Lade Inhalt...

Leseprobe

Inhaltsverzeichnis

1. Einführung
1.1. Problemstellungen
1.2. Überlegungen

2. Begrifflichkeiten
2.1. Betriebszustand
2.2. Messgrößen und deren Interpretation
2.3. Topologie
2.4. Routerkarten
2.5. Rootserver
2.6. Rootserver & DDoS
2.7. Erreichbarkeit
2.8. Autonome Systeme
2.9. Geheimhaltung

3. NIMI
3.1. Realistische Messungen
3.2. Messungspolicy
3.3. Forderungen an NIMI - Plattformen
3.4. NPD - Network Probe Daemon
3.5. Sicherheitsrichtlinien
3.6. Aktueller Status
3.7. Vorteile für ISP und Verbraucher
3.8. Autokonfiguration

4. Ripe NCC
4.1. Allgemeines
4.2. TTM - Test Traffic Measurement

5. CAIDA
5.1. Allgemeines
5.2. Skitter
5.3. Traceroute
5.4. TCP Port Analyse
5.5. Mapnet
5.6. Otter
5.7. Coral Monitor

6. Internet Monitor
6.1. Arbeitsweise des Internet Monitor
6.2. Erreichbarkeit und RTT
6.3. Intervallmessungen
6.4. Referenzwoche
6.4.1. RTT
6.4.2. Paketverlust
6.5. Interpretation der Messergebnisse
6.5.1. RTT
6.5.2. Paketverlust

7. Telegeographie

8. Abschließende Bemerkungen

9. Quellenangaben und Literatur

10. Abbildungsverzeichnis

1. Einführung

1.1. Problemstellungen

Immer wieder kommt es im laufenden Betrieb des Internet zu Störungen aus den unterschiedlichsten Ursachen. Um diesen Störungen auf den Grund zu gehen, bzw. sie am besten von vornherein vermeiden, bedient man sich gewissen Analysemethoden zur Bestimmung von Engpässen, Performanceproblemen. In den folgenden Beispielen wird auf die Problematik von Schadstellen im weltweiten Netz eingegangen.

Abbildung in dieser Leseprobe nicht enthalten

1.2. Überlegungen

Um zu verbildlichen, wie das Internet aussieht, muss auf Überlegungen zurückgegriffen werden, wie man dies bewerkstelligen kann. Das Internet hat das Problem, dass es aufgrund einer rapide ansteigenden Nutzerzahl in seiner Topologie immer unübersichtlicher wird. Man müsste also ein Werkzeug haben, mit dem man das Internet entweder graphisch, oder andersweitig darstellen kann. Hierfür benötigt man jedoch detaillierte Pfadangaben, eine Karten von Routern, die Verkabelung zwischen einzelnen Kontinenten und weitere Details, um ein aussagekräftiges Ergebnis zu erhalten. Diese Arbeit soll einen Eindruck vermitteln über die Problematik einer Messung, verschiedene Messmethoden und deren Interpretation, sowie anderer Visualisierungstechnologien.

2. Begrifflichkeiten

2.1. Betriebszustand

Unter der Begrifflichkeit „Betriebszustand“ versteht man im Allgemeinen die normale Aufgabe eines elektrischen Apparates, der verschiedene Betriebsmodi besitzt. Beispielsweise ist der normale Betriebszustand einer Taschenlampe der Effekt, dass sie Licht aussendet und dabei Energie verbraucht. Wie ist dies nun beim Internet? Hat das Internet einen „normalen“ Betriebszustand? Wie kann man diesen Betriebszustand bestimmen? Ist es normal, dass wenn man nach einer Aufforderung zur Darstellung einer Webseite in seinem Browser die gewünschte Seite erhält, aber gleichzeitig keine Emails versenden kann, oder per Voice-Over-IP telefonieren kann? Viele Fragen also. Den normalen Betriebszustand des Internet wird man nicht kennen. Man kann ihn höchstens hilfsweise definieren, indem man sagt: „Das Internet ist in seinem normalen Betriebszustand, wenn alle geforderten Dienste gemäß ihren Erwartungen funktionieren“.

