Identificando Tráfego VoIP a Partir de Fluxos: o Caso Skype

Transcrição

1 Sessão Técnica 3 - Análise de Tráfego P2P 101 Identificando Tráfego VoIP a Partir de Fluxos: o Caso Skype Josilene A. Moreira 1, Stenio F. L. Fernandes 2, Rafael Antonello 1, Rodrigo Barbosa 1, Djamel Sadok 1, Carlos Kamienski 3 1 Centro de Informática Universidade Federal de Pernambuco (UFPE) Caixa Postal 7851 Cidade Universitária Recife PE 2 Centro Federal de Educação Tecnológica de Alagoas (CEFET-AL) - Maceió, AL 3 Universidade Federal do ABC (UFABC) Santo André - SP {josilene, stenio, rafael.antonello, rodrigo, cak, jamel}@gprt.ufpe.br Abstract. Skype is a popular peer-to-peer VoIP application that has increased in popularity. However, little is known about its traffic characteristics, and its protocol specification is not available. This work provides a flow-based technique focusing on the detection of Skype presence in the network. Using BLINC approach that classifies traffic flows according to the host behavior, we propose an extension based on the average packets per flow information and do not use packet payload data. The experimental study was conducted over an academic network, and show that we are able to classify 78% of the Skype traffic under UDP protocol with 96.7% accuracy. Resumo. A utilização da tecnologia VoIP tem crescido de forma significativa nos últimos anos, principalmente pelo baixo custo para o usuário final. Entretanto, as características do tráfego gerado por esta classe de aplicações são pouco conhecidas, em parte devido às dificuldades inerentes à sua identificação. Este trabalho apresenta uma metodologia para a detecção do tráfego gerado pela aplicação Skype baseada exclusivamente na análise das características dos fluxos, sem nenhum acesso à carga útil dos pacotes. Para tal, foi desenvolvida uma extensão da técnica BLINC, que se baseia no comportamento dos nós e no número de pacotes por fluxo, permitindo identificar o tráfego Skype sob protocolo UDP com uma precisão de 96,7%. 1. Introdução O tráfego de Voz sob IP (VoIP) tem crescido muito nos últimos anos, com o surgimento de uma ampla oferta de serviços em todo o mundo. Em 2003, a empresa Skype [15] disponibilizou uma aplicação VoIP gratuita, desenvolvida a partir do conhecimento adquirido pelos seus autores com a rede de compartilhamento de arquivos Peer-to-peer (P2P) Kazaa. Desde então, foram efetuados mais de 100 milhões de downloads do software cliente, sendo ativamente usado por milhões de pessoas [19]. O Skype utiliza a tecnologia P2P para oferecer serviços de comunicação através da Internet. A rede é descentralizada apresentando vantagens sobre as redes tradicionais com estrutura cliente-servidor. Têm infinita capacidade de expansão sem reduzir o

