Nástroj pro zachycení síťového provozu s aplikačním tagem
Loading...
Date
Authors
ORCID
Advisor
Referee
Mark
A
Journal Title
Journal ISSN
Volume Title
Publisher
Vysoké učení technické v Brně. Fakulta informačních technologií
Abstract
Zachytávanie sieťovej prevádzky a jej následná analýza sú užitočné v prípade, že hľadáme problémy v sieti alebo sa chceme dozvedieť viac o aplikáciach a ich sieťovej komunikácii. Táto práca sa zameriava na proces identifikácie sieťových aplikácií, ktoré sú spustené na lokálnom počítači a ich asociáci so zachytenými paketmi. Cieľom projektu je vytvorenie multi-platformového nástroja, ktorý zachytí sieťovú komunikáciu do súboru a pridá k nej aplikačné tagy, čo sú rozpoznané aplikácie a identifikácia ich paketov. Operácie, ktoré môžu byť vykonávané samostatne sú paralelizované pre zrýchlenie spracovania paketov, a teda aj zníženie ich strátovosti. Zdrojová aplikácia je zisťovaná pre všetky (prichádzajúce aj odchádzajúce) pakety. Všetky identifikované aplikácie sú uložené v aplikačnej cache spolu s informáciami o jej soketoch pre ušetrenie času nevyhľadávaním už zistených aplikácií. Je dôležité túto cache pravidelne aktualizovať, pretože komunikujúca aplikácia môže zatvoriť soket v ľubovoľnom čase. Nakoniec sú získané informácie vložené na koniec pcap-ng súboru ako samostatný pcap-ng blok.
Network traffic capture and analysis are useful in case we are looking for problems in our network, or when we want to know more about applications and their network communication. This paper aims on the process of network applications identification that run on the local host and their associating with captured packets. The goal of this project is to design a multi-platform application that captures network traffic and extends the capture file with application tags. Operations that can be done independently are parallelized to speed up packet processing and reduce packet loss. An application is being determined for every (both incoming and outgoing) packet. Records of all identified applications are stored in an application cache with information about its sockets to save time and not to search for already known applications. It's important to update the cache periodically because an application in the cache may close a connection at any time. Finally, gathered information is saved to the end of pcap-ng file as a separate pcap-ng block.
Network traffic capture and analysis are useful in case we are looking for problems in our network, or when we want to know more about applications and their network communication. This paper aims on the process of network applications identification that run on the local host and their associating with captured packets. The goal of this project is to design a multi-platform application that captures network traffic and extends the capture file with application tags. Operations that can be done independently are parallelized to speed up packet processing and reduce packet loss. An application is being determined for every (both incoming and outgoing) packet. Records of all identified applications are stored in an application cache with information about its sockets to save time and not to search for already known applications. It's important to update the cache periodically because an application in the cache may close a connection at any time. Finally, gathered information is saved to the end of pcap-ng file as a separate pcap-ng block.
Description
Citation
ZUZELKA, J. Nástroj pro zachycení síťového provozu s aplikačním tagem [online]. Brno: Vysoké učení technické v Brně. Fakulta informačních technologií. 2017.
Document type
Document version
Date of access to the full text
Language of document
cs
Study field
Informační technologie
Comittee
prof. Ing. Miroslav Švéda, CSc. (předseda)
doc. Ing. František Zbořil, Ph.D. (místopředseda)
Ing. Zbyněk Křivka, Ph.D. (člen)
Ing. Igor Szőke, Ph.D. (člen)
Ing. Marcela Zachariášová, Ph.D. (člen)
Date of acceptance
2017-06-16
Defence
Student nejprve prezentoval výsledky, kterých dosáhl v rámci své práce. Komise se poté seznámila s hodnocením vedoucího a posudkem oponenta práce. Student následně odpověděl na otázky oponenta a na další otázky přítomných. Komise se na základě posudku oponenta, hodnocení vedoucího, přednesené prezentace a odpovědí studenta na položené otázky rozhodla práci hodnotit stupněm A. Otázky u obhajoby: 1. Premýšľali ste o rozšírení dostupných multiplatformových nástrojov pre zachytávanie komunikácie (napríklad Wireshark), o schopnosti identifikácie aplikácií? 2. Dátový blok obsahujúci identifikáciu aplikácii, ktorý pripájate k zachyteným dátam, mapuje meno aplikácie na identifikáciu paketov, ktoré aplikácii patria. Keďže chcete ale priradiť meno aplikácie k paketu nebolo by lepšie mať dáta mapované opačným spôsobom? Teda ak mám paket identifikovaný portom, protokolom, adresou a časovou značkou, podľa týchto údajov budem vyhľadávať aplikáciu, ku ktorej patrí.
Result of defence
práce byla úspěšně obhájena
Document licence
Standardní licenční smlouva - přístup k plnému textu bez omezení