Embed Size (px)
DESCRIPTION
P2P Trafiği Tespiti için Cisco NBAR Kullanılması. Gökhan AKIN AB’2006 Denizli. NBAR. NBAR (Network-Based Application Recognition): Cisco ağ geçidi (yönlendirici veya 3.katman anahtarlama cihazi) üzerinde Uygulama (imza) tabanlı inceleme yaparak trafiğin belirlenmesini sağlar. NBAR’ın Farkı. - PowerPoint PPT Presentation
Citation preview
P2P Trafiği Tespiti için Cisco NBAR P2P Trafiği Tespiti için Cisco NBAR KullanılmasıKullanılması
Gökhan AKINGökhan AKIN
AB’2006 DenizliAB’2006 Denizli
NBARNBAR
NBAR (Network-Based Application Recognition):NBAR (Network-Based Application Recognition):
Cisco ağ geçidi (yönlendirici veya 3.katman anahtarlama cihazi)Cisco ağ geçidi (yönlendirici veya 3.katman anahtarlama cihazi)üzerinde Uygulama (imza) tabanlı inceleme yaparak trafiğin üzerinde Uygulama (imza) tabanlı inceleme yaparak trafiğin belirlenmesini sağlar.belirlenmesini sağlar.
NBAR’ın FarkıNBAR’ın Farkı
• Ağ geçidi üzerinde çalıştığı için ağ dışına çıkan Ağ geçidi üzerinde çalıştığı için ağ dışına çıkan bütün trafik incelenebilir. Araya ekstra cihaz koymayabütün trafik incelenebilir. Araya ekstra cihaz koymayagerek kalmaz.gerek kalmaz.
• İstenen trafik kesilebileceği gibi, yönlendiricinin desteklediği İstenen trafik kesilebileceği gibi, yönlendiricinin desteklediği bütün QoS teknikleri kullanılabilir.bütün QoS teknikleri kullanılabilir.
• Cisco yönlendirici performansını arttırmak için kullanılan Cisco yönlendirici performansını arttırmak için kullanılan CEF (Cisco Express Fowarding) tekniğini kullanır.CEF (Cisco Express Fowarding) tekniğini kullanır.
NBAR’ı Destekleyen YönlendiricilerNBAR’ı Destekleyen Yönlendiriciler
NBAR Destekleyen Cisco Yönlendiriciler:NBAR Destekleyen Cisco Yönlendiriciler:• • Cisco 800 Series Routers Cisco 800 Series Routers
• • Cisco 1700 Series Modular Access RoutersCisco 1700 Series Modular Access Routers• • Cisco 1800 Series Integrated Services RoutersCisco 1800 Series Integrated Services Routers
• • Cisco 2600XM Series RouterCisco 2600XM Series Router• • Cisco 2800 Series Integrated Services RoutersCisco 2800 Series Integrated Services Routers• • Cisco 3700 Series Multiservice Access RoutersCisco 3700 Series Multiservice Access Routers• • Cisco 3800 Series Integrated Services RoutersCisco 3800 Series Integrated Services Routers
• • Cisco 7100 Series VPN RoutersCisco 7100 Series VPN Routers• • Cisco 7200 Series RoutersCisco 7200 Series Routers• • Cisco 7300 Series RoutersCisco 7300 Series Routers• • Cisco 7500 Series RoutersCisco 7500 Series Routers•• Cisco 7600 Series RoutersCisco 7600 Series Routers
• • Cisco Catalyst 6500Cisco Catalyst 6500
Cisco Express Forwarding (CEF)Cisco Express Forwarding (CEF)
CEF, Cisco yönlendiricide ASIC CEF, Cisco yönlendiricide ASIC tabanlı hızlı anahtarlama yapılan tabanlı hızlı anahtarlama yapılan bir yönlendirme tekniğidir. bir yönlendirme tekniğidir.
Packet Description Language ModulesPacket Description Language Modules(PDLM)(PDLM)
Her yeni uygulama için Cisco IOS işletim sisteminde Her yeni uygulama için Cisco IOS işletim sisteminde upgrade yapılmasına gerek kalmaması için P2P imzalarınıupgrade yapılmasına gerek kalmaması için P2P imzalarınıyönlendiricinin flash hafızasına sonrada yüklenebilen yönlendiricinin flash hafızasına sonrada yüklenebilen modülerdir. modülerdir.
Yönetici ihtiyacına göre kişiye özel PDLM’de yazılabilir.Yönetici ihtiyacına göre kişiye özel PDLM’de yazılabilir.
