La clasificación del tráfico es un proceso automatizado que clasifica el tráfico de la red informática según varios parámetros (por ejemplo, según el número de puerto o el protocolo ) en varias clases de tráfico . [1] Cada clase de tráfico resultante puede tratarse de forma diferente para diferenciar el servicio implicado para el generador o consumidor de datos.
Usos típicos
Los paquetes se clasifican para que el programador de red los procese de manera diferente . Al clasificar un flujo de tráfico usando un protocolo particular, se le puede aplicar una política predeterminada y otros flujos para garantizar una cierta calidad (como con VoIP o el servicio de transmisión de medios [2] ) o para proporcionar una entrega con el mejor esfuerzo. Esto se puede aplicar en el punto de entrada (el punto en el que el tráfico ingresa a la red, generalmente un dispositivo de borde ) con una granularidad que permite que los mecanismos de gestión del tráfico separen el tráfico en flujos individuales y pongan en cola, controlen y den forma a ellos de manera diferente. [3]
Métodos de clasificación
La clasificación se logra por varios medios.
Números de puerto
- Rápido
- De bajo consumo de recursos
- Compatible con muchos dispositivos de red
- No implementa la carga útil de la capa de aplicación, por lo que no compromete la privacidad de los usuarios.
- Útil solo para las aplicaciones y servicios, que utilizan números de puerto fijos
- Fácil de engañar cambiando el número de puerto en el sistema
Inspección profunda de paquetes
- Inspecciona la carga útil real del paquete
- Detecta las aplicaciones y servicios independientemente del número de puerto en el que operan
- Lento
- Requiere mucha potencia de procesamiento
- Las firmas deben mantenerse actualizadas, ya que las aplicaciones cambian con mucha frecuencia.
- El cifrado hace que este método sea imposible en muchos casos
Hacer coincidir los patrones de bits de los datos con los de los protocolos conocidos es una técnica sencilla y ampliamente utilizada. Un ejemplo para que coincida con el protocolo BitTorrent handshaking fase sería una comprobación para ver si un paquete se inició con carácter 19 que luego fue seguido de la cadena 19-byte 'protocolo BitTorrent'. [4]
Una comparación completa de varios clasificadores de tráfico de red, que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR), se muestra en la Comparación independiente de herramientas DPI populares para clasificación de tráfico. . [5]
Clasificación estadística
- Se basa en el análisis estadístico de atributos como frecuencias de bytes, tamaños de paquetes y tiempos entre llegadas de paquetes. [6]
- Muy a menudo utiliza algoritmos de aprendizaje automático, como K-Means, filtro de Bayes ingenuo, C4.5, C5.0, J48 o Random Forest.
- Técnica rápida (en comparación con la clasificación de inspección profunda de paquetes )
- Puede detectar la clase de aplicaciones aún desconocidas.
Clasificación de tráfico cifrado
Hoy en día el tráfico es más complejo, y más seguro, para ello necesitamos un método para clasificar el tráfico encriptado de una forma diferente al modo clásico (basado en el análisis de tráfico IP por sondas en el núcleo de la red). Una forma de lograr esto es mediante el uso de descriptores de tráfico de los rastros de conexión en la interfaz de radio para realizar la clasificación. [7]
Este mismo problema con la clasificación del tráfico también está presente en el tráfico multimedia. En este caso, se ha comprobado que el uso de métodos basados en redes neuronales, máquinas de soporte de vectores, estadísticas y los vecinos más cercanos es una excelente manera de hacer esta clasificación de tráfico, pero en algunos casos específicos algunos métodos son mejores que otros, por ejemplo: Las redes neuronales funcionan mejor cuando se tiene en cuenta todo el conjunto de observaciones). [8]
Implementación
Tanto el programador de red de Linux como Netfilter contienen lógica para identificar y marcar o clasificar paquetes de red.
Clases de tráfico típicas
Los operadores a menudo distinguen tres tipos generales de tráfico de red: sensible, de mejor esfuerzo y no deseado. [ cita requerida ]
Tráfico sensible
El tráfico sensible es el tráfico que el operador espera entregar a tiempo. Esto incluye VoIP , juegos en línea , videoconferencias y navegación web . Los esquemas de gestión del tráfico se adaptan típicamente de tal manera que se garantiza la calidad del servicio de estos usos seleccionados, o al menos se prioriza sobre otras clases de tráfico. Esto se puede lograr sin dar forma a esta clase de tráfico o priorizando el tráfico sensible por encima de otras clases.
Tráfico de mejor esfuerzo
El tráfico de mejor esfuerzo son todos los demás tipos de tráfico no perjudicial. Este es el tráfico que el ISP considera que no es sensible a las métricas de calidad de servicio (jitter, pérdida de paquetes, latencia). Un ejemplo típico serían las aplicaciones de correo electrónico y de igual a igual . [9] Los esquemas de gestión del tráfico generalmente se adaptan para que el tráfico de mejor esfuerzo obtenga lo que queda después del tráfico sensible.