2.2. Messgrößen und deren Interpretation

Was bedeutet es allerdings, dass alle geforderten Dienste ihren Erwartungen gemäß funktionieren. Es müssen Kriterien festgesetzt werden, mit denen man die Erwartungen spezifizieren kann. Paketverlust ist ein solches Kriterium. Nach dem Versand von Daten in einzelnen Paketen erwartet der Sender jeweils eine Antwort des Adressaten. Falls eine Antwort in einem festgesetzten Zeitfenster ausbleibt, gilt das Paket als verloren. Dieser Verlust lässt einige Schlüsse zu, dies ist jedoch Teil der Interpretation und nicht der reinen Messung. Ein anderes Kriterium ist RTT (Round Trip Time), mit der man die Antwortzeit, in der ein Paket bestätigt wird aufzeichnet. Die RTT ist Schwankungen unterworfen, die ebenso wie der Paketverlust auf unterschiedlichste Ursachen zurückzuführen ist. Gibt eine Anforderung zur Darstellung einer Webseite überhaupt keine Antwort zurück, ist der Server, auf dem die Seite gehostet wird, nicht erreichbar. Möglicherweise ist er in diesem Moment überhaupt nicht im Netz, d.h. ausgeschaltet oder unter Wartung.

2.3. Topologie

Die Topologie beschreibt die Verbindung von Knotenpunkten im Netzwerk untereinander. Hierzu benötigt man massenhaft Verbindungsdaten um ein korrektes Bild wiedergeben zu können. Die Topologie eines Netzes wird später dazu verwendet, Schwachstellen und ungenutzte Performance darzustellen. Ein Verfahren, um die Topologie des Internets darzustellen, wird in Kapitel 5 erläutert.

2.4. Routerkarten

Server und Router bestimmen die Landschaft des Internets. Es existieren tausende von Servern, die über abertausende von Routern miteinander verknüpft sind. Interessant zu wissen ist es für einen Netzwerkplaner, über welche und wieviele Router eine Anfrage an eine bestimmte Adresse gelangt und ob die Antwort auf dem selben Wege erfolgt, oder aber noch über weitere Router. Genau bestimmen kann man einen Pfad jedoch nicht, da das Internet über dynamisches Routing verfügt. Statisches Routing wäre auch nicht ratsam, da bei Server- oder Routerausfällen sehr viel Verkehr beeinträchtigt würde. Aufschluss über die gewählte Route kann das Tool „traceroute“ geben, dass die Adresse eines jeden Routers auf dem Weg zum Ziel zurückliefert an den Sender der Daten.

2.5. Rootserver

Rootserver spielen im Internet eine beträchtliche Rolle. (Root engl. von root = Wurzel) Sie setzen Adressanfragen um in Toplevel Domains und leiten die Anfrage weiter an DNS Server, die für die einzelnen Länder verantwortlich sind. Rootserver sind Mengen von Servern, die alle die gleiche IP-Adresse besitzen und über spezielle Protokolle Daten untereinander austauschen. Rootserver stehen überall auf der Welt verteilt und behandeln DNS Anfragen. Deutschland hat im Januar letzten Jahres seinen eigenen Rootserver bekommen. Dies hat allerdings nur einen gewissen Performancevorteil, da in Europa schon viele andere Rootserver ihren Dienst verrichten. Insgesamt gibt es 13 Rootserver A-M, die alle die gleichen Rechte haben. Das heißt, es existiert kein Top-Root-Server. Zur Übersicht, welche Gruppierung hinter den Rootservern jeweils steht eine tabellarische Darstellung.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1 - Rootserver A-M

2.6. Rootserver & DDoS

Rootserver sind die Server, die als erste eine Distributed Denial of Service (DDos) Attacke spüren, da die Rootserver diejenigen Server sind, die eine DNS-Anfrage auflösen und an autonome Systeme weiterrouten. Gut zu sehen ist dies in Abbildung 1. Der normale Betrieb ist eine Bandbreite von ca 0,5 - 1 MBit/sec. Das Beispiel zeigt eine DoS-Attacke im Oktober 2002 gesehen auf dem M Rootserver. Die Abbildung stellt das 32-fache des normalen Zustandes dar. Der Rootserver hielt dieser Attacke jedoch stand.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1 - DDoS auf M Rootserver im Oktober 2002

