Clasificación del tráfico

Categorización del tráfico de la red informática.

La clasificación del tráfico es un proceso automatizado que clasifica el tráfico de la red informática según varios parámetros (por ejemplo, según el número de puerto o el protocolo ) en varias clases de tráfico . ^[1] Cada clase de tráfico resultante puede ser tratada de manera diferente para diferenciar el servicio que implica para el generador o consumidor de datos.

Usos típicos

Los paquetes se clasifican para que el programador de red los procese de manera diferente . Al clasificar un flujo de tráfico utilizando un protocolo particular, se le puede aplicar una política predeterminada y a otros flujos para garantizar una cierta calidad (como con VoIP o el servicio de transmisión de medios ^[2] ) o para proporcionar la mejor entrega. Esto se puede aplicar en el punto de ingreso (el punto en el que el tráfico ingresa a la red, generalmente un dispositivo de borde ) con una granularidad que permite a los mecanismos de gestión del tráfico separar el tráfico en flujos individuales y ponerlos en cola, controlarlos y darles forma de manera diferente. ^[3]

Métodos de clasificación

La clasificación se logra por varios medios.

Números de puerto

• Rápido
• Bajo consumo de recursos
• Compatible con muchos dispositivos de red
• No implementa la carga útil de la capa de aplicación, por lo que no compromete la privacidad de los usuarios.
• Útil solo para aplicaciones y servicios que utilizan números de puerto fijos
• Fácil de engañar cambiando el número de puerto en el sistema

Inspección profunda de paquetes

• Inspecciona la carga útil real del paquete.
• Detecta las aplicaciones y servicios independientemente del número de puerto en el que operan.
• Lento
• Requiere mucha potencia de procesamiento
• Las firmas deben mantenerse actualizadas, ya que las aplicaciones cambian con mucha frecuencia.
• El cifrado hace que este método sea imposible en muchos casos.

Hacer coincidir patrones de bits de datos con los de protocolos conocidos es una técnica sencilla y ampliamente utilizada. Un ejemplo para coincidir con la fase de protocolo de enlace del protocolo BitTorrent sería verificar si un paquete comienza con el carácter 19, seguido por la cadena de 19 bytes 'protocolo BitTorrent'. ^[4]

En la Comparación independiente de herramientas DPI populares para clasificación de tráfico se muestra una comparación completa de varios clasificadores de tráfico de red, que dependen de la inspección profunda de paquetes (PACE, OpenDPI, 4 configuraciones diferentes de filtro L7, NDPI, Libprotoident y Cisco NBAR). . ^[5]

Clasificación estadística

• Se basa en el análisis estadístico de atributos como frecuencias de bytes, tamaños de paquetes y tiempos entre llegadas de paquetes. ^[6]
• Muy a menudo utiliza algoritmos de aprendizaje automático, como K-Means, Naive Bayes Filter, C4.5, C5.0, J48 o Random Forest.
• Técnica rápida (en comparación con la clasificación de inspección profunda de paquetes )
• Puede detectar la clase de aplicaciones aún desconocidas.

Clasificación del tráfico cifrado

Hoy en día el tráfico es más complejo, y más seguro, para ello necesitamos un método que clasifique el tráfico cifrado de forma diferente al modo clásico (basado en el análisis del tráfico IP mediante sondas en la red central). Una forma de lograr esto es utilizar descriptores de tráfico de trazas de conexión en la interfaz de radio para realizar la clasificación. ^[7]

Este mismo problema con la clasificación del tráfico también está presente en el tráfico multimedia. En general se ha demostrado que utilizar métodos basados ​​en redes neuronales, máquinas de soporte de vectores, estadísticas y los vecinos más cercanos son una excelente manera de hacer esta clasificación del tráfico, pero en algunos casos específicos algunos métodos son mejores que otros, por ejemplo: redes neuronales funcionan mejor cuando se tiene en cuenta todo el conjunto de observaciones. ^[8]

Implementación

Tanto el programador de red de Linux como Netfilter contienen lógica para identificar y marcar o clasificar paquetes de red.

Clases de tráfico típicas

Los operadores suelen distinguir dos tipos amplios de tráfico de red: urgente y de mejor esfuerzo. ^[9]

Tráfico urgente

El tráfico urgente es el tráfico que el operador espera entregar a tiempo. Esto incluye VoIP , juegos en línea , videoconferencias y navegación web . Los esquemas de gestión del tráfico suelen estar diseñados de tal manera que la calidad del servicio de estos usos seleccionados esté garantizada, o al menos priorizada sobre otras clases de tráfico. Esto se puede lograr mediante la ausencia de configuración para esta clase de tráfico o priorizando el tráfico sensible por encima de otras clases.

Tráfico de mejor esfuerzo

El tráfico de mejor esfuerzo es todos los demás tipos de tráfico. Este es el tráfico que el ISP considera que no es sensible a las métricas de calidad del servicio (jitter, pérdida de paquetes, latencia). Un ejemplo típico serían las aplicaciones de correo electrónico y de igual a igual . Los esquemas de gestión del tráfico generalmente se adaptan para que el tráfico de mejor esfuerzo obtenga lo que queda después del tráfico urgente.

