ARAŞTIRMA BULGULARININ SUNUMU

A presente seção tem por objetivo abordar os principais padrões propostos na comunidade científica para a medição de tráfego baseado em fluxos. Desta forma, um breve relato de cada uma das abordagens é apresentado, dando-se ênfase a suas peculiaridades.

2.7.1 Real-Time Flow Measurement

Em 1995, foi instanciado no IETF o grupo de trabalho intitulado RTFM, que tinha por objetivo a produção de uma arquitetura para medição de tráfego baseado em fluxos. A principal diretriz desta proposta aponta para o processo de medida de uso, ou contabilização, do tráfego da rede.

Seguindo as características descritas na arquitetura de medição de fluxo apresentada na RFC-2722 de outubro de 1999, existem quatro componentes básicos no processo de medição [BRO 99a]:

• gerente de medição de tráfego: é uma aplicação que tem como função orquestrar a configuração das entidades ‘Medidores’ e controlar a entidade ‘Leitor de Medidas’. Envia comandos de configuração para os medidores e supervisiona a operação de cada medidor e do leitor de medidas. É considerado como conveniente combinar as funções do leitor de medidas e do gerente em uma única entidade de rede;

• medidores: são colocados em pontos de medição estratégicos determinados, em geral, pelo operador da rede. Cada medidor armazena seletivamente as atividades da rede de acordo com a configuração previamente estabelecida. Os resultados processados e armazenados são chamados de “dados de uso”;

• leitor de medidas: é responsável por encaminhar as informações coletadas pelos medidores, tornando-as disponíveis para as aplicações de análise;

• aplicações de análise: são responsáveis por processar as informações advindas dos medidores, no sentido de prover informações e relatórios que serão utilizados como embasamento para a engenharia de rede e propostas de gerenciamento. Abaixo, são citados alguns exemplos de aplicações de análise:

matrizes de fluxos de tráfego: apresenta a taxa total de fluxos para a maioria dos caminhos possíveis na rede;

distribuição do fluxo de tráfego: sumarização das taxas de fluxos sob um determinado período de tempo;

dados utilizados: apresenta o volume de tráfego total enviado e recebido para um host particular.

Em [VIE 04] é destacado que o gerente (também referenciado por coletor) pode recuperar fluxo de dados de vários medidores e, cada medidor, pode ter seus dados recuperados por vários gerentes. O fluxo de tráfego de interesse é definido pelo usuário na forma de regras (Rule Sets). O relacionamento entre os elementos do processo de medição do tráfego de rede é apresentado na Figura 3 .

Figura 3 O relacionamento entre os elementos do processo de medição do tráfego de rede

baseado em fluxos [VIE 04]

Em outubro de 1999, o grupo de trabalho RTFM publicou a RFC 2720. A RFC 2720 descreve e define uma MIB para o controle dos medidores de tráfego, em particular para especificar os fluxos a serem mensurados [BRO 97b]. Desta forma, obtém-se diretamente um

mecanismo eficiente para coleta das informações dos fluxos a partir de um medidor, utilizando o protocolo SNMP.

2.7.2 IP Flow Information Export (IPFIX)

O grupo de trabalho IPFIX, do IETF, surge como uma proposta bastante atual de padronização no formato de exportação de informações de fluxos IP. Atualmente, o grupo de trabalho possui duas RFC´s: Requirements for IP Flow Information Export - RFC 3917 e Evaluation of Candidate Protocols for IP Flow Information Export - RFC 3955, ambas publicadas em outubro de 2004.

Segundo os proponentes desta padronização [PLO 06], existe um número significativo de sistemas que visam à exportação das estatísticas de fluxos, porém estes se diferenciam significativamente, mesmo que alguns adotem mecanismos comuns para o transporte da informação. Tais diferenças dificultam o desenvolvimento de ferramentas genéricas de análise de fluxo. Além disso, existe uma necessidade concreta da indústria de dispositivos de rede (roteadores, por exemplo), assim como na comunidade de pesquisa, por um formato padrão no transporte das estatísticas de fluxos para sistemas externos.

Sob esta perspectiva, um sistema de exportação de informações de fluxos IP inclui um modelo de dados para representação das informações de fluxo e um protocolo para transporte de tais informações. Um “exportador” potencial de informações é tipicamente um roteador ou um dispositivo dedicado a mensurar tráfego IP. Neste sentido, as informações sobre fluxo reportadas, segundo [PLO 06], devem conter:

• atributos derivados do cabeçalho dos pacotes IP, como endereço de origem e destino, protocolo e número de portas;

• os atributos geralmente conhecidos apenas pela entidade “exportadora”, como portas de ingresso e egresso, máscara de rede e subrede, números de sistemas autônomos e, talvez, informações secundárias sob a camada IP.

Neste contexto, o grupo de trabalho possui alguns objetivos específicos, relacionados à padronização que propõem. É interessante demarcar tais objetivos, pois a partir destes torna- se claro o escopo de atuação do IPFIX. São eles:

• definir a noção de um padrão para fluxos IP. A definição de fluxo é, de forma prática, similar a correntemente utilizada em protocolos de exportação de informações de fluxos não-padronizados que tentaram atingir objetivos similares, porém não os documentaram;

• planejar os encondings de dados para suportar fluxos IPv4 e IPv6 unicast e multicast, os quais transpassam um determinado elemento de rede no nível de cabeçalhos de pacote ou em outros níveis de agregação, configuradas pelo administrador da rede;

• considerar a noção de exportação de estatísticas de fluxos baseada em amostragem de pacotes;

• identificar e endereçar os mecanismos de segurança, para que os dados dos fluxos não sejam afetados. Especificamente, determinar a tecnologia de segurança a ser utilizada na exportação da informação;

• especificar o mapeamento de transporte para carregamento das informações de fluxo;

• assegurar que o sistema de exportação seja confiável o suficiente, a ponto de que, no caso de perdas, estas sejam perfeitamente identificadas e reportadas.

Em resumo, o escopo dos trabalhos desenvolvidos pelo IPFIX se limita a identificação dos fluxos e na transferência de dados para uma entidade coletora que seja capaz de interpretar tais informações, conforme expressado na Figura 4 .

Figura 4 Escopo de atuação do IPFIX.

2.8 FERRAMENTAS E TECNOLOGIAS PARA MONITORAMENTO DE TRÁFEGO