宿舍網路
宿舍網路
宿舍網路
宿舍網路維運與
維運與
維運與
維運與 IP 流量
流量
流量
流量限制
限制
限制
限制方案
方案
方案
方案
任善隆 許俊萍 孫際宇 張勝欽 林世哲 吳承益
義守大學 明新科技大學 義守大學網路組
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
摘要
摘要
摘要
摘要
宿舍網路已成為住宿生生活的一部份,而寢室 內的單純生活更凸顯出網路世界的豐富性,因此保 持良好的宿舍網路環境是非常重要的。透過網際網 路可線上購物、語音通話、電子信件傳輸、即時通 訊、線上遊戲…等讓生活更加有趣,但是宿舍網路 存在著使用 Peer-to-peer 軟體與網路病毒問題,這些 問題不但長時間占據網路頻寬,更讓網路設備時常 處於忙碌狀態,讓網路品質每況愈下,為維護宿舍 網路品質,故極需進行管控宿舍網路。 本校依照住宿人數需求逐年新增宿舍與更新 增宿舍網路設備,現有網路設備足以讓宿舍區使用 網路,但是住宿生還是反應連結非宿舍區的網路速 度不足,因此本組開始尋找問題出在何處?是否存 在著網路瓶頸或網路資源分配不均等問題,監測網 路時使用 MRTG、NetFlow、SNMP、Ethereal 等工 具記錄網路狀態與測試 NAT 伺服器效能是否足 夠?接著是發現的問題是網路資源分配不均,針對 此問題對宿舍發佈宿舍網路使用規範,亦發展 IP 限制流量方案,將超過限制流量的 IP 導向違規伺服 器,限制流量伺服器會依照網路連線方式顯示違規 IP 相關資料。此做法可改善本組先前在路由器上設 定 ACL 限制時,可減輕網管人員收到違規 IP 的擁 有者諮詢的工作量。 關鍵詞 關鍵詞 關鍵詞 關鍵詞:宿舍網路、網路瓶頸、IP 流量限制1.
緒論
緒論
緒論
緒論
近年校園全力推廣網際網路相關作業,促進教 職員生學習網路與電腦 e 化作業流程,學生也能漸 近的了解網路脈動走向,如推廣學生使用網路學 習、作業繳交、成績查詢等。然而宿舍可說是校園 內最多學生使用網路地區,義守大學校宿舍可容納 約 5 千餘個床位,平均住宿人數在九成以上,要提 供這麼多人使用網路即是一項網路資源分配戰。部 份住宿生喜愛使用網路芳鄰與 Peer-to-Peer 軟體以 取得或分享檔案,再加上部份電腦感染病毒等而形 成網路頻寬長時間被佔據,也間接影響宿舍與校園 網路對校外的連線速度,導致住宿生無法有效地利 用網路資源達到學習、分享與解決課業的目的。九 十三學年電算中心針對宿舍各個網路環節進行偵 查與測試,期許能找出問題出現在何處,經測試結 果發現幾個影響網路的環節,分別是電腦病毒、學 術 FTP 佔據過多頻寬、Peer-to-Peer 軟體與 NAT 伺 服器效能不足等問題。 本中心主任指示須找出宿舍網路問題並且加 以解決,以避免網路資源被濫用與佔據,本組架設 MRTG 監控網路流量、NetFlow 計算 IP 流量與持續 發展監控與限制網路流量相關系統。先前使用 PHP 程式遠端登入網路設備並設定 ACL 清單方式,限 制該 IP 網路服務。本組組長認為先前的限制方式讓 違規者無法清楚得知自己為何違規,導致增加宿網 管理人員多了回答咨詢的工作量,故帶領本組發展 導向違規 IP 至違規網頁機制,藉此機制讓違規 IP 的使用者可清楚得知被限制網路服務的理由,顯示 內容有違規 IP、網路流量、限制日期與解除限制日 期,另外也希望能藉此讓住宿生學習遵守規定的重 要性。2.
