Моделирование потоков данных в сети на основе генерации преопределенных запросов

В рамках OpNet Modeller формируются запросы, воспроизводящие работу маршрутизаторов, переключателей, сервера или рабочих станций. Привлекательность этого средства [10] заключается в том, что потоки данных работают точно также как обычные сетевые устройства. В качестве же программ используются модифицированные модули сетевых служб. К минусам метода можно отнести сложность программирования в рамках среды OpNet Modeller.

Целью моделирования является определение зависимости пропускной способности сети и вероятности потери пакета от загрузки, числа узлов в сети, длины пакета и размера области столкновений.

Исходные данные о структуре и параметрах сети берутся из базы данных. Ряд параметров сети задаются конфигурационным файлом. Сюда могут записываться емкость буфера интерфейса и драйвера, время задержки обработки запроса (хотя в общем случае эта величина может также иметь распределение) и т.д.

Сеть разбивается на логические сегменты (зоны столкновений), в каждой из которых работает независимая синхронизация процессов (хотя эти процессы и влияют друг на друга через мосты, переключатели и маршрутизаторы).

Полное моделирование сети с учетом рабочих приложений предполагает использование следующих распределений:

а) Распределение по проценту времени использования каждого из узлов для того или иного вида приложений.

б) Распределение узлов сети по их активности.

в) Распределение по используемым протоколам

г) Распределение по длинам пакетов.

Последние два пункта существенным образом коррелированы с первым, так как используемые протоколы зависят от приложения, а активность узла может определяться, например длиной пересылаемого файла. По этой причине при полномасштабном моделировании сначала определяется, что собирается делать рабочая станция или сервер, (с учетом распределения по приложениям определяется характер задачи: FTP, MS explorer и т.д.). После этого разыгрываются параметры задания (длина файла, удаленность объекта и пр.), а уже на основе этого формируется фрагмент очереди пакетов.

Описание моделируемого объекта

Основу моделируемой распределенной информационной системы корпоративной сети будет составлять вычислительная система, включающая такие компоненты, как кабельная сеть и активное сетевое оборудование, компьютерное и периферийное оборудование, оборудование хранения данных (библиотеки), системное программное обеспечение (операционные системы, системы управления базами данных), специальное ПО (системы мониторинга и управления сетями) (в частности прикладное ПО). Как правило, в корпоративной сети используется централизованная система управления сетью.

Ядро сети представляет собой маршрутизатор и серверы различного назначения. На маршрутизаторе хранится и рассчитывается таблица маршрутизации. По принципам формирования таблицы маршрутизации бывают статические и динамические.

При моделировании корпоративной сети рекомендуется использовать статические таблицы маршрутизации, так как количество маршрутизаторов в среднем не превышает трех, при построении более крупных сетей со сложной конфигурацией оборудования целесообразно использовать динамическую маршрутизацию. Доступ пользователей к ядру сети осуществляется через коммутаторы, организующие локальные сети. Основной технологией для построения корпоративной сети в настоящее время является Ethernet.

Рисунок. П-1 - Палитра проекта и рабочая область

Рисунок. П-2 - Пример построения сети

Рисунок. П-3 - Пункт Edit Attributes, позволяющий производить настройку моделируемого оборудования

Рисунок П-4. - Пример настройки маршрутизатора

Результатами моделирования являются (фиксируются отдельно для каждого набора входных параметров):

1. Вероятность потери пакета для логического сегмента и каждой из рабочих станций.

2. Пропускная способность серверов для каждого из логических сегментов (путь сервер - логический сегмент).

3. Вероятность столкновения для каждого логического сегмента и каждой рабочей станции.

4. Распределение потоков по логическим сегментам (и рабочим станциям) независимо для каждого направления (вход и выход).

5. Распределение потоков для всех входов/выходов переключателей мостов и маршрутизаторов.

6. Доля вспомогательного трафика (ICMP, SNMP, отклики TCP, широковещательные запросы и т.д.) по отношению к информационному потоку для различных узлов сети (серверов, маршрутизаторов).

7. Уровень широковещательного трафика для каждого из логических сегментов.

Исследование в среде OpNet Modeller

В качестве моделируемой системы была выбрана компьютерная сеть, содержащая следующие элементы:

1. Набор автоматизированных рабочих мест ARM_i.

2. Набор внутренних серверов, предоставляющих различные услуги сети (Web, FTP и т.п.).

3. Набор коммутационных устройств сети Hub_j.

4. Набор серверов VPN.

5. Набор модемов MODEM_k.

Данная схема сети представлена на рисунке (рисунок П-5).

