Bogdan Korol

Program monitoruj±cy sieæ komputerow±

Praca magisterska z informatyki
Promotor: dr Janina Mincer-Daszkiewicz
Warszawa, luty 1999

STRUKTURA PRACY

W ramach swojej pracy magisterskiej zaprojektowa³em i zaimplementowa³em program s³u¿±cy do monitorowania sieci komputerowych. System monitorowania sieci umo¿liwia miêdzy innymi ¶ledzenie i analizowanie ruchu pakietów w sieci komputerowej. Pozwala na znajdowanie b³êdów w istniej±cej konfiguracji sieci i jej sk³adowych. Jest przede wszystkim bardzo u¿ytecznym narzêdziem do rozwijania i pielêgnacji sieciowego oprogramowania. Niniejsz± pracê podzieli³em na trzy rozdzia³y. Rozdzia³ pierwszy jest po¶wiêcony narzêdziom do monitorowania sieci komputerowych. W rozdziale drugim opisujê mechanizm Packet Filter (w skrócie: PF) firmy DEC. S³u¿y on do wy³apywania i rozpoznawania pakietów sieciowych. Jego kod rezyduje w j±drze systemu operacyjnego. PF pozwala programom u¿ytkowym na bezpo¶redni dostêp do sieci z pominiêciem po¶rednictwa j±dra. Trzeci rozdzia³ zawiera opis systemu do monitorowania sieci.

1. SYSTEMY DO MONITOROWANIA I ZARZ¡DZANIA SIECI¡

1.1 WSTÊP

W pó¼nych latach siedemdziesi±tych sieci komputerowe zaczê³y siê rozrastaæ z prostych, ma³ych i odizolowanych sieci komputerowych do du¿ych sieci, które stopniowo zaczêto ze sob± ³±czyæ. Te du¿e sieci nazwano „internetem", a ich rozmiar rós³ w tempie wyk³adniczym. Zaczê³y powstawaæ narzêdzia i systemy pozwalaj±ce monitorowaæ i zarz±dzaæ sieci±. Pozwalaj± one lepiej zrozumieæ dzia³anie protoko³ów sieciowych, wykryæ b³êdy w konfiguracji sieci, czy tablicach trasowania. Monitorowanie sieci mo¿na podzieliæ na pasywne i aktywne. Monitorowanie pasywne polega na obserwowaniu sieci i obiektów sieciowych bez bezpo¶redniego oddzia³ywania na ich stan. Monitorowanie aktywne, zwane zarz±dzaniem, pozwala te¿ zmieniaæ stan obiektów monitorowanych, oddzia³ywaæ na nie bezpo¶rednio.

1.2 MONITOROWANIE PASYWNE

Monitorowanie pasywne dzieli siê na obrazuj±ce w czasie rzeczywistym komunikacjê sieciow± i na retrospektywne, korzystaj±ce z wcze¶niej zgromadzonych danych. Programy monitoruj±ce w czasie rzeczywistym ruch pakietów sieciowych wymagaj± dostêpu z poziomu u¿ytkownika do warstwy sieci. Potrzebuj± wiêc wydajnego mechanizmu wy³apywania pakietów sieciowych. Jednym z bardziej znanych mechanizmów jest filtr pakietów, dla którego istnieje wiele implementacji, miêdzy innymi NIT (ang. Network Interface Tap) w SunOS, Snoop w IRIX i PF w Ultrix i Digital Unix. Przyk³adami aplikacji do monitorowania sieci w czasie rzeczywistym s± „etherman", „interman" i „packview", a tak¿e zaimplementowany przeze mnie program. Dzia³anie tego typu programów mo¿na w skrócie opisaæ nastêpuj±co. Przy u¿yciu PF lub innego mechanizmu dostêpu do sieci wy³apuj± one pakiety sieciowe, które poddaj± analizie. Gromadzone w ten sposób dane statystyczne wy¶wietla siê na bie¿±co w postaci graficznej. Oprogramowanie monitoruj±ce retrospektywnie korzysta z danych zgromadzonych przez siebie lub inne programy. Z takich danych korzystaj± miêdzy innymi programy wizualizuj±ce sieæ. Wizualizacja jest procesem, w wyniku którego buduje siê model istniej±cej sieci i obrazuje w zrozumia³ej i czytelnej formie. Prezentowane informacje mog± np. opisywaæ topologiê sieci. Przyk³adem takiego programu jest „Tkined".

