效能評測分析 (Performance Analysis)

為了測量系統的效能表現，我們所有的測試條件中的比對規則皆特殊設計 過，使每一連線皆無法滿足比對規則，如此每一條網路連線都必須經過所有的過 濾規則。此外，為達成轉送動作以量測最差情況下之最大效能，我們在所有比對 規則後，加入接受所有連線之比對規則。這個條件下所測出來的 Forwarding Rate 與 Maximum Latency Time 如圖十三跟圖十四所示。

在圖十三中，我們考慮過濾規則含 0、50、100、200 條的情況，可以發現當 系統上的過濾規則上升的時候，系統的 Throughput 卻是下降。這是因為 iptables 為 List-based 的防火牆系統 [15]，過濾規則越多，則系統效能下降 [16]。這就是 為什麼我們的系統效能也會跟著下降。

圖十四則是顯示出系統在最差的環境下所測量出來的 Maximum Latency Time。對於 Store and Forward 機器，最大延遲時間為接收端網路卡收到封包最後 一個 Bit 的時間到送出端網路卡送出封包的第一個 Bit 送出的時間差[13]。由圖十

四可以發現 Maximum Latency Time 還是隨著過濾規則而升高，同樣地在 [16] 中 也是如此。Frame Size 越小，表示在相同頻寬之下，封包數量越多。經過系統的 封包數量越多，則表示在系統內等待處理的封包就會越多；相對的，經過系統的 時間也就會越長。這也就是為什麼在圖十四的曲線會隨著 Frame Size 的增大而下 降。

0 200 400 600 800 1000

64 128 256 512 1024 1518

Frame Size (Bytes) Forwarding Rate (Mbps) No Rule

50 Rules 100 Rules 200 Rules

圖 十三、Forwarding Rate

0 2 4 6 8 10 12

64 128 256 512 1024 1518

Frame Size (Byte)

Latency (ms)

No Rule 50 Rules 100 Rules 200 Rules

圖 十四、Maximum Latency

5.3 負載分析 (Overhead Analysis)

由於在本系統增加原 Linux 之額外負載，為研究增加之負載對系統效能之影 響，是故我們比對原 Linux 系統與我們實作之系統兩者之效能。

我們測試 iptables 掛載模組跟我們實做的 iptables USEROBJ 模組在 Forwarding Rate 跟 Max Latency Time 的效能表現。為了單純測出 iptables 經過模組的效 能，我們實作了 NULL Module，該模組為一空的模組，不執行任何動作，即當 它被呼叫執行，他立即返回原呼叫程式。藉以評估 iptables 掛載模組之效能表現。

為了能夠客觀評估出所增加的負載，我們把過濾規則增多，藉以觀察我們提出 iptables USEROBJ 模組增加之額外負載的情形。

由圖十五到圖二十二分別顯示出在不同過濾規則下，iptables 掛載 NULL 模組 跟我們實作的 iptables USEROBJ 模組的 Forwarding Rate 跟 Latency Time。從中 我們可以發現，我們實做的方法並沒有造成嚴重的效能下降，也不會因為過濾規 則的數量過多而拖垮系統的效能。

Forwarding Rate with 250 Rules

0 200 400 600 800 1000

64 128 256 512 1024 1518

Frame Size (Bytes)

Forwarding Rate (Mbps)

NULL Module USEROBJ

圖 十五、Forwarding Rate with 250 Rules

Forwarding Rate with 500 Rules

0 200 400 600 800 1000

64 128 256 512 1024 1518

Frame Size (Bytes)

Forwarding Rate (Mbps)

NULL Module USEROBJ

圖 十六、Forwarding Rate with 500 Rules

Forwarding Rate with 750 Rules

0 200 400 600 800 1000

64 128 256 512 1024 1518

Frame Size (Bytes)

Forwarding Rate (Mbps)

NULL Module USEROBJ

圖 十七、Forwarding Rate with 750 Rules

Forwarding Rate with 1000 Rules

0 200 400 600 800 1000

64 128 256 512 1024 1518

Frame Size (Bytes)

Forwarding Rate (Mbps)

NULL Module USEROBJ

圖 十八、Forwarding Rate with 1000 Rules

Latency with 250 Rules

0 2 4 6 8 10 12 14

64 128 256 512 1024 1518

Frame Size (Bytes)

Latency (ms)