Quelle http://m.root-servers.net

2.7. Erreichbarkeit

Der Rootserver war zu diesem angegebenen Zeitpunkt trotzdem für jede andere Anfrage gut erreichbar. Anders wäre es gewesen, hätte die DDoS-Attacke den Server blockiert, wären keine sinnvollen Anfragen mehr bearbeitet worden. Dies ist eine Form der Erreichbarkeit, bzw. Nichterreichbarkeit. Eine Andere Form ist eine Lastspitze im laufenden Betrieb. Diese Lastspitze kann vorkommen, ist allerdings nicht vorhersehbar. Dafür dauert sie auch nur kurze Zeit, sodass die Anfrage schnell und erfolgreich wiederholt werden kann. Eine weitere Möglichkeit ist eine Störung in einem vorgelagerten Router oder ein Kabeldeffekt.

2.8. Autonome Systeme

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2 - Autonome Systeme

Man stelle sich das interne Netz eines Internet Service Providers (ISP) vor. Dieses Netz ist zwar Bestandteil des gesamten Internet, hat aber die Besonderheit, dass Server und Router, die dieses Netz bilden, einem ISP gehören. Aus Gründen der Geheimhaltung vor Mitbewerbern schirmt der ISP sein Netz weitestgehend von Untersuchungen und Performancemessungen von außerhalb ab. Jedes Autonome System ist für sich ein eigenes Internet mit Mail- und DNS-Servern, die Namen im eigenen Netzwerk auflösen.

2.9. Geheimhaltung

In Autonomen Systemen ist Geheimhaltung der Infrastruktur von vornherein gegeben. Kein ISP lässt sich gerne in die Karten schauen, wie er sein Netz aufgebaut hat. Dies ist ein beachtliches Problem. So ist es für Forschungsgruppen, die das Internet messen wollen nicht einfach, Schwachstellen im Netz zu finden und ein aussagekräftiges Ergebnis zu erhalten. In Fällen von Geheimhaltung muss also von Fall zu Fall besprochen werden, wie eine Messung durchgeführt werden kann, ohne dabei zu viel von Interna des ISP preisgeben zu müssen.

3. NIMI

3.1. Realistische Messungen

Wichtig für eine aussagekräftige Messung sind realitätsnahe Bedingungen. Dies ist jedoch im Bereich des Internets nicht ohne weiteres und nur unter erheblichem Aufwand möglich. Beispielsweise könnte man ein Firmennetzwerk analysieren oder viele Rechner im Rahmen eines Forschungsthemas vernetzen und darauf die Dienste, die das Internet ausmachen, anbieten. Ferner müssten Anwendung und Nutzer simuliert werden. Diese Simulation ist jedoch nicht sinnvoll, da sie erst mit einigen hundert Rechnern sich an die Realität annähert. Man nutzt stattdessen lieber die vorhandenen Ressourcen und wählt das Internet selber als Messgrundlage für authentische Ergebnisse. Das Projekt NIMI - National Internet Measurement Infrastructure bedient sich dieser Idee. NIMI ist ein sehr früher Ansatz, festzustellen, wie das Internet funktioniert und was normale Betriebsbedingungen bezogen auf das Internet sind. Als Messpunkte werden Rechner von ISPs gewählt, die sehr viel Datenverkehr haben.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3 - National Internet Measurement Infrastructure

Quelle: http://www.ncne.nlanr.net/nimi

3.2. Messungspolicy

Wiederum gibt es bei der möglichst realistischen Messung das Problem der Geheimhaltung. Da NIMI sich nicht auf eine Simulation beschränkt, sondern echte Daten analysieren will, muss gewährleistet sein, dass die betroffenen Daten über Aufbau autonomer Systeme nicht ungefiltert an die Öffentlichkeit dringen. Hierzu wurde ein Regelwerk entwickelt, das die Grenzen der Messung beschreibt, aber auch der Messung gewisse Rechte garantiert.