1.3 ZARZ¡DZANIE SIECI¡

Miêdzynarodowa Organizacja Standaryzacyjna zdefiniowa³a piêæ kluczowych obszarów zarz±dzania sieci±: zarz±dzanie b³êdami, bezpieczeñstwem, wydajno¶ci±, konfiguracj± i kontami. Zarz±dzanie sieci± mo¿na zdefiniowaæ jako proces kompleksowego kontrolowania danych sieci w celu zwiêkszenia jej wydajno¶ci i produkcyjno¶ci. Jednym z takich ca³o¶ciowych komercyjnych systemów do zarz±dzania sieci± jest NETVIEW firmy IBM. Bazuje on na protokole SNMP, który zaprojektowano w celu umo¿liwienia zdalnego zarz±dzania elementami sieci TCP/IP i monitorowania zdarzeñ sieciowych. SNMP jest oparty na UDP (ang. User Datagram Protocol). NETVIEW, jak i ka¿de oprogramowanie wykorzystuj±ce SNMP, pracuje w modelu klient - serwer. Sk³ada siê ono z klienta, zwanego zarz±dc±, uruchamianego zazwyczaj w wê¼le sieciowym, z którego chcemy nadzorowaæ sieæ, oraz z serwera lub serwerów, zwanych agentami, umiejscowionych na ró¿nych urz±dzeniach sieciowych. Zarz±dca komunikuje siê z agentami przy u¿yciu poleceñ odczytu/zapisu. Poprzez odczytywanie uzyskuje dostêp do posiadanych przez agenta informacji a poprzez zapisywanie steruje prac± urz±dzenia sieciowego, na którym dzia³a agent. Informacja zarz±dzana przez agenta ma strukturê drzewiast±, której warto¶ciami s± zmienne. Definiuje j± standard MIB (ang. Management Information Base). Okre¶la on miêdzy innymi, które zmienne musz± byæ udostêpniane przez ka¿dego agenta SNMP. Wierzcho³kiem tego drzewa jest najogólniejsza informacja dostêpna o sieci. Ka¿da z ga³êzi daje bardziej szczegó³owe dane o specyficznym obszarze sieci. Przyk³adowo, urz±dzenia mog± byæ rodzicami w takim drzewie, ich dzieci urz±dzeniami równoleg³ymi i szeregowymi. Warto¶ciami dla nich mog± byæ odpowiednio cyfry 6, 2, 4 odnosz±ce siê do liczby przy³±czonych urz±dzeñ (4 równoleg³e + 2 szeregowe = 6 urz±dzeñ). Do ka¿dego wêz³a w strukturze drzewiastej MIB mo¿na odwo³ywaæ siê jak do zmiennej (w powy¿szym przyk³adzie urz±dzenia, urz±dzenia równoleg³e i urz±dzenia szeregowe s± zmiennymi o warto¶ciach odpowiednio 6, 2, 4). G³ówne sieciowe drzewo MIB jest okre¶lane jako „Internet". Jest tylko jedno drzewo MIB zdefiniowane przez organizacjê ISO, chocia¿ czê¶ciami tego drzewa s± sekcje przeznaczone na rozszerzenia. Niektóre firmy, takie jak IBM, HP, SUN dostarczaj± w³asne rozszerzone struktury zmiennych MIB. Nazwy tych zmiennych mog± siê ró¿niæ, ale mimo ¿e pochodz± od ró¿nych dostawców, przenoszona przez nie informacja jest generalnie ta sama.