文獻探討
文獻探討
文獻探討
文獻探討
ICMP(Internet Control Message Protocol)[1][2] 主要目的是補強網路錯誤回報。網路管理者傳送 Echo Request 查詢遠端主機是否處於連線狀態。網 路病毒利用 ICMP 對網域做網路廣播(Broadcast on Network)模式尋找可感染 PC,網路設備因此需處理 大量 echo Request 封包而長時間處於忙碌狀態,故 影響正常網路封包轉換。
MRTG(Multi Router Traffic Grapher)[3]是一套 監看即時流量軟體,利用 SNMP(Simple Network Management Protocol)定時向網路設備詢問(polling) 流量數據並依照數據製成長條圖,並且透過網頁顯 現圖形,網路管理者可透過網頁監控每時段的平均 流量,以查明網路流量是否在某些時段有問題等。 Netflow[4][5][6]是 Cisco 所發展網路流量監測 機制,只支援 Cisco Layer 3 以上網路設備,並且能 設定針對某 IP 輸出相關資訊,資訊中將每一個流量 資訊各自彙整成一筆資訊,其中來源 IP(source IP address)、目的 IP(destination IP address)、目的埠 (destination IP address)、協定種類(protocol type)、服 務種類(type of service)與路由器輸入介(router input interface),網路管理者可收集所需資訊進行統計流 量與異常偵測等。
為網路故障排除、監聽異常封包與檢測軟體封包, 本組使用二台裝設 Ethereal 主機監控 NAT 伺服器封 包轉送狀態,藉由此方式檢測宿舍網路瓶頸是否存 在於此。 IP Route 是 Redhat 支援的指令碼之一,系統管 理者能藉由設定”ip route”,以新增、轉向目的 IP 清 單,使用此方式可導向流經 NAT 伺服器的 IP。本 組即是利用此方法在宿網 NAT 伺服器上定時將違 規 IP 清單設定導轉違規網頁。
3.
宿
宿
宿
宿舍網路維運
舍網路維運
舍網路維運
舍網路維運
網路 IP 需求迅速膨脹,造成現有 IPv4 (32 位 元 ip)已接近飽和狀態,而新一代的 IPv6(32 位元 ip) 能支援 ipv4 不足之處,如 IP 擁塞、保密等問題, 距離校園網路設備軟硬體能完全支援時還需一段 時間,故各大專苑校在 IP 不足使用時,大多把宿舍 區、電腦教室設定成區域網路,以舒解 IP 不足的問 題。義守大學因住宿人數眾多無法全額配給實體 IP,故將宿舍設置成區域網路(LAN)再透過 NAT、 Proxy 與 Firewall 等伺服器做為宿舍區出口端。本 校學務長為學生著想制定只在 18:00~23:00 開啟網 路遊戲埠號。故本組在這時段完全開放網路埠,其 他時間只開啟幾個必要的網路埠,以限制同學玩線 上遊戲時間。但是住宿生反應 18:00~23:00 間網路 速度太慢,有時在開啟網頁也有困難。本組為查出 宿舍網路問題到底出在何處,從基礎的檢測 PC 設 定、網路設備、相關伺服器至校園總出口全部一一 檢測,期以找出問題並解決之。3.1
尋找
尋找宿舍網路瓶頸
尋找
尋找
宿舍網路瓶頸
宿舍網路瓶頸
宿舍網路瓶頸
義守大學宿舍網路大多使用 Cisco 網路設備, 每層樓皆使用 10/100 交換器,每棟使用 10/100/1000 的 Laryer 3 交換器最後經由光纖連結宿網主要路 由器。九十三年前已設置四台 NAT 伺服器(內含 Firewall 服務)與二台 Proxy 伺服器供宿舍區網路服 務,每台伺服器皆使用支援 GIGA 網路卡,從宿舍 至校園應足夠使用,並且本校網路總出口端是使用 1Gbytes 光纖線路與中山大學介接,因此初步評估 現有硬體足夠應付宿舍網路對外的需求,故重新檢 視網路設備與伺服器設定與監視各環節的網路流 量。在一一檢測後共找出五個問題節點。 一、 電腦病毒 電腦病毒問題一直長存於宿舍網路 內部,並且大多數住宿生對病毒問題一 無所知,現在的網路病毒針對整個網域 發送 ICMP 詢問封包,造成網路設備的 CPU 高達 99%的負載量,造成無法即時 處理網路封包導致傳輸速度變慢。網路 病毒也透過網路芳鄰傳播病毒,讓整個 網域內未安裝修正程式的電腦皆可能受 到病毒感染,並成為下一個病毒傳播者。 