3.3. Forderungen an NIMI - Plattformen

Das Internet kennzeichnet sich durch das Anbieten verschiedener Dienste, seien es Webseiten, Email, FTP oder andere. Um ein möglichst realistisches Bild des Netzes einzufangen, darf auch die kommerzielle Seite nicht vergessen werden, da sich in den letzten Jahren immer mehr Firmen auf das Internet als Werbungsmittel oder als Markt zum Anbieten verschiedenster Waren verlassen. Eine NIMI Plattform muss also auf verschiedensten Architekturen aufbauen, um die Vielfaltigkeit des Internet korrekt wiederspiegeln zu können. Damit der administrative Teil der Einrichtung einer solchen Plattform den Aufwand bei hunderten von Plattformen nicht sprengt, muss es eine Möglichkeit der Autokonfiguration geben. Hierzu bedarf es strenger Sicherheitsvorkehrungen, um weiterhin die Sicherheit der übertragenen Daten gewährleisten zu können. Die Plattformen müssen verschiedene Arten der Messung unterstützen, wobei aktive Messungen passiven vorzuziehen sind. Bei einer passiven Messung müssten neben den in 3.5 angesprochenen Sicherheitsrichtlinien weit höhere Sicherheitsstandards angewendet werden, da es sich um empfindliche Daten handelt, die unter datenschutzrechtlichen Aspekten nicht für jeden sichtbar sein dürfen. Stattdessen wird auf die aktive Messung zurückgegriffen, das heißt, eine Plattform spielt eigene Datenpakete in das Netz ein, die dann von den anderen Messplattformen registriert werden.

3.4. NPD - Network Probe Daemon

Die Software, die für die eigentliche Messung betrieben wird, ist ein kleiner Dienst, der zwei Messstationen synchronisiert und eine Messung einleitet, bzw. darauf wartet, von einer anderen kontaktiert zu werden. Der Kontakt soll die Station aufmerksam machen, dass ab einem bestimmten Zeitpunkt Datenpakete eintreffen werden. Der Network Probe Daemon muss dabei auf einem PC mit Intel Pentium laufen, als Betriebssystem FreeBSD oder OpenBSD haben und die Werkzeuge Traceroute und Ping verstehen.

3.5. Sicherheitsrichtlinien

Um die Rechner der ISPs ausreichend zu schützen und einen störungsfreien Betrieb zu garantieren, müssen die einzelnen Messstationen einer Sicherheitsrichtlinie gehorchen. Daten werden immer nur verschlüsselt verschickt, wobei jede Station einen privaten und den gemeinsamen öffentlichen Schlüssel benutzt. Jede Station hat einen Namen, mit der sie eindeutig identifiziert werden kann. Der Requester sendet verschlüsselt eine Messanforderung an eine weitere Station. Der Adressat überprüft dann anhand des öffentlichen Schlüssels, ob der Name zu dem privaten Schlüssel gehört. Im Wahrheitsfall gewährt die Station Zugriff und die Messung wird eingeleitet. Der Requester hat nun die Rechte auf dem entsprechenden Rechner, die ihm in einer Access Control List zugeordnet sind. So kann eine Station eine Aufforderung zur Autokonfiguration geben, eine andere aber nur eine Messung einleiten. Auf dieser Access Control List sind jeder bekannten Station bestimmte Rechte zur Erfüllung der Aufgaben zugeordnet. Hierbei kann aber jeder ISP selbst bestimmen, welche Arbeiten überhaupt auf der bei ihm laufenden Station ausgeführt werden dürfen.

[...]

Details

Seiten
30
Jahr
2004
ISBN (eBook)
9783638440097
Dateigröße
1.9 MB
Sprache
Deutsch
Katalognummer
v46931
Institution / Hochschule
Fachhochschule Gießen-Friedberg; Standort Gießen – MNI
Note
1,3
Schlagworte
Internet Monitoring Schwerpunktseminar Multimedia

Autor

Teilen

Zurück

Titel: Internet Monitoring