2 102 III Workshop de Peer to Peer tempo de pesquisa e sem necessidade de recursos centralizados e dispendiosos. A expansão é via tecnologia do usuário final, pois a cada novo indivíduo conectado é adicionada à rede capacidade de processamento e largura de banda em relação à mesma. Isso significa que, a cada novo usuário, a qualidade do serviço pode aumentar e melhorar. A empresa de leilões na Internet ebay, que adquiriu a empresa Skype no ano passado, fechou o primeiro trimestre de 2007 com ganho de US$ 377,2 milhões, montante 52% superior ao do mesmo intervalo de A divisão de comunicações, com o serviço de telefonia por Internet Skype, teve alta de 123% na receita, para US$ 79 milhões. O número de usuários VoIP nos Estados Unidos era de 9 milhões em 2006, e estima-se que este número chegará a atingir 24 milhões em 2008 [12]. Considerando que as aplicações VoIP têm uma participação importante nas aplicações usadas hoje na Internet, e que o Skype vem despontando como uma aplicação emergente, há um grande interesse em identificar e caracterizar essa classe de aplicações por parte das áreas de gerência e operação de serviços, tanto nos provedores de acesso quanto no núcleo da Internet. Várias técnicas de medição passiva têm sido propostas para a identificação e caracterização das aplicações usadas na Internet, ao nível de pacotes e de fluxos [2][8][9]. A medição ao nível de pacotes é realizada através da inspeção de cada cabeçalho e/ou carga útil do pacote (payload), em um determinado ponto de observação da rede. Um dos problemas com esta técnica é a falta de escalabilidade, devido à geração de um grande volume de dados que precisa ser manipulado; outro problema é que o acesso à carga útil do pacote muitas vezes não é permitido (devido às restrições legais de privacidade) ou não está acessível (devido ao uso de criptografia). As técnicas ao nível de fluxos baseiam-se na tupla (IP-origem, IP-destino, Porta-origem, Portadestino, Protocolo) para a identificação das aplicações. Neste trabalho aplica-se uma metodologia baseada em fluxos e nos relacionamentos entre as máquinas para a identificação do tráfego Skype, a qual se enquadra na área de medição passiva. A técnica foi desenvolvida como extensão do mecanismo de classificação proposto em BLINC BLINd Classification [6], o qual observa o comportamento das máquinas e, baseado em uma biblioteca contendo estruturas (graphlets) que refletem o comportamento típico das aplicações, realiza a classificação dos fluxos. Embora os resultados apresentados no trabalho original [6] tenham apresentado desempenho razoável no reconhecimento de algumas aplicações, tais como web, chat, correio eletrônico, jogos e vídeo, a técnica não incorpora métodos e algoritmos para identificação de importantes aplicações emergentes, tais como VoIP e Vídeo sobre http. O trabalho aqui apresentado concentra-se na extensão desta técnica para a detecção das aplicações VoIP, mais especificamente da aplicação Skype. Esta proposta não acessa o conteúdo dos pacotes nem se baseia em portas bem-conhecidas. Desta forma, os aspectos de privacidade não são violados. Em linhas gerais, a técnica proposta baseia-se em informações de registros de fluxos que as ferramentas disponíveis nos roteadores para registro de informações de fluxos, tais como o CISCO NetFlow [11], são capazes de prover. Este artigo está organizado da seguinte maneira: na seção 2 são apresentados os trabalhos relacionados; na seção 3 apresenta-se uma visão geral do Skype; em 4,

3 Sessão Técnica 3 - Análise de Tráfego P2P 103 descreve-se a técnica BLINC; em 5, detalha-se a metodologia utilizada, em 6, são mostradas as etapas de caracterização do tráfego Skype e os resultados obtidos; em 7, descreve-se as limitações do trabalho e em 8 são apresentadas as conclusões e expectativas. 2. Trabalhos Relacionados A complexidade da detecção do tráfego originado pela aplicação Skype aliada ao interesse dos provedores de acesso e gerentes de rede em sua identificação tem motivado crescentes pesquisas nesta área. Crovella afirma em [3] que uma das grandes dificuldades envolvidas na medição de tráfego P2P é a impossibilidade de prever quais serão os nós envolvidos no caminho, dada a natureza dinâmica do tráfego. Além da natureza dinâmica inerente às aplicações P2P, o Skype, utiliza protocolos proprietários que dificultam sua identificação. Pesquisas recentes abordam a detecção da assinatura do seu protocolo e da caracterização do tráfego gerado por esta aplicação [1][4][5][17]. Baset e Schulzrinne [1] realizaram um estudo detalhado do skype, analisando as funções de login, estabelecimento de chamada, transferência de dados, codecs e conferência em três cenários diferentes: o primeiro consiste de um conjunto de usuários em máquinas com endereços IP públicos; o segundo, estuda a utilização por usuários sob NAT; e o terceiro, analisa a utilização sob NAT e firewall. As versões do Skype analisadas neste estudo foram para Windows e para Linux. Ehlert et al [4] efetuaram uma análise detalhada da operação do Skype, buscando o desenvolvimento de assinaturas de tráfego que possam ser usadas para a identificação dos protocolos utilizados por esta aplicação. Foi proposto um algoritmo bastante complexo com onze passos para o reconhecimento da sua assinatura, através do qual o autor afirma ser possível detectar amplamente o tráfego Skype. As análises foram realizadas em ambiente Windows XP com as versões 1.4 e 2.0, e a assinatura foi identificada para a versão 1.5. Esta técnica baseia-se na carga útil dos pacotes, e portanto não é escalável. Guha et al [5] desenvolveram um estudo experimental das características do Skype, concluindo que, embora seu tráfego tenha um comportamento semelhante a outras aplicações P2P, mais particularmente KazaA, existem algumas diferenças significativas. O número de clientes ativos tem maior prevalência em dias de semana e horários comerciais, o número de supernós é relativamente estável e o consumo de largura de banda em um supernó é tipicamente baixo. Este trabalho foi realizado através de uma coleta em 82 milhões de pontos e, embora não tenha se preocupado com a detecção das assinaturas, traz uma importante contribuição no que diz respeito à caracterização do tráfego. Preocupa-se em caracterizar os perfis de usuários e das chamadas, e não em identificar o tráfego Skype em um determinado link de acesso, como é o objetivo do nosso trabalho. Finalmente, em [17] Suh et al analisam o Skype no contexto das aplicações que fazem uso de relay nodes : instâncias da mesma aplicação localizadas em nós ou máquinas que agem como repassadores de informações. Os autores tratam do problema de caracterizar estas aplicações e de detectar o tráfego gerado por elas através de um conjunto de métricas baseadas em rajadas de pacotes. Adicionalmente, é

