MonNet, exempel på mätningar på Sunet Sven Tafvelin Wolfgang John.

Slides:



Advertisements
Liknande presentationer
Målvakter Detta talar för Tre Kronor Detta talar för Tre Kronor Detta talar emot Tre Kronor Detta talar emot Tre Kronor Performance-analyserIndividuella.
Advertisements

Om att läsa på annat sätt Jenny Nilsson, TPB Äppelhyllor – en dag om specialmedier Göteborg
PTS Bredbandskartläggning

Talföljder formler och summor
Målvakter Försvarsspel Anfallsspel LaganalyserIndividuella analyser Rankade spelare Backar Forwards Detaljerande analyser 5 mot 5 Powerplay Boxplay Red.
Att bygga förnyelse – Hur byggbranschen förnyas!
78 respondenter. 2 [1] Hur har det varit hemma sedan du var här sist?
X-mas algebra Är du redo? Klicka!!.
Folkbildningspolitikers attityder till studieförbunden 2013
Program  Presentation av skolan och förslagen  Frågestund  Guidad visning Vi håller på till vi är färdiga, dock längst till
Kap 1 - Algebra och linjära modeller
Kommunalekonomins utveckling till år 2018 Källa: Basserviceprogrammet samt Kommunförbundets beräkningar.
Målvakter Försvarsspel Anfallsspel LaganalyserIndividuella analyser Rankade spelare Backar Forwards Detaljerande analyser 5 mot 5 Powerplay Boxplay Red.
Joomla © 2009 Stefan Andersson 1. Kontaktformulär  På varje seriös webbplats bör det finnas ett kontaktformulär.  Använd ej maillänkar, risk för spam!
hej och välkomna EKVATIONER Ta reda på det okända talet.
1 Tillämpning av Koden Innehåll •Undersökningens metod och uppläggning, inkl. bolagsurval •Sammanfattning •Genomgång av svar på fokusfrågor.
Videokonsultation med medborgare
PROJEKT TRAPPSTEGET Bilaga 1 PROJEKT TRAPPSTEGET
1 KTHNOC/SUNET Status Björn Rhoads KTHNOC TREFpunkt
Tillämpning av bolagsstyrningskoden vid årsstämmor 2005 och 2006.
Hur kom Bibeln till? Torsdagen den 14 januari Kvällens ämne:
Informationsmöte Akademi Gul och Blå. Innehåll möte Organisation Organisation HTK:s syn på grupp planering, träning mm. HTK:s syn på grupp planering,
Eddie Arnold - Make The World Go Away Images colorées de par le monde Déroulement automatique ou manuel à votre choix 1 för dig.
1 Hårddiskar och Disketter Boot sektorn på en diskett eller startsektorn på en partition (se s. 770)
1 Detta är ett bildspel. Om du inte vill bläddra själv så låt tiden jobba för dig. Det kan dröja en handfull sekunder innan bläddringen börjar. Hav tålamod…
Svevac Analys.
Karolinska Institutet, studentundersökning Studentundersökning på Karolinska Institutet HT 2013.
Punktprevalensmätning av trycksår 2011, v.40 Resultat från landstingen
Bastugatan 2. Box S Stockholm. Blad 1 Läsarundersökning Maskinentreprenören 2007.
| Trycksår Kommun/Områdes-skillnader (inklusive könsdimensionen) Dennis Nordvall Statistiker/Datamanager,
INFÖR NATIONELLA PROVET
SWEPOS Kundnöjdhetsundersökning Undersökningen Webenkät under 3 veckor i september 2012 Bruttourval ca huvudutskick och 2 påminnelser Triss-lott.
Enkätresultat för Grundskolan Elever 2014 Skola:Hällby skola.
Från binära till hexadecimala
Sammanfattning av marknadsundersökning Siffrorna är angivna i procent (%) och baserade på den undersökning som gjordes på 100 slumpmässigt utvalda personer.
