratar de predecir el comportamiento de una red, debido a que
existen una gran cantidad de factores involucrados en dicho proceso y a los
r´apidos cambios de tecnolog´ıa. Sin embargo, es de una gran importancia con-
tar con un mecanismo que nos permita predecir y analizar el comportamiento
de una red.

En este trabajo se describe la creaci´on de un modelo estad´ıstico del com-
portamiento del tr´afico que entra o sale de la red. Tambi´en se describe y
construye un sistema propuesto para capturar y analizar el tr´afico de una
red local, compar´andolo con el modelo estad´ıstico propuesto. El sistema con-
siste de un m´odulo de captura y uno de an´alisis. El m´odulo de captura se
encarga de capturar los paquetes que entran o salen de la red local y despu´es
los transfiere al m´odulo de an´alisis, el cual se encarga de realizar un an´ali-
sis estad´ıstico, porcentajes de error al comparar los datos con el modelo y
creaci´on las gr´aficas para presentar los resultados. Se muestran los resultados
que se han obtenido con dicho sistema, lo cual incluye la captura de los datos
que circulan por la red, el almacenamiento de los mismos y la presentaci´on
de los resultados del an´alisis y comparaci´on por tr´afico total, por protocolos,
direcciones y puertos, tanto fuente como destino.

Con este sistema es posible detectar algunos ataques y fallas que se pre-

sentan con frecuencia en una red.

v

vi

Agradecimientos

Agradezco el apoyo econ´omico otorgado por el CONACyT a trav´es de una
beca que me permiti´o cursar la Maestr´ıa en el departamento de Ingenier´ıa
El´ectrica, Secci´on de Computaci´on del CINVESTAV.

Agradezco al CINVESTAV, por brindarme la oportunidad y las facili-
dades para realizar esta investigaci´on que culmina mis estudios de maestr´ıa.
A mi asesor, el Dr. Arturo D´ıaz P´erez, quien me gui´o durante el desarrollo

de esta tesis.

A mis sinodales, los Dres. Luis Gerardo de la Fraga y Guillermo Morales

Luna, por su colaboraci´on en beneficio de la calidad del presente reporte.

A las secretarias de la Secci´on de Computaci´on, porque sin ellas no reali-
zar´ıamos tr´amite administrativo alguno, en especial a la Sra. Sof´ıa Reza por
su gran dedicaci´on y empe˜no al realizar su trabajo.

A mi familia, por su apoyo.
A mi amada Elisa Guillaum´ın, quien me motiv´o y apoy´o desde que vio mi

inquietud de superaci´on personal y acad´emica y por su amor incondicional.

vii

viii

´Indice general

Abstract

Resumen

Agradecimientos

1. Introducci´on

III

V

VII

1

2. Comportamiento del tr´afico en redes locales

5
5
2.1. Conceptos b´asicos . . . . . . . . . . . . . . . . . . . . . . . . .
8
2.2. Estudios sobre modelaci´on del tr´afico . . . . . . . . . . . . . .
2.2.1. Modelo de tr´afico punto a punto . . . . . . . . . . . . .
9
2.2.2. Comportamiento colectivo de una red . . . . . . . . . . 14
2.3. Utilizaci´on del modelo de tr´afico . . . . . . . . . . . . . . . . . 19
2.4. El modelo estad´ıstico . . . . . . . . . . . . . . . . . . . . . . . 23

3. Captura y modelaci´on del tr´afico

27
3.1. Captura del tr´afico . . . . . . . . . . . . . . . . . . . . . . . . 27
3.1.1. Sistemas de captura basados en hardware . . . . . . . . 29
3.1.2. Sistemas de captura basados en software . . . . . . . . 32
3.2. Recolecci´on de datos . . . . . . . . . . . . . . . . . . . . . . . 34
. . . . . . . . . . . . . . . . . . . . . . . 35
3.3. Creaci´on del modelo estad´ıstico . . . . . . . . . . . . . . . . . 39
3.3.1. Suavizaci´on de los datos . . . . . . . . . . . . . . . . . 40
3.3.2. Ajuste de los datos . . . . . . . . . . . . . . . . . . . . 42

3.2.1. Red ethernet

4. Arquitectura del sistema

4.1. Tipos de an´alisis
4.2. Como funciona el sistema

47
. . . . . . . . . . . . . . . . . . . . . . . . . 47
. . . . . . . . . . . . . . . . . . . . 49
4.2.1. Transferencia de datos . . . . . . . . . . . . . . . . . . 51
4.3. Computadoras dentro de la red . . . . . . . . . . . . . . . . . 51
4.4. La base de datos
. . . . . . . . . . . . . . . . . . . . . . . . . 54
4.5. Respaldos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 57
4.6. Descarga de los datos . . . . . . . . . . . . . . . . . . . . . . . 60
. . . . . . . . . . . . . . . . . . . . . . . 60
4.7. An´alisis de los datos
4.7.1. Gr´aficas . . . . . . . . . . . . . . . . . . . . . . . . . . 62

ix

x

4.7.2. Estad´ısticas . . . . . . . . . . . . . . . . . . . . . . . . 62
4.7.3. Comparaci´on de los datos con el modelo . . . . . . . . 64
4.7.4. Toma de decisiones . . . . . . . . . . . . . . . . . . . . 66

5. Interfaz web

5.1.

