Clasificación del tráfico

Categorización del tráfico de la red informática

La clasificación de tráfico es un proceso automatizado que categoriza el tráfico de una red informática según diversos parámetros (por ejemplo, en función del número de puerto o del protocolo ) en varias clases de tráfico . ^[1] Cada clase de tráfico resultante puede tratarse de forma diferente para diferenciar el servicio implicado para el generador o consumidor de datos.

Usos típicos

Los paquetes se clasifican para que el programador de red los procese de forma diferente . Al clasificar un flujo de tráfico mediante un protocolo particular, se puede aplicar una política predeterminada a este y a otros flujos para garantizar una determinada calidad (como con VoIP o el servicio de transmisión de medios ^[2] ) o para proporcionar una entrega de máximo esfuerzo. Esto se puede aplicar en el punto de entrada (el punto en el que el tráfico ingresa a la red, generalmente un dispositivo de borde ) con una granularidad que permite que los mecanismos de gestión del tráfico separen el tráfico en flujos individuales y los pongan en cola, vigilen y moldeen de manera diferente. ^[3]

Métodos de clasificación

La clasificación se logra por diversos medios.

Números de puerto

• Rápido
• Bajo consumo de recursos
• Compatible con muchos dispositivos de red
• No implementa la carga útil de la capa de aplicación, por lo que no compromete la privacidad de los usuarios.
• Útil solo para aplicaciones y servicios que utilizan números de puerto fijos
• Es fácil hacer trampa cambiando el número de puerto en el sistema

Inspección profunda de paquetes

• Inspecciona la carga útil real del paquete.
• Detecta las aplicaciones y servicios independientemente del número de puerto en el que operan
• Lento
• Requiere mucha potencia de procesamiento
• Las firmas deben mantenerse actualizadas, ya que las aplicaciones cambian con mucha frecuencia.
• El cifrado hace que este método sea imposible en muchos casos.

La comparación de patrones de bits de datos con los de protocolos conocidos es una técnica sencilla y ampliamente utilizada. Un ejemplo de comparación de la fase de enlace del protocolo BitTorrent sería comprobar si un paquete empezaba con el carácter 19 y luego iba seguido de la cadena de 19 bytes 'protocolo BitTorrent'. ^[4]

En la Comparación independiente de herramientas DPI populares para la clasificación de tráfico se muestra una comparación exhaustiva de varios clasificadores de tráfico de red que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR). ^[5]

Clasificación estadística

• Se basa en el análisis estadístico de atributos como frecuencias de bytes, tamaños de paquetes y tiempos de llegada entre paquetes. ^[6]
• Muy a menudo se utilizan algoritmos de aprendizaje automático, como K-Means, filtro Naive Bayes, C4.5, C5.0, J48 o Random Forest.
• Técnica rápida (en comparación con la clasificación por inspección profunda de paquetes )
• Puede detectar la clase de aplicaciones aún desconocidas.

Clasificación de tráfico cifrado

Hoy en día el tráfico es más complejo y más seguro, por lo que se necesita un método para clasificar el tráfico cifrado de una forma diferente al modo clásico (basado en el análisis del tráfico IP mediante sondas en la red central). Una forma de lograr esto es utilizando descriptores de tráfico de trazas de conexión en la interfaz de radio para realizar la clasificación. ^[7]

Este mismo problema con la clasificación del tráfico también está presente en el tráfico multimedia. Se ha demostrado en general que el uso de métodos basados ​​en redes neuronales, máquinas de soporte vectorial, estadísticas y vecinos más cercanos es una excelente manera de realizar esta clasificación del tráfico, pero en algunos casos específicos algunos métodos son mejores que otros, por ejemplo: las redes neuronales funcionan mejor cuando se tiene en cuenta todo el conjunto de observaciones. ^[8]

Implementación

Tanto el programador de red de Linux como Netfilter contienen lógica para identificar y marcar o clasificar paquetes de red.

Clases de tráfico típicas

Los operadores suelen distinguir dos grandes tipos de tráfico de red: sensible al tiempo y de máximo esfuerzo. ^[9]

Tráfico sensible al tiempo

El tráfico sensible al tiempo es el tráfico que el operador espera entregar a tiempo. Esto incluye VoIP , juegos en línea , videoconferencias y navegación web . Los esquemas de gestión de tráfico suelen estar diseñados de tal manera que la calidad del servicio de estos usos seleccionados esté garantizada, o al menos se le dé prioridad sobre otras clases de tráfico. Esto se puede lograr mediante la ausencia de modelado para esta clase de tráfico o priorizando el tráfico sensible sobre otras clases.

Tráfico de máximo esfuerzo

El tráfico de mejor esfuerzo es cualquier otro tipo de tráfico. Se trata del tráfico que el ISP considera que no es sensible a las métricas de calidad del servicio (fluctuación, pérdida de paquetes, latencia). Un ejemplo típico serían las aplicaciones de correo electrónico y de punto a punto . Los esquemas de gestión del tráfico suelen estar diseñados para que el tráfico de mejor esfuerzo obtenga lo que queda después del tráfico sensible al tiempo.