二、 學術 FTP 使用過多頻寬 為服務教職員生特別架設學術 FTP 站台,並且申請映射(mirror)部份國外網 頁內容,以減少學生下載免費(Free-ware) 軟體時間,卻因此卻造成夜間的 FTP 網 路流量高達約 700Mbytes,迫使宿舍網路 只能使用約 200Mbytes 的頻寬,整體網 路出口也出現接近 1Gbytes 滿載量(圖 一),為釐清 FTP 為何有如此龐大流量, 故針對此服務容容做徹底檢測並思考是 否要將部份內容導向其他網站以分散網 路頻寬。 圖一 校園網路總流量圖 三、 Peer-to-Peer 分享軟體盛行 部 份 宿 舍 網 路 使 用 者 喜 愛 使 用 Peer-to-Peer 軟體抓軟體,但 Peer-to-Peer 軟體的特性是為了充份利用上傳的網路 頻寬,讓其他使用者能分享更多的下載 點,因此會佔用整個網路上傳頻寬。 四、 盜用其他寢室 IP 本組為方便宿舍使用網路資源,不 須住宿生登記網路卡 MAC 編號手續,而 請住宿生依照棟別、樓層與房間编號設 定其網路 IP 範圍。然而部份住宿生卻因 自我喜好或違反宿網規則後被停止網路 服務而自行更換 IP 位址,造成佔據其他 住宿生的困擾。 五、 NAT 伺服器數量不足 本校位處較偏遠為避免學生上課時 受交通之苦,盡量擴增學生住宿區域, 因此宿網使用人數從九十二年到九十三 年 約 暴 增 二 千 名 額 , 再 加 上 網 路 peer-to-peer 的風行,導致夜間宿舍網路 流量過大,可能形成宿舍網路出口端產 生阻塞現象。為確認現有伺服器效能是 否足夠,本組使用 Ethreal 監測進出伺服 器的封包狀態,發覺伺服器傳送封包產 生遺失需重送等問題,造成宿舍網路在 尖峰期連線狀態不穩定等狀況。3.2
網路瓶頸解決方案
網路瓶頸解決方案
網路瓶頸解決方案
網路瓶頸解決方案
本組使用下列方案以解決宿舍網路問題,降低 內部網路的病毒傳播的速度、釐清占用大量頻寬 源…等,還給住宿者一個良好的網路環境,並且得 知校園與宿舍網路平均使用量與剩餘多少網路頻 寬可運用。施實後本校網路總出口流量由最高負載 最高為接近 950Mbytes 降至 570Mbytes。圖二是移 除學術 FTP 內不當的檔案後的 MRTG 流量圖,從 圖中可看出九十三年第二學期後學術 FTP 伺服器 的流量從平均 570Mbytes 降至 190Mbytes 的改善情 形。 圖二 校園年度總流量圖 一、 為減輕網路病毒影響,實施二個設定動 作。首先關閉網路設備的 ICMP Echo, 避免網路設備因回應 ICMP 而導致 CPU 處理量滿載。另外在每估網路設備關閉 網路芳鄰與已知病毒網路所使用的網路 埠,藉此減低病毒擴散速度。九十四年 暑假增加購買電腦病毒軟體,供住宿生 在住宿區防護個人電腦病毒。 二、 為解決 FTP 站台流量過大問題,首先本 組從考慮導向其他網站以分散網路下載 量,接著嚐試是否能依網路區段而設置 網路存取權限以降低流量,最後審視學 術 FTP 站台內容是否有提供非必要軟 體。在審視內容時發覺委託工讀生收錄 免費軟體中存有不當軟體,將其過濾與 剔除後,流量從原先約 480Mbytes 降至 150Mbytes,大大地改善本校網路資源(圖 三),也解決學術 FTP 流量過大的問題。 圖三 年度 FTP 伺服器流量圖 三、 Peer-to-Peer 軟體一直困擾著校園網路, 又它會自動更換網路連結埠而對外進行 通訊,如今只能依賴能檢測第七層網路 封包的產品進行檢測,開學後將請廠商 協助幫忙以提供相關數據,本組也持續 行評是否需要管控此類網路流量。 四、 為保障住宿生使用網路的權益,本中心 發展監測網路孔使用狀態軟體[8],使用 SNMP 輪詢網路設備,並依照網路設備 的 ARP、IP、MAC、Interface 與住房编 號資料進行比對,限制規違使用者(圖 四),避免部份住宿生因自我喜好、或因 違規任意更換 IP 位址,造成其他住宿生 使用網路的困擾。 圖四 IP 誤用 MAC 封鎖清單 五、 因檢測出 NAT 伺服器已無法負荷宿網需 求,故請購九台伺服器,將依現有宿舍 棟數設置 NAT 伺服器,以解決宿舍網路 出口瓶頸。擴充伺服時有二項優點,一、 提昇每楝對外頻寬可達 1Gbytes。二、未 來可評估其效能,依情況安裝流量監控 軟體,減少計算流量時所耗用時間。4.