69
Instalaci´on del sistema . . . . . . . . . . . . . . . . . . . . . . 69
5.1.1. Computadora de captura . . . . . . . . . . . . . . . . . 69
5.1.2. Computadora de an´alisis . . . . . . . . . . . . . . . . . 70
5.2. La interfaz web . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Ingreso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72
5.3.
5.3.1. Tr´afico en la red . . . . . . . . . . . . . . . . . . . . . 73
5.3.2. Estad´ısticas . . . . . . . . . . . . . . . . . . . . . . . . 74
5.3.3. Detalles de un nodo . . . . . . . . . . . . . . . . . . . . 76
5.3.4. B´usqueda . . . . . . . . . . . . . . . . . . . . . . . . . 76
5.3.5. Nodos activos . . . . . . . . . . . . . . . . . . . . . . . 79
5.3.6. Gr´aficas . . . . . . . . . . . . . . . . . . . . . . . . . . 80
5.4. Resultados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81

6. Conclusiones

87

A. Interpolaci´on c´ubica de trazador

A.1. Algoritmo de trazador c´ubico natural

89
. . . . . . . . . . . . . . 94

Bibliograf´ıa

98

´Indice de figuras

2.1. Distribuciones de Poisson para diferentes λ, donde λ es el
par´ametro de la distribuci´on as´ı como la media y la varian-
cia. En el eje horizontal se muestra x y en el eje vertical se
muestra la funci´on de masa p(x).

. . . . . . . . . . . . . . . . 11

2.2. R´afagas en la red, a diferentes escalas de tiempo. En el eje
vertical se encuentra la cantidad de tr´afico en un determinado
instante, mientras que en el eje horizontal se grafica el tiempo. 12
2.3. Modelo de trenes. . . . . . . . . . . . . . . . . . . . . . . . . . 13
2.4. Auto-similitud. Las gr´aficas fueron tomadas a diferentes es-

calas de tiempo, de 100 seg. a 0,01 seg.

. . . . . . . . . . . . . 15
2.5. Comparaci´on del modelo de l´ogica difusa contra el tr´afico real. 16
2.6. Cantidad de tr´afico por protocolo. En el eje horizontal se rep-
resenta el tiempo, mientras que en el eje vertical se representa
la cantidad de tr´afico en Kbps. . . . . . . . . . . . . . . . . . . 18

2.7. Cantidad de tr´afico por protocolo, mostr´andose ´unicamente los
protocolos importantes. En el eje horizontal se representa el
tiempo, mientras que en el eje vertical se representa la cantidad
de tr´afico en Kbps.

. . . . . . . . . . . . . . . . . . . . . . . . 19
2.8. Tr´afico normal de una red. . . . . . . . . . . . . . . . . . . . . 20
2.9. Tr´afico de una red durante una falla.
. . . . . . . . . . . . . . 21
2.10. Tr´afico de una red durante un ataque. . . . . . . . . . . . . . . 21
2.11. Velocidades de acceso por usuario para diferentes anchos de

banda y diferente n´umero de usuarios.

. . . . . . . . . . . . . 22
2.12. Tr´afico de una subred durante un d´ıa. . . . . . . . . . . . . . . 24
2.13. Tr´afico de una subred durante una semana. . . . . . . . . . . . 24
2.14. Tr´afico de una subred durante un mes.
. . . . . . . . . . . . . 24
2.15. Modelo del tr´afico de entrada (color s´olido) y salida (una l´ınea). 26

3.1. Equipo NavTelIW96000, con sus aditamentos.
3.2. Equipo WinPharaoh.
3.3. Equipo InterWatch Box.
3.4. Configuraci´on f´ısica de una red ethernet.
3.5. Configuraci´on l´ogica de una red ethernet totalmente conecta-

. . . . . . . . . 29
. . . . . . . . . . . . . . . . . . . . . . . 30
. . . . . . . . . . . . . . . . . . . . . 31
. . . . . . . . . . . . 35

da. G=puerta de enlace, CP=captura de paquetes, C=computadora 36

3.6. Configuraci´on l´ogica de una red segmentada. G=puerta de en-

lace, CP=captura de paquetes, C=computadora . . . . . . . . 38
3.7. Datos promediados. . . . . . . . . . . . . . . . . . . . . . . . . 41

xi

xii

3.8. Suavizaci´on de los datos para diferentes valores de d.
. . . . . 42
3.9. Datos suavizados para d = 4. . . . . . . . . . . . . . . . . . . . 43
3.10. Datos promediados, suavizados con d = 4 y ajustados del

tr´afico de entrada.

. . . . . . . . . . . . . . . . . . . . . . . . 45

4.1. Esquema