4 104 III Workshop de Peer to Peer discutido o processo utilizado na identificação do tráfego Skype baseado no conteúdo dos pacotes, o qual foi usado para validar a técnica proposta. 3 A aplicação Skype Skype é uma aplicação que provê serviços de VoIP, Instant Messaging, conferência e transferência de arquivos em uma interface de fácil utilização, podendo ser usado atrás de Network Address Translators (NAT) e firewalls. Além disso, todo o tráfego é criptografado fim-a-fim. Em essência, é muito semelhante aos serviços de chat como MSN e Yahoo Messenger, porém as técnicas e os protocolos que ele emprega são outros [1]. Utiliza protocolos proprietários e baseia-se na tecnologia P2P. A cada nova versão do Skype, seus desenvolvedores mudam significativamente seus mecanismos de operação, dificultando sua detecção, medição e análise de tráfego [19]. Em sua versão mais recente (i.e., em abril de 2007, a versão 3.1), o Skype oferece comunicação entre computadores (Skype-to-Skype), comunicação com telefones fixos e móveis (SkypeOut), recebimento de chamadas telefônicas no computador (SkypeIn) e mensagens de texto (SMS), além de chats e conferência com até dez participantes. O serviço Skype-to-Skype é gratuito [15]. O Skype baseia-se em uma rede de overlay P2P para sua comunicação. Existem dois tipos de nós que compõem esta rede, os nós clientes e os supernós [4]. Um nó cliente é um nó usuário da aplicação, que pode fazer chamadas e usar os serviços adicionais. Um supernó é um nó geralmente com uma maior capacidade de CPU, memória e/ou largura de banda, que pode prover mais funcionalidades do que os nós clientes. Além dos nós e supernós, o servidor de autenticação é um dos componentes centrais da rede, tendo a função de armazenar nomes e passwords e efetuar o processo de autenticação. 4. A técnica BLINC A técnica aplicada neste artigo, BLINC: BLINd Classification [6], classifica as aplicações a partir de fluxos. Sua abordagem baseia-se nas características do comportamento das máquinas, através da observação das suas atividades em três níveis: (i) social, (ii) funcional e (iii) de aplicação. No nível social, é capturado o comportamento da máquina através da verificação de com quantas outras máquinas ela se relaciona. No nível funcional, é observado o papel da máquina na rede, analisando se ela desempenha o papel de provedora ou consumidora de serviços, ou ambos. No terceiro nível de aplicação são estudadas as interações com respeito aos IPs e portas. Primeiramente é realizada a classificação baseada apenas na tupla (IP-origem, IP-destino, porta-origem, porta-destino) e em seguida é feito um refinamento explorando outras características dos fluxos, tais como o protocolo de transporte, o tamanho e o número médios de pacotes. A técnica BLINC realiza a análise do comportamento através de uma biblioteca de graphlets. Na Figura 1(a) observa-se o graphlet para jogos que utilizam o protocolo UDP, onde um IP origem relaciona-se com alguns IPs destino usando uma única porta de origem e comunicando-se com múltiplas portas destino. Na Figura 1(b) é mostrado o graphlet que representa o comportamento nas aplicações P2P, onde o protocolo é acrescentado para complementar a heurística.