Intercambio de archivos

Las aplicaciones de intercambio de archivos entre pares suelen estar diseñadas para utilizar todo el ancho de banda disponible, lo que afecta a las aplicaciones sensibles a la calidad de servicio (como los juegos en línea ) que utilizan cantidades comparativamente pequeñas de ancho de banda. Los programas P2P también pueden sufrir ineficiencias en la estrategia de descarga, es decir, descargar archivos de cualquier par disponible, independientemente del costo del enlace. Las aplicaciones utilizan el tráfico ICMP y HTTP normal para descubrir servidores y descargar directorios de archivos disponibles.

En 2002, Sandvine Incorporated determinó, a través del análisis de tráfico, que el tráfico P2P representaba hasta el 60% del tráfico en la mayoría de las redes. ^[10] Esto demuestra, en contraste con estudios y pronósticos anteriores, que el P2P se ha convertido en algo común.

Los protocolos P2P pueden y son diseñados a menudo de modo que los paquetes resultantes sean más difíciles de identificar (para evitar la detección por parte de los clasificadores de tráfico), y con la suficiente robustez como para que no dependan de propiedades QoS específicas en la red (entrega de paquetes en orden, fluctuación, etc. - normalmente esto se logra mediante un mayor almacenamiento en búfer y un transporte fiable, con el usuario experimentando como resultado un mayor tiempo de descarga). El protocolo BitTorrent encriptado , por ejemplo, se basa en la ofuscación y tamaños de paquetes aleatorios para evitar la identificación. ^[11] El tráfico de intercambio de archivos se puede clasificar adecuadamente como tráfico de mejor esfuerzo. En las horas punta, cuando el tráfico sensible está en su apogeo, las velocidades de descarga disminuirán. Sin embargo, dado que las descargas P2P son a menudo actividades de fondo, afecta poco a la experiencia del suscriptor, siempre que las velocidades de descarga aumenten a su máximo potencial cuando todos los demás suscriptores cuelgan sus teléfonos VoIP. Las excepciones son los servicios de VoIP P2P en tiempo real y de transmisión de vídeo P2P que necesitan QoS permanente y utilizan una sobrecarga excesiva ^{[ cita requerida ]} y tráfico de paridad para aplicar esto en la medida de lo posible.

Algunas aplicaciones P2P ^[12] pueden configurarse para actuar como fuentes autolimitantes , sirviendo como un modelador de tráfico configurado según la especificación de tráfico del usuario (en oposición a la del operador de red).

Algunos proveedores recomiendan la gestión de clientes en lugar de protocolos específicos, en particular para los ISP. Al gestionar por cliente (es decir, por cliente), si el cliente decide utilizar su parte justa del ancho de banda ejecutando aplicaciones P2P, puede hacerlo, pero si su aplicación es abusiva, solo obstruye su propio ancho de banda y no puede afectar el ancho de banda utilizado por otros clientes.

Referencias

1. IETF RFC 2475 "Una arquitectura para servicios diferenciados", sección 2.3.1: definición de clasificador del IETF .
2. SIN 450 Edición 1.2 Mayo de 2007 Nota de información para proveedores de la red BT BT Wholesale - Servicios avanzados BT IPstream - Control de velocidad del usuario final y calidad del servicio descendente - Descripción del servicio
3. Ferguson P., Huston G., Calidad de servicio: Entrega de QoS en Internet y en redes corporativas, John Wiley & Sons, Inc., 1998. ISBN  0-471-24358-2 .
4. Protocolo BitTorrent
5. Tomasz Bujlow; Valentín Carela-Español; Pere Barlet-Ros. "Comparación independiente de herramientas DPI populares para la clasificación del tráfico". En prensa (Computer Networks) . Consultado el 10 de noviembre de 2014 .
6. E. Hjelmvik y W. John, “Identificación de protocolo estadístico con SPID: resultados preliminares”, en Actas de SNCNW, 2009
7. Gijón, Carolina (2020). "Clasificación de tráfico cifrado basada en aprendizaje no supervisado en redes de acceso de radio celular". IEEE . 8 : 167252–167263. doi : 10.1109/ACCESS.2020.3022980 . S2CID  221913926.
8. Canovas, Alejandro (2018). "Clasificación del tráfico de flujos de datos multimedia mediante modelos inteligentes basados ​​en patrones de tráfico". IEEE . 32 (6): 100–107. doi :10.1109/MNET.2018.1800121. hdl : 10251/116174 . S2CID  54437310.
9. "Mapa de clases". Cisco . Consultado el 22 de febrero de 2024 .
10. Leydon, John. "El P2P inunda las redes de banda ancha". The Register .Artículo del Registro que hace referencia al informe de Sandvine: el acceso al informe real requiere registrarse en Sandvine
11. Identificación del protocolo de cifrado de flujo de mensajes (MSE)
12. "Optimizar la velocidad de uTorrent Jatex Weblog".Ejemplo de limitación del tráfico P2P del lado del cliente