Monitoring with tcpdump | Cerca per titolo, autore, parola chiave | ||||||||
Monitoring with tcpdump IEPM (Internet End-to-end Performance Monitoring) group at SLAC (Stanford Linear Accelerator Center), Stanford University and Department of Energy (DOE). PingER (Ping End-to-end Reporting) è il nome di un progetto, Internet End-to-end Performance Measurement (IEPM) project, che misura le performance di trasmissione / ricezione tra Internet host. È realizzato da SLAC. Attualmente, il progetto coinvolge circa 700 siti, distribuiti in oltre 160 paesi. Il monitoraggio attivo (intrusivo) condotto da PingER sarebbe da completare attraverso la comprensione di un monitoraggio passivo, vale a dire il monitoraggio del traffico utente in arrivo e in uscita dalla zona denuclearizzata (DMZ) dei laboratori SLAC. Questo report analizza i risultati della utility TCPDUMP. Tcpdump è uno strumento potente che permette di catturare i pacchetti di rete e fare una qualche analisi statistica di quei byte. Uno dei maggiori problemi legato a tcpdump è la dimensione del file in cui viene salvato il traffico di rete. Nel nostro caso, monitorando un segmento di rete ethernet, tcpdump opera mettendo la scheda di rete in modalità promiscua (promiscuous mode), per poter catturare tutto il traffico che passa in quel filo (e non solo quello destinato a quella scheda di rete). Tcpdump riceve i dati dal BSD Packet Filter (BPF, Berkeley Packet Filter, che è direttamente interfacciato al livello data link layer), che è il metodo che permette di raccogliere dati dalla scheda di rete in promiscuous mode. BPF riceve copia dei dati, inviati e ricevuti, dal driver. Prima che questi dati attraversino il kernel, fino ad arrivare al processo utente, l'utente può impostare un filtro, affinchè il driver invii al kernel solo i dati che interessano. Usiamo tcpdump per misurare il tempo di risposta e la percentuale di pacchetti persi. Tcpdump è anche in grado di dire qualcosa sulla irraggiungibilità di alcuni server. In questa sezione, vedremo qualche esempio di una connessione HTTP tra un computer allo SLAC: Doris.slac.stanford.edu e un server web al CERN: www.cern.ch L'output di tcpdump, che nel nostro esempio contiene solo gli header TCP, è organizzato, all'inizio di ogni segmento TCP, come segue: timestamp source -> destination: flags Le Flag possono essere: S -> SYN (Synchronize sequence numbers - Connection establishment) F -> FIN (Ending of sending by sender - Connection termination) R -> RST (Reset connection) P -> PSH (Push data) . (No flag is set) ACK (Acknowledgement) URG (Urgent)
|
|||||||||
Monitoring with tcpdump | Disclaimer: questo è un link a contenuti ospitati su server esterni. |