Compartición de archivos

Las aplicaciones para compartir archivos punto a punto a menudo están diseñadas para utilizar todo el ancho de banda disponible, lo que afecta a las aplicaciones sensibles a la QoS (como los juegos en línea ) que utilizan cantidades comparativamente pequeñas de ancho de banda. Los programas P2P también pueden sufrir ineficiencias en la estrategia de descarga, es decir, descargar archivos de cualquier par disponible, independientemente del costo del enlace. Las aplicaciones utilizan ICMP y tráfico HTTP regular para descubrir servidores y descargar directorios de archivos disponibles.

En 2002, Sandvine Incorporated determinó, mediante análisis de tráfico, que el tráfico P2P representaba hasta el 60% del tráfico en la mayoría de las redes. ^[10] Esto muestra, a diferencia de estudios y previsiones anteriores, que el P2P se ha convertido en algo habitual.

Los protocolos P2P pueden diseñarse, y a menudo lo hacen, para que los paquetes resultantes sean más difíciles de identificar (para evitar la detección por parte de los clasificadores de tráfico) y con suficiente solidez para que no dependan de propiedades QoS específicas en la red (entrega de paquetes en orden, jitter, etc. (generalmente esto se logra mediante un mayor almacenamiento en búfer y un transporte confiable, lo que hace que el usuario experimente un mayor tiempo de descarga como resultado). El protocolo BitTorrent cifrado se basa, por ejemplo, en la ofuscación y en tamaños de paquetes aleatorios para evitar la identificación. ^[11] El tráfico de intercambio de archivos se puede clasificar apropiadamente como tráfico de Mejor Esfuerzo. En las horas pico, cuando el tráfico sensible está en su punto máximo, las velocidades de descarga disminuirán. Sin embargo, dado que las descargas P2P suelen ser actividades en segundo plano, esto afecta poco la experiencia del suscriptor, siempre y cuando las velocidades de descarga aumenten a su máximo potencial cuando todos los demás suscriptores cuelgan sus teléfonos VoIP. Las excepciones son los servicios de transmisión de video P2P VoIP y P2P en tiempo real que necesitan QoS permanente y utilizan ^{[ cita necesaria ]} tráfico excesivo y de paridad para hacer cumplir esto en la medida de lo posible.

Algunas aplicaciones P2P ^[12] pueden configurarse para actuar como fuentes autolimitadas , sirviendo como modeladores de tráfico configurados según las especificaciones de tráfico del usuario (a diferencia de las del operador de red).

Algunos proveedores recomiendan gestionar clientes en lugar de protocolos específicos, especialmente para los ISP. Al administrar por cliente (es decir, por cliente), si el cliente elige usar su parte justa del ancho de banda ejecutando aplicaciones P2P, puede hacerlo, pero si su aplicación es abusiva, solo obstruye su propio ancho de banda y no puede afectar el ancho de banda utilizado por otros clientes.

Referencias

1. IETF RFC 2475 "Una arquitectura para servicios diferenciados" sección 2.3.1 - Definición de clasificador del IETF .
2. SIN 450 Edición 1.2 Mayo de 2007 Nota informativa para proveedores para la red BT BT Wholesale - Servicios avanzados BT IPstream - Control de velocidad del usuario final y calidad de servicio descendente - Descripción del servicio
3. Ferguson P., Huston G., Calidad de servicio: prestación de QoS en Internet y redes corporativas, John Wiley & Sons, Inc., 1998. ISBN  0-471-24358-2 .
4. Protocolo BitTorrent
5. Tomasz Bujlow; Valentín Carela-Español; Pere Barlet-Ros. "Comparación independiente de herramientas DPI populares para clasificación de tráfico". En prensa (Redes Informáticas) . Consultado el 10 de noviembre de 2014 .
6. E. Hjelmvik y W. John, "Identificación de protocolo estadístico con SPID: resultados preliminares", en Actas de SNCNW, 2009
7. Gijón, Carolina (2020). "Clasificación de tráfico cifrado basada en aprendizaje no supervisado en redes de acceso de radio celular". IEEE . 8 : 167252–167263. doi : 10.1109/ACCESS.2020.3022980 . S2CID  221913926.
8. Cánovas, Alejandro (2018). "Clasificación del tráfico de flujo de datos multimedia mediante modelos inteligentes basados ​​en patrones de tráfico". IEEE . 32 (6): 100–107. doi :10.1109/MNET.2018.1800121. hdl : 10251/116174 . S2CID  54437310.
9. "Mapa de clase". Cisco . Consultado el 22 de febrero de 2024 .
10. Leydon, John. "P2P inunda las redes de banda ancha". El registro .El artículo de Registro que hace referencia al informe Sandvine: el acceso al informe real requiere registrarse en Sandvine
11. Identificación del protocolo de cifrado de flujo de mensajes (MSE)
12. "Optimizar las velocidades de uTorrent Jatex Weblog".Ejemplo de limitación de tráfico P2P del lado del cliente