Router Forensics: Challenging NetFlow Accuracy

Jung, Christian (2009) Router Forensics: Challenging NetFlow Accuracy. Diploma thesis, HSR Hochschule für Technik Rapperswil.

[thumbnail of Projektdokumentation_RouterForensics_final.pdf]
Preview
PDF
Projektdokumentation_RouterForensics_final.pdf - Supplemental Material

Download (7MB) | Preview
  • PDF
    sian-software.pdf - Supplemental Material

Abstract

Bei J-Flow von Juniper Networks hat eine Arbeit der UPMC Universität in Paris (Université Pierre et Marie Curie) nachgewiesen, dass bei Langzeitmessungen Lücken in der Auswertung der J-Flow‘s entstehen. Diese Diplom- / Bachelorarbeit untersucht nun die Genauigkeit von Cisco‘s NetFlow gegenüber dem realen Datenverkehr, ob auch bei dieser Technologie die gleichen oder andere Phänomene auftreten. Das NetFlow-Verhalten wird auf einem Cisco Router 2621 getestet. Dabei wird untersucht wie der Router reagiert wenn die Ressourcen, also die CPU oder die Bandbreite, knapp werden. Es wird ermittelt was passiert wenn die Flow-Table gefüllt wird und ob dieses Verhalten der Definition von Cisco entspricht. In einem weiteren Test werden die Zeitstempel analysiert. Dabei wird errechnet, ob die Zeiten in NetFlow eine Abweichung zum realen Datenstrom beinhalten. Die Computer-Uhren werden initial mit NTP synchronisiert und bei einem zusätzlichen Testaufbau mit einer speziellen Karte ausgestattet, welche es erlaubt, die Messung sehr exakt durchzuführen (auf 3-5 Mikrosekunden genau). Ein Resultat war, dass der Router das NetFlow-Paket verwirft, sobald das entsprechende Interface ausgelastet ist, auf welchem der Router das NetFlow-Paket senden sollte. Hingegen behält der Router die NetFlow’s wenn die CPU ausgelastet ist, bis wieder Kapazität der CPU vorhanden ist und die NetFlow’s in einem oder mehreren NetFlow-Paketen versendet werden können. Die NetFlow’s werden frühzeitig exportiert, respektiv abgeschlossen, sobald der Platz in der Flow-Table zu Ende geht. Das gemessene Verhalten entspricht nicht der Cisco-Definition. In der Gesamtdauer aller Flows ergeben sich deswegen Abweichungen zum realen Datenverkehr. Bei den Timestamps wird aufgezeigt, dass NetFlow für alle TCP-Verbindungen die Dauer im Mittelwert um 0.993 Sekunden länger anzeigt, als die realen Verbindungen bestehen.

Item Type: Thesis (Diploma)
Subjects: Topics > Communication Systems
Technologies > Protocols > SNMP
Technologies > Protocols > NetFlow
Area of Application > Web based
Technologies > Network > Router
Technologies > Security > Firewall
Brands > Cisco
Technologies > Communication
Divisions: Bachelor of Science FHO in Informatik > Diploma Thesis
Depositing User: OST Deposit User
Contributors:
Contribution
Name
Email
Thesis advisor
Glatz, Eduard
UNSPECIFIED
Expert
Pajetta, Roberto
UNSPECIFIED
Date Deposited: 24 Jul 2012 07:56
Last Modified: 24 Jul 2012 09:35
URI: https://eprints.ost.ch/id/eprint/34

Actions (login required)

View Item
View Item