Tráfico indeseado
Esta categoría generalmente se limita a la entrega de spam y tráfico creado por gusanos , botnets y otros ataques maliciosos. En algunas redes, esta definición puede incluir tráfico como VoIP no local (por ejemplo, Skype ) o servicios de transmisión de video para proteger el mercado de los servicios "internos" del mismo tipo. En estos casos, los mecanismos de clasificación de tráfico identifican este tráfico, lo que permite al operador de red bloquear este tráfico por completo o dificultar gravemente su funcionamiento.
Compartición de archivos
Las aplicaciones de intercambio de archivos de igual a igual a menudo están diseñadas para utilizar todo el ancho de banda disponible que afecta a las aplicaciones sensibles a la calidad del servicio (como los juegos en línea ) que utilizan cantidades comparativamente pequeñas de ancho de banda. Los programas P2P también pueden sufrir deficiencias en la estrategia de descarga, es decir, descargar archivos de cualquier par disponible, independientemente del costo del enlace. Las aplicaciones utilizan ICMP y tráfico HTTP regular para descubrir servidores y descargar directorios de archivos disponibles.
En 2002, Sandvine Incorporated determinó, mediante análisis de tráfico, que el tráfico P2P representaba hasta el 60% del tráfico en la mayoría de las redes. [10] Esto muestra, en contraste con estudios y pronósticos previos, que el P2P se ha convertido en la corriente principal.
Los protocolos P2P pueden y a menudo están diseñados para que los paquetes resultantes sean más difíciles de identificar (para evitar que los clasificadores de tráfico los detecten) y con suficiente solidez para que no dependan de propiedades específicas de QoS en la red (entrega de paquetes en orden, fluctuación, etc., por lo general, esto se logra mediante un mayor almacenamiento en búfer y un transporte confiable, con el usuario experimentando un mayor tiempo de descarga como resultado). El protocolo BitTorrent encriptado se basa, por ejemplo, en la ofuscación y tamaños de paquetes aleatorios para evitar la identificación. [11] El tráfico de intercambio de archivos se puede clasificar adecuadamente como tráfico de mejor esfuerzo. En las horas pico, cuando el tráfico sensible está en su apogeo, las velocidades de descarga disminuirán. Sin embargo, dado que las descargas P2P son a menudo actividades en segundo plano, afecta poco a la experiencia del suscriptor, siempre que las velocidades de descarga aumenten a su máximo potencial cuando todos los demás suscriptores cuelguen sus teléfonos VoIP. Las excepciones son los servicios de transmisión de video P2P VoIP y P2P en tiempo real que necesitan QoS permanente y usan una sobrecarga excesiva [ cita requerida ] y tráfico de paridad para hacer cumplir esto en la medida de lo posible.
Algunas aplicaciones P2P [12] pueden configurarse para actuar como fuentes autolimitadas , sirviendo como un modelador de tráfico configurado según la especificación de tráfico del usuario (en contraposición a la del operador de red).
Algunos proveedores abogan por la gestión de clientes en lugar de protocolos específicos, especialmente para los ISP. Al administrar por cliente (es decir, por cliente), si el cliente elige usar su parte justa del ancho de banda ejecutando aplicaciones P2P, puede hacerlo, pero si su aplicación es abusiva, solo obstruyen su propio ancho de banda y no pueden afectar el ancho de banda utilizado por otros clientes.
Referencias
- ^ IETF RFC 2475 "Una arquitectura para servicios diferenciados" sección 2.3.1 -Definición de clasificador IETF .
- ^ SIN 450 Edición 1.2 Mayo de 2007 Nota informativa de proveedores para la red BT BT Wholesale - BT IPstream Advanced Services - Control de velocidad del usuario final y calidad de servicio Downstream - Descripción del servicio
- ^ Ferguson P., Huston G., Calidad de servicio: entrega de QoS en Internet y en redes corporativas, John Wiley & Sons, Inc., 1998. ISBN 0-471-24358-2 .
- ^ Protocolo BitTorrent
- ^ Tomasz Bujlow; Valentín Carela-Español; Pere Barlet-Ros. "Comparación independiente de herramientas DPI populares para la clasificación del tráfico" . En prensa (Redes informáticas) . Consultado el 10 de noviembre de 2014 .
- ^ E. Hjelmvik y W. John, "Identificación del protocolo estadístico con SPID: resultados preliminares" , en Actas de SNCNW, 2009
- ^ Gijón, Carolina. "Clasificación de tráfico cifrado basada en aprendizaje no supervisado en redes de acceso de radio celular" . IEEE .
- ^ Cánovas, Alejandro. "Clasificación de tráfico de flujo de datos multimedia utilizando modelos inteligentes basados en patrones de tráfico" . IEEE .
- ^ El problema del spam ha llevado a algunos operadores de red a implementar Traffic shaping en el tráfico SMTP . Ver Tarpit (redes)
- ^ Leydon, John. "P2P inunda las redes de banda ancha" . El artículo de Register que se refiere al informe de Sandvine: el acceso al informe real requiere el registro en Sandvine
- ^ Identificación del protocolo Message Stream Encryption (MSE)
- ^ "Optimizar las velocidades de uTorrent Weblog Jatex" . Ejemplo de limitación del tráfico P2P del lado del cliente