2. PACKET FILTER

2.1 WSTÊP

PF s³u¿y do wysy³ania i odbierania pakietów sieciowych. Odbieranie polega na „podgl±daniu" pakietów p³yn±cych sieci± i przekazywaniu ka¿dego, który spe³nia okre¶lone kryteria, do procesu docelowego. Mo¿na to nazwaæ demultipleksacj±, filtrowaniem czy te¿ rozpoznawaniem pakietów sieciowych, a PF - demultiplekserem pakietów sieciowych. Mechanizm ten pozwala programom u¿ytkowym na bezpo¶redni dostêp do sieci z pominiêciem po¶rednictwa j±dra. PF to nazwa produktu firmy DEC. Jego implementacje wystêpuj± miêdzy innymi w systemie operacyjnym IRIX, Ultrix, Digital Unix i SunOS. Kod PF rezyduje w j±drze systemu operacyjnego. PF daje wygodn± mo¿liwo¶æ tworzenia protoko³ów sieciowych, których obs³uga ma miejsce poza j±drem systemu operacyjnego. Zrealizowano wiele implementacji protoko³ów bazuj±cych na PF i przeprowadzono testy wydajno¶ciowe porównuj±ce je do analogicznych implementacji rezyduj±cych w j±drze systemu operacyjnego.

2.2 MOTYWACJE

Wraz z rozwojem sieci komputerowych i technologii informatycznych oprogramowanie realizuj±ce protoko³y sieciowe staje siê coraz wa¿niejsze i bardziej rozbudowane. Standardem jest wystêpowanie kodu implementuj±cego protoko³y sieciowe w j±drze systemu operacyjnego. I tak na przyk³ad w 4.3 BSD UNIX 30% ¼róde³ j±dra stanowi implementacja protoko³ów sieciowych, 32% w V-system. Rozwój takiego sieciowego oprogramowania jest jednak wolny i czêsto opó¼nia ukazanie siê nowej wersji systemu operacyjnego. Znajdowanie b³êdów trwa jeszcze d³ugo po oddaniu systemu do produkcji. Przeci±gaj±ce siê testowanie produkcyjnego kodu nie jest jedynie rezultatem b³êdów w oryginalnym kodzie. Wp³ywa na nie równie¿ dynamiczny rozwój protoko³ów sieciowych i ¶rodowiska sieciowego. Powoduje to du¿e trudno¶ci w pisaniu, poprawianiu i znajdowaniu b³êdów, gdy¿ po znalezieniu b³êdu, j±dro musi byæ rekompilowane, a system na nowo uruchamiany; b³êdy w kodzie j±dra najczê¶ciej s± przyczyn± awarii systemu; funkcjonalnie niezale¿ne modu³y j±dra komunikuj± siê przez zasoby dzielone; uzdatnianie (ang. debugging) dodaje pracy programistom systemowym, wyrafinowane narzêdzia do testowania i monitorowania nie zawsze s± dostêpne przy tworzeniu kodu j±dra; ¼ród³a kodu j±dra nie zawsze s± dostêpne. Jednym z rozwi±zañ alternatywnych pozbawionym powy¿szych wad jest wydzielenie poza j±dro kodu demultipleksera i obs³ugi protoko³u sieciowego. Jest ono jednak kosztowne, bo dla ka¿dego otrzymanego pakietu system musi prze³±czyæ siê do procesu demultipleksera, potem zarejestrowaæ proces przetwarzania pakietu i znowu prze³±czyæ siê po uprzednim dostarczeniu przetworzonego pakietu do procesu odbieraj±cego