Packet Description Language ModulesPacket Description Language Modules(PDLM)(PDLM)
Citrix ICA L2TP IMAP StreamWorks NTP
PCAnywhere MS-PPTP POP3 VDOLive Printer
PCAnywhere SFTP Exchange RTSP X Windows
Novadigm SHTTP Notes MGCP r-commands
SAP SIMAP SMTP FTP H.323
BGP SIRC DHCP/ Gopher RTCP
EGP SLDAP BOOTP HTTP RTP
EIGRP SNNTP Finger IRC SIP
OSPF SPOP3 DNS Telnet SCCP
RIP STELNET Kerberos TFTP Skype
SQL*NET SOCKS LDAP NNTP BitTorrent
MS- SQLServer SSH CU-SeeMe RSVP Direct Connect
GRE ICMP CU-SeeMe NFS eDonkey/ eMule
IPINIP SNMP Netshow Sunrpc FastTrack
IPSec Syslog RealAudio NetBIOS Gnutella
KaZaA
WinMX
Güncel P2P PDLM ListesiGüncel P2P PDLM Listesi
P2P Protokolü
Tipi Son PDLMVersiyonu
BitTorrent TCP 3
Gnutella TCP 6
Kazaa2 TCP/ UPD 6
eDonkey TCP 3
Fasttrack TCP 2
Napster TCP 2
Direct/ Connect TCP/ UDP 1
WinMX TCP 2
Konfigürasyon - 1Konfigürasyon - 1
Router(config)# class-map match-any p2p_listesiRouter (config-cmap)#match protocol directconnect Router (config-cmap)#match protocol bittorrentRouter (config-cmap)#match protocol edonkey Router (config-cmap)#match protocol kazaa2….
İzlenecek Protokollerin Belirlenmesiİzlenecek Protokollerin Belirlenmesi
Konfigürasyon - 2Konfigürasyon - 2
Router(config)#policy-map p2p_trafigi_politikasiRouter(config-pmap)#class p2p_listesi
Router(config-pmap-c)# set precedence 2 {0 ila 7 arasinda değer alabilir)* Router(config-pmap-c)# drop
Router(config-pmap-c)# bandwidth percent 20….
Belirlenen Protokollere Uygulanacak PolitikaBelirlenen Protokollere Uygulanacak Politika
Konfigürasyon - 3Konfigürasyon - 3
Router(config)# interface FastEthernet0/0Router(config-if)# service-policy input peer-to-peer
Politikanın İnterface’e UygulanmasıPolitikanın İnterface’e Uygulanması
Konfigürasyon – 4Konfigürasyon – 4
Router(config)#time-range haftaiciRouter(config-time-range)# periodic weekdays 9:00 to 18:00
Zaman Bazlı Trafiğin KesilmesiZaman Bazlı Trafiğin Kesilmesi
Router(config)# access-list 100 deny ip any any precedence 2 haftaiçi
Konfigürasyon - 5Konfigürasyon - 5
Router(config)#ip nbar pdlm flash:/<pdlm’in ismi>
Router#sh ip nbar pdlm Harici yüklenmiş PDLM’lerin listelenmesi
Router#sh ip nbar versionBütün PDLM’lerin versyonlarının listelenmesi
Yeni PDLM YüklenmesiYeni PDLM Yüklenmesi
NBAR ile Trafik İstatistiği - 1NBAR ile Trafik İstatistiği - 1
Router(config-if)#ip nbar protocol-discoveryRouter(config-if)#ip nbar protocol-discovery
FastEthernet2/1/1 Input Output ----- ------ Protocol Packet Count Packet Count Byte Count Byte Count 5min Bit Rate (bps) 5min Bit Rate (bps) 5min Max Bit Rate (bps) 5min Max Bit Rate(bps) -------------------- ------------------------ ------------------------ http 463443922 410220837 467608970564 238231813712 26202000 13216000 54231000 23216000 bittorrent 524672850 522045283 357258467377 317423096280 12697000 13610000 20430000 21258000
NBAR ile Trafik İstatistiği - 2NBAR ile Trafik İstatistiği - 2
iso.3.6.1.4.1.9.9.244.1.2.1.1.2.1.57 = STRING: "napster"iso.3.6.1.4.1.9.9.244.1.2.1.1.2.1.58 = STRING: "fasttrack"iso.3.6.1.4.1.9.9.244.1.2.1.1.2.1.59 = STRING: "gnutella"iso.3.6.1.4.1.9.9.244.1.2.1.1.2.1.60 = STRING: "kazaa2"
SNMP ile NBAR Trafik İstatistiğinin TutulmasıSNMP ile NBAR Trafik İstatistiğinin Tutulması
SorularSorular
Sorularınız…Sorularınız…
[email protected]@itu.edu.trwww2.itu.edu.tr/~akingok/www2.itu.edu.tr/~akingok/
csirt.ulakbim.gov.trcsirt.ulakbim.gov.tr