Information statistik Ej med i statistik: Konradsbergs lokaler (utgår VT13) Nya lokalerna i Frescati backe (ej med i gamla systemet) Övrigt: Mätningen.
1 Vänsterskolan Debattartiklar. 2 Aktuell krok 3 Aktuella krokar 1. Direkt krok.
Spam/virus-kontroll 1 Spam/virus-kontroll vid Lunds universitet.
© Synovate Ungas attityder till rökning
Kostnader för läkemedelsförmån Utveckling t.o.m. september 2014 Materialet: avser kostnader inklusive moms är ej åldersstandardiserat Lennart Tingvall:
Hittarps IK Kartläggningspresentation år 3.
1 Individ Kompetens 60%66%67% Motivation 59%64%60% Ansvar & Initiativ 77%74%68% Befogenheter 82%69%61% Organisation Samarbete 52%66%68% Organisatorisk.
Från Gotland på kvällen (tågtider enligt 2007) 18:28 19:03 19:41 19:32 20:32 20:53 21:19 18:30 20:32 19:06 19:54 19:58 20:22 19:01 21:40 20:44 23:37 20:11.
Brukarundersökning socialpsykiatri Kön 1. Man16 (44%) 2. Kvinna20 (56%)
Det handlar om multiplikation
:44 Mäklarpanelen maj För vilka är bostadsmarknaden mest fördelaktig just nu, d v s i vilken utsträckning är det.
ÖVERSLAGSRÄKNING.
TÄNK PÅ ETT HELTAL MELLAN 1-50
Maria Kihl och Jens A Andersson Kapitel 5: Transportprotokoll.
Kouzlo starých časů… Letadla Pár foteček pro vzpomínku na dávné doby, tak hezké snění… M.K. 1 I Norrköping får man inte.
MonNet, exempel på mätningar på Sunet Sven Tafvelin Wolfgang John.
Varumärket Luleå kommun
LUNET: MLS och speglade paket vers 1.0
Resultat sammanhållen vård och omsorg om de mest sjuka äldre i Örebro län Västra länsdelen mätperiod 2014.
När min dotter Christina föddes år 1971 fanns det 24 personer i yrkesverksam ålder per 80-åring och äldre. 1.
Källa: FHI, Folkhälsodatabas
A. BOIJ AB Idé- och produktutveckling © 2009 Anita Boij Bild 1 av 41 F A L K Ö P I N G Ungdomars hälsa och drogvanor 2008 Undersökning bland niondeklassare.
OpCon/xps - A case study. Club2200Page 1 OpCon/xps – A case study Club2200 Magnus Nyman & Hans Forslind.
Maria Kihl och Jens A Andersson Kapitel 4: Internet Protocol (IP)
1 Logging and monitoring of TCP traffic in SSH tunnels Masters thesis Anton Persson.
Praktisk epidemiologi för allmänläkare
Network Services (Nätverkstjänster) Client/Servers And Their Interaction (Client/Server och deras interaktion)
Fråga 1: Om ledamöter i ALF- kommittén har haft personlig fördel avs kommitténs bedömning av deras ansökningar? Fråga 2: Om kvinnliga & manliga ledamöter.
Vara kommun Grundskoleundersökning 2014 Föräldrar 2 Levene skola årskurs 5 Antal svar 2014 för aktuell årskurs i skola: 12 Antal svar 2014 för årskurs.
Räkna till en miljard 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13,14,15,16,17,18,19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30, En miljard är ett.
NÄTVERKSPROTOKOLL Föreläsning
Undersökningen utfördes sommaren/hösten 2008 vid två stormarknader, den ena i Eskilstuna och den andra i Nacka utanför Stockholm. 100.
Övningsexempel till Kapitel 7 Ex 1. BRÄNNBOLLSDILEMMAT ! En person funderar över hur man bäst uppskattar 28 meter. Av erfarenhet vet han att hans steglängd,
När infaller Julafton och hur ofta?
Presentationens avskrift:

MonNet, exempel på mätningar på Sunet Sven Tafvelin Wolfgang John

”Fingerprinting” Det finns programvara, p0f, som passivt analyserar TCP-trafik till/från viss maskin och försöker lista ut vilket OS maskinen har. Den lyckas inte alltid UDP-trafik kan inte ”fingerprintas” eftersom alla implementeringar gör på samma sätt.

Användning av IP optioner Används i praktiken inte alls. Bland miljarder paket hittades bara 68 paket med IP optioner.

IP fragmentering De flesta IP-paketen (även IPv4) har ”don’t fragment”-biten påslagen. Det innebär att de använder Path MTU discovery. Därför blir det få fragmenteringar. IP-fragment utgör enbart 0.06% av alla IP- paket.

IP-fragmentering (2) Fragmenterade paket är 9 ggr vanligare på ingående länk än på utgående. På ingående länk bär fragmenterade paket UDP i 97% av fallen och TCP i 3 %. På utgående länk är UDP 19%, TCP är 18% och IPSec ESP är 63%.

IP-fragmentering (3) All denna IPSec trafik förekommer bara under kontorstid under arbetsdagar mellan exakt två maskiner. Trafiken är hela tiden ett fullt Ethernet-paket och ytterligare ett paket med 72 bytes. Uppenbart har maskinen inte tagit hänsyn till IPSec tunnlingens overhead. Detta borde fixas.

Märkliga IP-flaggor Don’t fragment och more fragments samtidigt!! (27474 paket). Fall1: paket finns i en burst i en trace: 10 min lång TCP flow med en maskin med port och andra maskinen med spelporten1737 (UltimaD). Märkligt nog är all trafik fragmenterad till 244 byte långa IP- paket summerande till normalt Ethernet segementlängd. Här behövs MF-flaggan men samtidigt är DF flaggan satt! Uppenbarligen har avsändaren själv fragmenterat.

Märkliga IP-flaggor (2) Samtidiga DF och MF-flaggor: Fall 2: 85% av alla utgående paket med flaggorna ovan kommer från en maskin och trafiken är utspridd över hela mätperioden. DNS porten används hela tiden vilket indikerar att det finns en ”sjuk” DNS server i göteborgsregionen.

TCP formfel Anomali02:0010:0014:0020:00 Odef option Fel opt längd Fel header längd

Tänkbara orsaker till TCP formfel Buggig programvara Illvilligt testande; kan vi få den andra partnern att hänga? Mindre illvilligt testande efter protokollstacksversioner; genom att se reaktionen på väl valda felaktiga paket kan man avgöra vilken protokollstack det är. ???

Otillåtna TCP-optioner Odefinierade optioner: 85% på inkommande länk och 15% på utgående. 36% ingår i en händelse: En extern dator gjorde under 20 min scanning mot port 2100 mot 8200 olika adresser med samma 16 bit prefix. Ca 6% av paketen hade felen ovan. Troligen är det ett buggigt scanningprogram. Fingerprinting (318/522) gav 80% Windows och 20% Unix derivat.

TCP header kortare än 20 bytes ”Kan inte förekomma” men fanns i 848 segment 91.3% på inkommande länk, 8,7% på utg ående. 351 paket kom från en host till 351 olika adresser mot portarna 21, 23, 110, 80, => Scanning och möjligen hopp om att ”döda” motparten! Fingerprinting (115/184) gav 78% Windows och 22% Unix derivat.

Märkliga TCP flaggor 02:0010:0014:0020:00 RST+SYN+FIN RST+SYN SYN+FIN42289 Zero flags RST+FIN

Märkliga TCP flaggor (2) SYN+FIN skulle kunna vara superkort transactional TCP (T/TCP), men är inte det eftersom den nödvändiga CC-optionen (RFC1644) inte finns. Fingerprinting de 4 första anomalierna gav (40/56) 95% Windows och 5% Unix derivat.

Märkliga TCP flaggor (3) Avslutning med FIN+RST är mycket vanligare än de andra anomalierna (51842 gånger). Ca 20% av använda portar är ”välkända” P2P och spel-portar och det förklarar säkert en mycket större andel.

P2P (Gnutella) exempel Svar från Gnutella ultrapeer: GNUTELLA/ OK X-Try: :6346, :6346, :6346, :16230, :16225, :40075,... X-Try-Ultrapeers: :23181, :6346, :3458, :6351,...

Märkliga TCP flaggor(4) Eftersom explicita icke välkända portnummer ges förklarar det ännu mer än de 20 % enligt tidigare. I de flesta fall förkommer denna avslutning direkt vid kontaktförsök som ett nej-svar. Typiskt återkommer försöket ett antal 10-tals sekunder senare och när detta nekas görs ett sista försök någon minut senare.

Nuläge Mätutrustningen är i drift igen med randomiserade tidpunkter för mätningar. Fördjupad analys av anomalierna pågår. Artikel med avsevärt mer detaljinformation har skrivits och skickats för publicering.