2.3 INTERFEJS U¯YTKOWNIKA

Komunikacja programu u¿ytkownika z PF wystêpuje g³ównie przy wysy³aniu i odbieraniu pakietu. Wysy³anie pakietu do sieci jest proste. U¿ytkownik otwiera do pisania najpierw deskryptor plików skojarzony z PF poprzez wywo³anie funkcji systemowej „pfopen". Potem dostarcza do PF bufor zawieraj±cy kompletny pakiet poprzez wywo³anie funkcji systemowej „write" na wcze¶niej otwartym deskryptorze plików. Je¶li operacja ta nie koñczy siê b³êdem, to powoduje wstawienie pakietu na koniec kolejki pakietów czekaj±cych na transmisjê. Brak odpowiedzi sygnalizuje b³±d w transmisji. Odbieranie pakietu z sieci jest bardziej z³o¿one. PF zarz±dza pewn± liczb± portów, z których ka¿dy mo¿e byæ otwarty przez program u¿ytkownika jako „znakowy plik specjalny". Z ka¿dym takim portem jest skojarzony filtr decyduj±cy, które pakiety nale¿y zaakceptowaæ, a które odrzuciæ. Je¿eli filtr akceptuje pakiet, to jest on gotowy do odebrania w porcie skojarzonym z danym filtrem. Filtr konfiguruje siê w programie u¿ytkownika. £±czenie filtru z portem odbywa siê poprzez wywo³anie funkcji systemowej „ioctl". Gdy program wywo³a funkcjê systemow± „read" na deskryptorze plików odnosz±cym siê do portu PF, to otrzyma pierwszy pakiet z kolejki skojarzonej z tym portem. Program u¿ytkownika ma te¿ mo¿liwo¶æ wsadowego odbierania pakietów. Wówczas otrzymuje wszystkie oczekuj±ce w kolejce pakiety, co mo¿e mieæ spore znaczenie w przypadku du¿ej komunikacji sieciowej, gdy¿ minimalizuje liczbê wywo³añ funkcji systemowej „read".

2.4 PODSUMOWNANIE

W systemach, gdzie koszt zmiany kontekstu jest du¿y, wydajno¶æ protoko³ów sieciowych poza j±drem opartych na PF jest akceptowalna. Wtedy znacznie upraszcza siê proces ich tworzenia i implementacji. Jednak w wiêkszo¶ci systemów, ze wzglêdu na wydajno¶æ, standardem jest realizacja stosu protoko³ów sieciowych w j±drze systemu operacyjnego. Zdarzaj± siê implementacje niektórych protoko³ów oparte na PF. Z jednej strony odci±¿aj± j±dro od obs³ugi tych protoko³ów. Zwiêksza siê wówczas efektywno¶æ pracy j±dra. Z drugiej strony wysoka wydajno¶æ takiej implementacji nie zawsze jest najwa¿niejsza. Szczególnie wtedy, gdy te protoko³y nie generuj± czêstego ruchu w sieci. PF pozwala wiêc programom u¿ytkowym przede wszystkim na bezpo¶redni dostêp do sieci. Jest ³atwy w u¿yciu i oferuje przyzwoit± wydajno¶æ. Dlatego wykorzystujê go w swoim programie do filtrowania wszystkich pakietów IP.

3. OPIS PROGRAMU DO MONITOROWANIA SIECI¡

3.1 WSTÊP

W zale¿no¶ci od implementacji monitor sieciowy mo¿e spe³niaæ mniej lub bardziej z³o¿one funkcje. Je¶li monitoruje siê niewielk± sieæ lokaln±, to interesuj±ce s± bardziej szczegó³owe informacje, np. dlaczego dwa wêz³y nie mog± siê porozumieæ przy u¿yciu danego protoko³u, który wêze³ generuje najwiêkszy ruch w sieci, jakie s± dominuj±ce protoko³y. Gdy monitoruje siê du¿± sieæ komputerow±, to zbyt szczegó³owe dane maj± mniejsze znaczenie. Istotniejsze jest wówczas, jak wygl±da komunikacja miêdzy spójnymi obszarami du¿ej sieci. Dziêki takiemu systemowi mo¿na w porê otrzymaæ informacjê o tym, ¿e który¶ z ruterów nie dzia³a, ¿e opisane tablice trasowania w naszej sieci nie s± optymalne, co jest przyczyn± nierównomiernego roz³o¿enia ruchu w sieci. Taki system monitorowania jest najczê¶ciej sk³adow± lub systemem wspomagaj±cym dla wiêkszego systemu do zarz±dzania sieci± komputerow±. System monitorowania sieci± komputerow± sk³ada siê zazwyczaj z pewnej grupy procesów (zwanych agentami) zbieraj±cych informacje z sieci i procesu klienta (zarz±dcy) wy¶wietlaj±cego dane odebrane od agentów.

