View RSS Feed

آرمین رضائی مهر

تجزیه و تحليل داده های BGP مبتنى بر PBGPP

امتیاز
توسط - 2018-09-14 - 11:42 PM (بازدید: 2427)
  
اپراتورهای شبکه بطور فزاينده ای توسط Tools ها و Feature های مختلف بصورت دقيق سعی در تجزیه و تحلیل مسیریابی اینترنتی (internet routing) جهت بهینه سازی فرایندهای جریان های ترافیکی (traffic flow ) در راستای تشخیص حملات مبتنى بر DDOS و prefix hijacking هستند.
بطور نمونه، اپراتورهای IXP معمولاً از روترهای نرم افزاری BIRD یا Quagga بعنوان BGP Server در مسیریابی استفاده می کنند. با این حال توسط ابزارها تجزیه و تحلیل ترافیک به دلیل اجرای فرایند های پردازش داده (Data-processing) و خروجی نتايج ارائه شده تا حدودی دارای محدوديت هستند.
BIRD از BGP Export پشتیبانی نمی کند و MRT صرفا اجازه انتخاب بهترین مسیر با قابليت filtering را می دهد، این مورد تجزیه و تحليل داده ها را با محدودیت مواجه می کند.جهت غلبه بر این نوع محدودیت ها از ابزار PCAP BGP Parser یا pbgpp بمنظور تحلیل داده های BGP استفاده می کنند.
ابزار pbgpp تجزیه و تحليل داده های BGP را اسان تر نموده است. یکی از ابزارهای معروف tcpdump است که بمنظور اشکال زدایی (Debugging) جمع اوری داده و مدیریت شبکه BGP استفاده و کاربرد دارد، مکانیزم کارکرد ان با capture اینترفیس روترهای نرم افزاری و یا Host مورد نظر packet های ورودی و خروجی است که بستگی به پیکربندی local دارد و میتوان capture ترافیک را برای محدود نمودن capture داده های BGP محدود به پورت 179 کرد که فایل تولید شده توسط ابزار tcpdump جهت انالیز داده به عنوان ورودی به pbgpp ارائه می گردد و همچنین می تواند داده را به طور مستقیم از اینترفیس شبکه (Network interface) با استفاده از libPCAP بخواند.
از مزیت های دیگر گزینه های قدرتمند filtering هست، pbgpp به اپراتورهای شبکه اجازه طیف وسیعی (wide range) از فیلترها را برروی لایه های مختلف شبکه از طریق (sec IP, Des IP) می دهد و این امکان را فراهم می کند تا فیلتر ها را صرفا بر اساس فیلدهای BGP نظیر: Message Type, community, Prefix next hop انجام شود.
فیلترها جهت بهبود تجزیه و کارایی عملکرد طی دو مرحله اعمال می شوند،قبل از تجزیه فیلد BGP نیز capture بسته ها صورت می پذيرد، فیلترها بر اساس فیلد هدر بسته ها ( packet header field) شامل (IP, MAC, Source, Destination) اعمال می شوند.بنابراین تمام بسته ها تجزیه و تحليل نخواهند شد و صرفا بسته ها مبتنى بر فیلترها capture و داده کاوی می شوند.
با استفاده از نسخه فعلی 0.2.10 bpgpp یا PCAP BGP Parser امکان قرار دادن فیلترها به شرح زیر وجود دارد:
- PCAP packet Timestamp
- Message Size
- (Message Type ( OPEN, UPDATE, KEEPALIVE, etc
- Message Subtype
-( Prefix ( NLRI
- Withdrawn Route
- Next Hop
- ASN in AS_ PATH attribute
- Source and destination IP address
- Source and destination MAC address
اگر از فیلترهای چندگانه ( multiple) یکبار استفاده شود ان ها با یک منطق AND مرتبط می شوند، اگر از یک فیلتر بیش از یکبار استفاده شود ان ها با منطق OR مرتبط می شوند.
cat /path/to/file.pcap | pbgpp --filter-source-ip 192.168.150.150 --filter-message-type UPDATE --filter-message-type KEEPALIVE -

پس از استفاده از فیلترهای دلخواه خروجی داده ها در فرمت های مختلف نظیر JSON مبتنى بر line-based نمايش داده می شوند.
example-plot-bgp-message-size.png
دسته ها
عمومی

نظر

  1. شناسه تصویری EVERAL
    راضی بودم از مطلب ممنونم
    خواهش می‌کنم ممنون از لطف شما