NULL Module USEROBJ

圖 十九、Latency with 250 Rules

Latency with 500 Rules

0 5 10 15 20 25

64 128 256 512 1024 1518

Frame Size (Bytes)

Latency (ms)

NULL Module USEROBJ

圖 二十、Latency with 500 Rules

Latency with 750 Rules

0 5 10 15 20 25 30 35

64 128 256 512 1024 1518

Frame Size (Bytes)

Latency (ms)

NULL Module USEROBJ

圖 二十一、Latency with 750 Rules

Latency with 1000 Rules

0 10 20 30 40 50

64 128 256 512 1024 1518

Frame Size (Bytes)

Latency (ms)

NULL Module USEROBJ

圖 二十二、Latency with 1000 Rules

第六章 結論與未來工作

在這篇論文中，我們提供了一個結合身分認證伺服器跟封包辨識、比對的方 法來完成以使用者為觀點的網路行為管理模式。我們的方法解決了網路位址被誤 用所造成的誤判使用者的問題，在動態取得網路位址的環境下也同樣適用。我們 的方法貢獻，(1)精確的判斷出網路連線的使用者，（2）支援群組化的管理，(3) 減少過濾規則不必要的載入、移除。從效能的分析來看，加入我們的方法也不會 額外造成系統的負擔。

在未來的計畫中，我們將把我們的方法套用在 IPv6 [17] 的環境裡面。我們 預想會遇到最嚴重的問題則是記憶體的使用量過大。因為 IPv6 所定義的網路位 址為 16 bytes，這表示在建構 IP-User Table 時得花更多的記憶體空間來做存取。

如何有效的運用有限記憶體空間來建構 IP-User Table 及在 IPv6 環境下有效降低 運算的複雜度將會是我們必須要解決的首要問題。

由於我們實做之應用層閘道器是置放於校園網路的出口，需處理校園網路之 全部流量，易成為整個校園網路的網路效能瓶頸。因此，我們將在未來計畫中結 合路由器來做聯合防禦之工作，將負載分散到各個路由器，減少網路效能之影響。

而在擁有 Mobile IP 的校園網路環境裡，用戶漫遊到他地需更換網路位址的 情形之下，也會造成我們的方法失效，因此支援 Mobile IP 也是在我們仍需解決 的項目之一。

在 IPv4 網路位址不足的環境裡，由於無法分配足夠的網路位址給校園網路 中的每一用戶，因此常利用 NAT 之技術來解決網路位址不足的問題。在這樣的環 境之下，我們的應用層閘道器需要置放於 NAT 機器與交換機中間，才能有效控管

NAT 中的用戶流量。如何設計擺放在學校出口之應用層閘道器與 NAT 內之應用層 閘道器相互溝通之通訊協定也是未來工作其中一環。

參考文獻

[1] Elizabeth Mackenzie and Kathryn Goldman, “Computer abuse, Information Technologies and Judicial Affairs,” in Proceedings of the 28th annual ACM SIGUCCS conference on User services: Building the future, Richmond, Virginia, United States , October 2000, pp. 170-176.

[2] Yu Jin, Zhi-Li Zhang, Kuai Xu, Feng Cao and Sambit Sahu, “Identifying and Tracking Suspicious Activities through IP Gray Space Analysis,” in Proceedings of the 3rd annual ACM workshop on Mining network data, San Diego, California, United States, June 2007, pp. 7-12.

[3] R. Droms, “Dynamic Host Configuration Protocol,” RFC2131, IETF, March 1997.

[4] Robert Beck, “Dealing with Public Ethernet Jacks – Switches, Gateways, and Authentication,” in Proceeding of LISA ’99: 13^th Systems Administration Conference, Seattle, Washington, USA, November 1999.

[5] Active Directory, Microsoft Corporation, URL:

http://technet2.microsoft.com/windowsserver/en/library/6f8a7c80-45fc-4916-80d 9-16e6d46241f91033.mspx?mfr=true [Accessed: March 2008].

[6] The Netfilter Core Team, URL: http://www.Netfilter.org [Accessed: March 2008].

[7] The Linux Kernel Archives, URL: http://www.kernel.org [Accessed: March 2008].

[8] K. Egevang, “The IP Network Address Translator,” RFC1631, IETF, May 1994.

[9] R. Russel and H. Welte, Linux Netfilter Hacking HOWTO, 2002. URL:

http://www.netfilter.org/documentation/HOWTO/netfilter-hacking-HOWTO.htm