3.2 KOMUNIKACJA MIÊDZY AGENTEM A KLIENTEM

Baz± dla systemu monitorowania jest sieæ komputerowa, która mo¿e byæ niewielk± sieci± lokaln± lub te¿ nawet wielk± sieci± korporacyjn± obejmuj±c± fizycznie odleg³e od siebie obszary. Sieæ taka korzysta zazwyczaj z protoko³ów z rodziny TCP/IP. Do komunikacji miêdzy klientem a agentem s³u¿y najczê¶ciej protokó³ SNMP lub specjalnie do tego celu zaprojektowany protokó³ wy¿szego poziomu, po³o¿ony nad warstw± protoko³ów TCP/UDP. Za jego pomoc±, po nawi±zaniu po³±czenia, od procesu agenta do klienta s± przesy³ane pewne informacje kontrolne, czy te¿ struktury danych bêd±ce no¶nikiem wszelkich informacji o pakietach przechwyconych przez agenta. Do komunikacji miêdzy klientem a agentem zaprojektowa³em w³asny protokó³ po³o¿ony nad warstw± transportow±. Co sekundê dane o pakietach odebranych przez agenta s± przekazywane do klienta. Zawieraj± one informacje o liczbie pakietów odebranych w ci±gu ostatniej sekundy i ich sumarycznych rozmiarach z podzia³em na protoko³y IP, TCP, UDP i ICMP. Program klienta wykorzystuje je do tworzenia wykresów obrazuj±cych aktywno¶æ pakietów sieciowych.

3.3 AGENT

Agent jest procesem uruchamianym w wê¼le sieciowym. Najlepiej uruchomiæ agenta na jednym z interfejsów sieciowych rutera, czyli wêz³a sieciowego odpowiedzialnego za kierowanie ruchem pakietów w sieciach, które ³±czy. W celu ¶ledzenia ruchu sieciowego we wszystkich sieciach po³±czonych z danym ruterem uruchamia siê odpowiedni± liczbê procesów agenta. Obszarem zainteresowania agenta mo¿e byæ wszelki ruch wystêpuj±cy w sieci lokalnej, do której przy³±czony jest system komputerowy. Interfejs sieciowy zwykle odbiera tylko te pakiety, które s± przeznaczone dla niego, tzn. albo jest ich adresatem, albo s± to pakiety wysy³ane w trybie rozg³oszeniowym. By³oby to niewystarczaj±ce, gdy¿ system monitoruj±cy powinien umieæ ¶ledziæ ca³y ruch w sieci. Na szczê¶cie w sieciach lokalnych, takich jak Ethernet czy Token Ring, ka¿dy wys³any pakiet mo¿e byæ odebrany przez ka¿dy wêze³ w danej sieci. Wystarczy tylko, by karta sieciowa takiego wêz³a nie ignorowa³a pakietów nie przeznaczonych dla niej. Tak± kartê sieciow± mo¿na programowo prze³±czyæ na tryb pracy, w którym bêdzie odbiera³a wszystkie pakiety. W wiêkszo¶ci systemów operacyjnych proces agenta musi mieæ odpowiednie uprawnienia w celu przestawienia trybu pracy karty, np. w systemie UNIX proces prze³±czaj±cy kartê w powy¿szy tryb musi byæ wykonany z prawami nadzorcy. Agent mego systemu monitoruj±cego jest napisany w jêzyku C. Mo¿na go uruchomiæ na dowolnym systemie operacyjnym Unix, na którym zainstalowano mechanizm PF.

