Exportér síťových toků s podporou aplikačních informací

Abstract

Monitorování síťového provozu je nezbytnou součástí správy dnešních počítačových sítí. Získané informace slouží nejen k zajištění základní funkcionality a včasné detekování potenciálních problémů, ale především k bezpečnostní analýze. Z důvodu soukromí uživatelů a snížení objemu sbíraných dat je dnes standardem agregace provozu do tzv. síťových toků. Tato práce se zabývá otázkou exportu síťových toků s rozšířením o informace z aplikačních vrstev. Výsledkem práce je rozšíření a vylepšení open source exportéru toků z projektu NEMEA. Tento softwarový modul byl po optimalizacích původního kódu úspěšně portován na platformu vestavných zařízení se systémem OpenWrt. Díky tomuto přínosu je možné vytvořit monitorovací sondu i z nevýkonných levných domácích směrovačů a zvýšit tak přehled o provozu na síti včetně detekce škodlivého provozu. Mimo paměťových a výkonnostních optimalizací vnitřních struktur je modul rozšířen o možnost číst pakety ze síťového rozhraní pomocí knihovny libpcap. Vnitřní struktura pro ukládání toků, flow cache, je upravena pro ukládání informací z aplikačních protokolů. Použití tohoto rozšíření je demonstrováno na dvou vytvořených ukázkových parsovacích pluginech pro HTTP a DNS provoz. Exportér je díky této práci schopen exportovat toky ve formátu IPFIX.

Network traffic monitoring is a necessary part of nowadays computer networks administration. Gathered information is not only used to provide basic network functionality and problem detection, but also for security analysis. Due to user privacy and reduction of data volume, approaches based on network flows are used. This work focuses on exporting flow records with application protocol extension. Contribution of this work is a new version of existing open source flow exporter from NEMEA project. This software module was optimized and successfully ported to embedded devices with OpenWrt system. It is possible to create network monitoring probe from low performance cheap home routers and enhance awareness of traffic on network including malicious traffic detection. Besides memory and performance optimizations, the module is extended of capability reading packets from network interface with the libpcap library. Flow cache, that is used to store flow records during the computation, was improved in order to handle application protocol information. The implemented version of the flow exporter contains two new example plugins for parsing HTTP and DNS protocols. In addition, the exporter is now able to export data in the IPFIX format.