5 Sessão Técnica 3 - Análise de Tráfego P2P 105 (a) (b) Figura 1. (a) Graphlet para jogos UDP (b) Graphlet para P2P 5. Metodologia Os traces utilizados na análise foram coletados no PoP-PE em setembro de 2005 e em novembro e dezembro de O PoP-PE, Ponto de Presença da Rede Nacional de Ensino e Pesquisa em Pernambuco, é uma entidade que fornece acesso Internet à comunidade acadêmica do estado, tendo como clientes a Universidade Federal de Pernambuco (UFPE), o Instituto de Tecnologia de Pernambuco (ITEP) e a empresa Brasileira de Pesquisa Agropecuária, entre outros. Os dados foram coletados em horário comercial, com parte da carga útil dos pacotes, de tal forma que fosse possível identificar as assinaturas das aplicações geradoras de tráfego. Estes pacotes então foram agrupados em fluxos, e a técnica BLINC original foi aplicada sobre o conjunto de fluxos. A tabela 1 apresenta dados sobre os traces coletados. Tabela 1. Traces do PoP-PE utilizados na análise Data da coleta Volume Número de Fluxos Amostra 0 Set/ Mb Amostra 1 13/12/ Gb Amostra 2 24/11/ Mb Amostra 3 14/12/ Mb A coleta de pacotes foi realizada utilizando o TCPDump [18]. A fim de verificar o desempenho da técnica BLINC na identificação das aplicações, um procedimento obrigatório é identificar precisamente as aplicações contidas no conjunto de dados de fluxos. Assim, foi aplicado um analisador baseado em assinaturas, o Analyser-PX [16]. Este analisador inspeciona a carga útil dos pacotes e detecta as aplicações ali existentes, pela observação das assinaturas das aplicações, descritas no projeto NetFilter [10]. O Analyser-PX processa os arquivos com dados de carga útil dos pacotes, coletados com o TCPDump, e gera os resumos dos fluxos, no formato de saída similar ao Cisco NetFlow, com um rótulo das aplicações identificadas em cada registro de fluxo (Figura 2).

6 106 III Workshop de Peer to Peer Figura 2. Funcionamento do Analyser-PX A avaliação de desempenho é realizada comparando-se o resultado da identificação das aplicações obtidas pela técnica BLINC com a identificação das aplicações feita pelo Analyser-PX. As métricas utilizadas para avaliar a classificação são Eficiência e Precisão. A eficiência mede o total de tráfego classificado, e a precisão mede o percentual classificado corretamente, quando comparado com o analisador de pacotes Analyser-PX, o qual é nosso ponto de referência. Em outras palavras, a precisão indica a probabilidade de uma aplicação identificada pelo BLINC ter sido identificada corretamente. Os falso-positivos acontecem quando a técnica BLINC classifica maior número de ocorrências de uma aplicação do que o Analyser-PX classificou. Os falsopositivos diminuem a precisão da classificação, e seu detalhamento é importante para trazer maior compreensão sobre o processo de detecção de aplicações. 6. Caracterizando o Tráfego Skype A técnica BLINC originalmente identifica o tráfego P2P como uma classe que, contém um subconjunto de aplicações tais como edonkey, KazaA, e Gnutella, dado que seus protocolos apresentam características similares de comportamento. Além disso, no conjunto de aplicações identificadas pelo BLINC como P2P, encontra-se também o subconjunto de aplicações Skype. Como o objetivo deste trabalho propõe identificar tais aplicações, os registros de fluxos com as aplicações identificadas pelo Analyser-PX foram analisados com o objetivo de encontrar características distintas para essa classe de aplicações. O primeiro cenário avaliado origina-se de uma coleta de 49 Mbytes de fluxos realizada em 2005 no PoP-PE (amostra 0 da tabela 1), onde apenas as aplicações P2P estão identificadas, dado o interesse específico da pesquisa realizada [16]. A avaliação efetuada neste cenário teve como objetivo verificar a eficiência da técnica BLINC para as aplicações P2P. A Figura 3 mostra a eficiência e precisão da técnica BLINC em volume, a qual obteve 68% de eficiência com uma precisão de 100%. 100% 90% 80% 70% 60% 50% 40% 30% 20% 10% 0% Eficiência e Precisão para P2P em Volume 100% 68% Eficiência Precisão bytes Figura 3. Eficiência e Precisão para P2P

