| dc.description.abstract | I dagens samfunn blir fler og fler tjenester digitalisert. Dette fører til at mer data flyter gjennom nettverkene, og et økende behov for å ha sikre nettverk for å unngå å få data på avveie. Denne studien undersøker i hvilken grad maskinvare og programvare som ikke er designet for å oppdage avvik i RTT målinger, faktisk har mulighet til å oppdage dette under noen omstendighet, og i så fall hvilke omstendigheter dette er. Målet er å bruke avvik i RTT målinger til å oppdage en endret nettverksvei eller endringer i en nettverksvei. Metoden er utviklet til bruk i nettverk som kontrolleres av en operator som er kjent med topologien til nettverket.
For å kunne oppdage slike avvik som kan være en endret nettverksvei eller endringer i en nettverksvei er det viktig å vite hvilke behov som er nødvendig for å bruke lett tilgjengelig maskin- og programvare. Dette inkluderer også hvor nøyaktig forsinkelsemålingene er. I denne studien er det valgt å bruke standardavvik og 95\%-konfidensintervall da de ikke er mulig å fastslå et faktisk tall på nøyaktigheten til målingene. Måten å sammenligne RTT målinger er å lage en sannsynlighetstetthetsfunksjon for hver av nettverksveiene og sammenligne disse. Ved å sammenligne konfidensintervall og standardavvik for de ulike sannsynlighetstetthetsfunksjonene blir det mulig å komme med forslag til hvilke krav som må være til stede for å bruke lett tilgjengelig maskin- og programvaren til å finne avvik i RTT-målinger som kan være forårsaket av endringer i nettet.
Resultatene fra studien viser at 1400-byte IP pakker ga mest nøyaktig målinger ut ifra de pakkelengdene som blir brukt. Studien viser også at IP pakkene som blir sendt i nettverket for å måle RTT ikke må overstige 1500 bytes da dette er grensen for last en Ethernet frame kan frakte. Dersom denne grensen overstiges vil pakkene fragmenteres dersom ikke alle enhetene i nettverket klarer å håndtere såkalte jumbo-pakker. Studien gjort viser at når man skal gjøre slike målinger vil destinasjon være med på å påvirke nøyaktigheten på målingene. Det iser seg at en server vil gi mer nøyaktige målinger enn en ruter, basert på hvilke andre prosesser som kjører på enhetene. ICMP echo response meldingen vil kunne oppleve ulik lengde på hvor lenge den må bli prosessert og ut ifra dette studiet var ventetiden for å bli prosessert av en server mer stabil enn når en ruter ble pinget mot. Dette gjør det lettere å skille på ulike nettverksveier. Til slutt er last i nettverket, og hvordan det påvirker RTT målingene studert. Basert på resultatene er at variasjonen i last i denne studien ikke gir store nok til at maskin- og programvaren klarer å detektere endringene. | |
| dc.description.abstract | Today an increasing amount of data is becoming digital, and the need to protect networks to keep them secure is crucial. This study aims to investigate whether non-designated hardware and software can detect changes in a network path or a changed network path. The method is designed to be used on networks that are controlled by operators that is familiar with the topology of the network. The network used in this study is located at NTNU. A limitation is that the network studied is operated by NTNU, and not by the researchers, which was a constraint when choosing the network paths to study.
To detect a changed network path or a change in the network, delay anomalies at layer one, layer two, and layer three in the OSI model are detected by looking at RTT measurements. The non-designated hardware used is a personal computer, and the non-designated software is HrPing, made for Windows computers to get RTT measurements in the scale of microseconds. Furthermore, the research focuses on what types of requirements are needed to make the chosen hardware and software capable of detecting delay anomalies, including looking at the accuracy of the RTT measurements where the accuracy is defined in terms of standard deviation and 95\%-confidence intervals. Probability density functions were used to illustrate the data collected.
The findings of this study were that 1400-byte IP packets give the most accurate results among the packet sizes studied. The packet size should not exceed 1500 bytes since this is the maximum Ethernet frame size, which can make packets fragment. A key finding was that the type of destination pinged affected the accuracy of the measurements. The desired destination type is a server running a few processes, making the ICMP echo response messages being processed in approximately same amount of time. Pinging a server gave more accurate measurements, making it easier to detect a path change when comparing data in two density plots. The way in which the load in the network affects the RTT measurements is also studied, with the conclusion that the load in the network, in the two periods studied, did not add enough delay to make an evident change in the RTTs. | |