Рисунок П-5 – Схема сети целевой системы (упрощенный вариант для 80 компонент)

Запросы генерируются случайным образом в элементах MODEM_k на основе нормального распределения и направляются на группу серверов РАИС.

Весь трафик моделируемой РАИС целесообразно разделить на 3 категории:

1. Пользовательские запросы в сети.

2. Вспомогательный трафик.

3. Трафик от злоумышленника.

Рабочие станции и серверы моделируемой РАС способны обрабатывать запросы на четырех уровнях модели OSI\ISO:

1. Физический.

2. Канальный.

3. Сетевой.

4. Транспортный.

М одели рабочей станции представлена на рисунке П-6А, сервера –на рисунке (Рисунок П-6б)

а) б)

Рисунок П-6 – Модели рабочей станции и сервера

Входными данными являются:

1. Набор запросов имитации рабочего трафика сети (рассматривались протоколы TCP, HTTP, FTP, SMTP).

2. Набор запросов имитации трафика от злоумышленника, способного привести к фатальному отказу в работе компоненты РАИС

Набор запросов имитации трафика сети периодически возрастает и убывает, имитируя изменение нагрузки на сеть на всем временном промежутке моделирования.

Набор запросов имитации трафика от злоумышленника возникает по нормальному закону, т.к. это позволяет задать фиксированное число атак, которые произойдут независимо друг от друга на временном интервале моделирования.

Для большей реалистичности картины, можно рассмотреть РАИС, в которой задействовано 240 рабочих станций (work stations), 9 рабочих серверов (work servers), 3 сервера злоумышленников (hack servers) и пассивное и активное сетевое оборудование в составе 3 свитчей (switches) и одного роутера (router). Подключение серверов злоумышленника происходит через роутер. В режиме работы они посылают большое количество запросов, создавая дополнительную нагрузку на сервера и рабочие станции целевой РАИС, что влечет сбои и задержки в работе последней и как результат рассматриваемая РАИС «падает» (перестает функционировать).

Проведём сравнительную характеристику полученных результатов в ходе работы сети в нормальном рабочем состоянии и в состоянии атаки злоумышленников.

На рисунке П-7 а) представлены графики работы одной рабочей станции (work station) при нормальной работе. Можно заметить, что рабочая станция работает стабильно. На рисунке П-7 б) представлены графики работы рабочей станции, в момент, когда злоумышленник производит атаку на сервер, с которым связана данная рабочая станция. На графиках отчетливо видно, что на рабочую станцию прекращает поступать информация от атакуемого злоумышленником сервера. Подключение злоумышленника к сети, очень серьёзно меняет исходную картину работы данной сети. Загрузка подает до нуля, отклик сервера увеличивается и становится не стабильным, получаемый трафик бит проходит только частично и представлен на графике отдельными точками, хотя при нормальной работе он постоянен. При воздействии на рабочую станцию получаемый трафик (бит/сек) становится скачкообразным, а в последствии падает до нуля, что свидетельствует о не работоспособности станции. Последним параметром являются передаваемые пакеты, при нормальном функционировании, без вмешательства злоумышленника, передаются постоянно, но после того как включается сервер злоумышленника, передача прекращается или передаётся частично. Всё это ведёт к сбоям в работе системы, а впоследствии и выхода её из строя.

а) б)

Рисунок П-7 - Основные показатели работы рабочей станции при штатном функционировании РАИС

Проанализировав, как сервер злоумышленника влияет на рабочую станцию, перейдём к рассмотрению атакуемого (рисунок П-8 а) и атакующего сервера (рисунок П-8 б) после включения в сеть последнего. На соответствующих рисунках представлены графики изменения их параметров.

а) б)

Рисунок П-8 - Основные показатели работы атакуемого (а) и атакующего (б) серверов

Для облегчения работы с полученной в результате моделирования статистикой отказов, будем рассматривать РАИС, состоящую из 80 компонент.

Набор запросов ложных срабатываний подчиняется нормальному закону. В ходе моделирования получена статистика время отклика системы, а также проанализирована симуляцию нагрузки на сеть в зависимости от количества компонент РАИС. Исходя из полученных данных, сделаем выборку показателей времени ответа компонентов системы, и используем их в качестве статистики для расчетов анализа выживаемости.

Из 80 наблюдений 50 закончились выходом из строя компоненты системы (т.е. «смертью») по окончании срока, в 30 случаях атака не принесла ущерба компоненту, либо атака была проведена на канал связи и из-за этого информация о том, что стало с компонентом системы после этого отсутствует. Таким образом, всего из 80 наблюдений 50 являются полными и 30 – цензурированными.