3.4 KLIENT

Klient jest procesem, który komunikuje siê z agentem w celu otrzymywania danych. Dane te mo¿e jednocze¶nie wy¶wietlaæ w postaci graficznej. ¦rodowiskiem pracy klienta mo¿e byæ np. dowolny system okienkowy taki jak X Windows, Windows 95, Windows NT, OS/2 czy stacja sieciowa. Klient mo¿e te¿ sterowaæ prac± agentów, np. wysy³aj±c do nich ¿±dania przekazania mu zebranych ¶ladów pakietów czy te¿ ¶ledzenia pakietów o zadanej specyfikacji. Klient mego systemu monitoruj±cego jest napisany w ca³o¶ci w jêzyku Java. Mo¿na go uruchomiæ na dowolnej stacji graficznej, na której zainstalowano pakiet JDK w wersji co najmniej 1.1.1 lub inne ¶rodowisko Javy z przegl±dark± do apletów Java (program Netscape pocz±wszy od wersji 2.0 jest wystarczaj±cy). Po uruchomieniu programu klienta wy¶wietla siê okno z diagramem, na którym mog± rysowaæ siê wykresy dla protoko³ów IP, TCP, UDP i ICMP (domy¶lnie rysuje siê tylko jeden wykres dla protoko³u IP). Pokazuj± one (dla poszczególnych protoko³ów) w kilobajtach ilo¶æ danych odebranych z sieci przez program agenta w danej sekundzie. Wykresy uaktualniaj± siê co sekundê wraz z otrzymywaniem nowych informacji od programu agenta. Wówczas wylicza siê po³o¿enie punktu na diagramie dla ka¿dego protoko³u. Rysowanie wykresu odbywa siê poprzez ³±czeniem odcinkiem takiego punktu z naniesionym na wykres punktem sekundê wcze¶niej. Mo¿na uaktywniæ dodatkowe okno z diagramem, na którym bêd± siê rysowaæ analogiczne wykresy pokazuj±ce (dla poszczególnych protoko³ów) ilo¶æ pakietów odebranych z sieci przez program agenta w danej sekundzie. Dla obu diagramów istnieje mo¿liwo¶æ wyboru wy¶wietlanych wykresów a tak¿e zmiany zarówno w pionie, jak i w poziomie szczegó³owo¶ci wy¶wietlanych danych.

3.5 PROPOZYCJE ROZSZERZEÑ

Klient jest programem wizualizuj±cym odbierane dane. Nie uczestniczy jednak w ich powstawaniu. Mo¿na do niego dodaæ elementy interakcji z u¿ytkownikiem, które pozwol± tworzyæ nowe filtry. Taki filtr móg³by nastêpnie na ¿±danie klienta zostaæ zainstalowany przez program agenta. W ten sposób u¿ytkownik mia³by dostêp do danych zebranych przez agenta z wielu zainstalowanych filtrów. Program klienta móg³by równie¿ wysy³aæ do agenta inne ¿±dania, np. zbierania ¶ladów pakietów sieciowych i przesy³ania ich do klienta - klient sta³by siê wówczas programem steruj±cym prac± agenta. Nowe w³a¶ciwo¶ci klienta wymaga³yby zmian agenta, klienta i protoko³u komunikacyjnego. Po stronie agenta nie by³oby ich zbyt wiele, gdy¿ np. agent potrafi ju¿ instalowaæ filtry. Wiêksze zmiany dotyczy³yby samego protoko³u komunikacyjnego i jego interfejsów od strony agenta i klienta. Wreszcie protoko³em komunikacyjnym, tak jak w wiêkszo¶ci systemów komercyjnych tego typu, móg³by byæ SNMP. Pozwoli³oby to klientowi na dostêp do informacji pochodz±cej od innych agentów, np. wyspecjalizowanych urz±dzeñ sieciowych takich jak rutery, na których powszechne sta³o siê instalowanie agentów SNMP z w³asn±, zgodn± ze standardem struktur± MIB. Dlatego te¿ mo¿liwe jest zdalne sterowanie nimi przy u¿yciu protoko³u SNMP. Agent SNMP mo¿e przekazywaæ informacje o stanie struktury MIB przy u¿yciu protoko³u SNMP autoryzowanym zarz±dcom SNMP. Taki zarz±dca ma te¿ mo¿liwo¶æ sterowania prac± agenta. Standardowe obiekty MIB nie dostarczaj± jednak zbyt wielu statystyk dla protoko³ów. To rozwi±zanie, choæ bardziej standardowe, by³oby mniej elastyczne ni¿ zastosowanie agenta wykorzystuj±cego PF, gdy¿ taki agent ma dostêp do wszelkich informacji o pakietach p³yn±cych sieci± i o ich budowie.

Bogdan.Korol@mimuw.edu.pl