系統架構與說明
系統架構與說明
系統架構與說明
系統架構與說明
本系統架構(圖五)可分成二個部份說明,一是 取得宿舍網路設備的 NetFlow 資訊,並依照本校規 定計算非宿舍網段的流量。二是轉向違規 IP 至顯示 違規資料的網頁。 宿舍網路路由器 NAT伺服器 IP流量資料庫 計算NetFlow伺服器 校園網路路由器 顯示違規網頁 住宿生 每天設定違規者IP 記錄各IP流量 收集NetFlow資訊 取得違規者資料 圖五 IP 流量限制之系統架構圖4.1
統計
統計 IP 流量
統計
統計
流量
流量
流量
本 系 統 首 先 取 得 交 通 大 學 所 撰 寫 的 計 算 NetFlow 程式,並依照宿舍網路規範所需修改統計 流量記錄並特別剔除宿舍網段,以釐清計算宿網對 外的流量,統計流量時是依照目的 IP 與來源 IP 分 別計算出其流量(圖六),再透過 PHP[9]程式語言連 結與新增資料至 MySql[10]資料庫,其內容有 IP 位 址、總流量、總輸出/入、總 TCP 輸出/入、總 UTP 輸出/入…等,盡可能儲存其相關資料,未來可提供 開發異常流量偵測使用。 圖六 統計 NetFlow 資料4.2
設定導向違規網頁
設定導向違規網頁
設定導向違規網頁
設定導向違規網頁
NAT 伺服器每天定時向 IP 流量資料庫取得超 過 5Gbytes 的 IP 清單(本校宿舍網路規定,每個 IP 每天總流量不得超過 5Gbytes,假若違規 IP 即停止 服務三天,每超過 1Gbytes 即多停止服務一天),依 照違規 IP 清單設定轉向違規伺服器,讓該 IP 使用 者得知違規原由。導向違規伺服器的做法是從 NAT 伺服器上設定 IP 路由,直接導向網路封包的目的 IP 為違規網頁,伺服器會先設定 80 埠、21 埠的顯 示頁面,顯示內容會依照 IP 位址顯示出前一天該 IP 流量資料與再度開啟網路服務的日期(圖七)。使 用此做法可減少住宿生的疑問與爭議,也減少宿網 服務人員查詢與回應住宿生問題的工作量。 圖七 導向違規網頁內容5.
第五章結論
第五章結論
第五章結論
第五章結論
近年來網路環境受到網路 DDoS 病毒與 p2p 軟 體影響,可能讓網路呈現癱瘓狀態,導致網路管理 者需要正視管控網路的重要性與重視網路病毒攻 擊(ex. ICMP 的 Echo Request)。另外管控網路部份, 他校宿舍網路大多實施靜態設定網路卡編號、IP 流 量控管,亦常常忽略住宿生該如何自已違反那些規 定,與需關閉服務多久。 本組是為了讓住宿生了解其違規原由,發展導 向違規 IP 至違規伺服器,讓住宿生在上網的同時即 能得知是否違規。此做法的優點是縮短查詢時間、 改善舊有 ACL 需設定多台設備的缺點、減少網路 相關人員回應與前往查看工作量。另外一點可說是 優缺點並存,即違規 IP 還是能使用內部宿舍網路資 源。本組將會對此問題做討論,是否須改變此措施 或輔以設定網路設備做限制。 無論校園網路或宿舍網路都需要管控,本組先 從發展宿舍網路管控系統再逐步修改系統以適用 校園網路環境。本校網路流量計算都是用一天的總 流量做為統計單位,未來計畫提供即時 IP 流量與長 官商量是否擴充玩線上遊戲限制時間,讓住宿生能 有效管控自我網路流量與更多的休閒時間。未來也 朝向主動式監控伺服器與網路設備,讓網管人員增 進工作效率與發展分析其他網路相關系統。參考文獻
參考文獻
參考文獻
參考文獻
[1] SecurityFocus, Multiple Vendor TCP/IP Implementation ICMP Remote Denial Of Service Vulnerabilities.
http://www.securityfocus.com/bid/13124/discuss [2] Cisco Security Advisory: Crafted ICMP Messages
Can Cause Denial of Service.
http://www.cisco.com/warp/public/707/cisco-sa-20 050412-icmp.shtml
[3] Multi Router Traffic Grapher,
http://people.ee.ethz.ch/~oetiker/webtools/mrtg/ [4] White Paper: NetFlow Services and Applications.
http://www.cisco.com/warp/public/cc/pd/iosw/ioft/nef lct/tech/napps_wp.htm [5] 陳嘉玫、黃世昆、陳年興、鍾明勳。即時偵測防 治 Internet Worm。台灣電腦網路危機處理中心。 http://www.cert.org.tw/document/docfile/Internet%20 Worm.pdf
[6] Sammy, 如 何 建 置 NetFlow Server 。
http://www.tn.edu.tw/sammy/netflow/setup.htm [7] Ethereal. http://www.ethereal.com/ [8] 許俊萍、林世哲、吳承益,IP 盜用防治方案。 開南管理學院第一屆資訊管理學術暨專案管理 實務研討會。桃園。 [9] 邱兆民、蔗園工作室(2001),PHP4 網路資料 庫程式大全,初版,松橋數位科技股份有限公 司,台中市。 [10] MySql. http://www.mysql.com/