7 Sessão Técnica 3 - Análise de Tráfego P2P 107 Dado que o volume de tráfego P2P pode ser responsável por 40% a 80% do volume total de tráfego [16], a precisão de 100% alcançada pela técnica é muito significativa, possibilitando identificar com segurança as aplicações que estão consumindo maior largura de banda em um determinado enlace. A partir da comprovação da eficiência da técnica para a identificação do tráfego P2P, iniciou-se o estudo das características destas aplicações com o objetivo de identificar precisamente o tráfego Skype. Para isso, as aplicações P2P identificadas pelo Analyser-PX nas amostras 1, 2 e 3 foram divididas em 2 grupos: (a) aplicações Skype e (b) outras aplicações P2P. Foram estudadas as seguintes características para cada grupo de aplicações: tamanho dos fluxos, número de pacotes por fluxo e tamanho médio de pacotes por fluxo (obtido pela divisão do tamanho do fluxo pelo número de pacotes do fluxo). Entre estas características, aquela que nos permitiu distinguir as aplicações Skype do restante das aplicações P2P foi número médio de pacotes por fluxo (Figura 4). Numero Médio de pacotes por fluxos amostras outros p2p skype média de pacotes Figura 4. Média de pacotes por fluxo para Skype sob UDP e outras aplicações P2P Constatou-se que o número médio de pacotes por fluxo fica entre 1.81 e 2.77 para a aplicação Skype nas três amostras, sendo muito menor do que para as outras aplicações P2P, que apresentam valores médios bem mais altos. A Figura 5 mostra a distribuição empírica acumulada do número de pacotes por fluxo em escala logarítmica, com as aplicações divididas em três grupos: (a) Skype-Out, (b) Skype-to-Skype e (c) outras aplicações P2P. Para a aplicação Skype-Out, percebemos que 99% dos fluxos apresentam um número de pacotes por fluxo inferior a 10. Para a aplicação Skype-to-Skype, este percentual fica um pouco acima de 92%. Para as outras aplicações P2P, verifica-se que 90% dos fluxos apresenta um número de pacotes por fluxo maior do que 10. Adicionalmente, observa-se que 70% dos fluxos possuem um número de pacotes maior do que 100.

8 108 III Workshop de Peer to Peer Figura 5. ECDF do log(número de pacotes por fluxo) Esta baixa quantidade de pacotes por fluxos UDP é descrita em Baset e Schulzrinne [1], os quais analisam detalhadamente diversos cenários das chamadas Skype. No seu trabalho é mostrado que nas tentativas de login, um cliente inicialmente troca mensagens UDP com até sete supernós diferentes. Se não houver resposta, o cliente tenta estabelecer uma conexão TCP com estes supernós. Se mesmo assim não houver resposta, todo o processo é repetido. Mesmo para tentativas de login usando password inválido, o processo também é realizado. Só depois que é completada a conexão com um supernó, é realizada a autenticação com o servidor de login. A troca dos dados para autenticação (nome do usuário e password) usa o protocolo TCP. Adicionalmente, o Skype utiliza mensagens UDP para a busca por usuários (se o usuário existe e se está conectado), tanto para usuários diretamente conectados como para usuários sob NAT. Tipicamente, o cliente recebe do supernó o endereço de oito nós para realizar a consulta, e então envia pacotes UDP para oito nós. Se o usuário desejado não for encontrado, então o supernó enviará o endereço de 16 outros nós, e assim o cliente enviará pacotes UDP para estes 16 nós. Durante o estabelecimento da chamada também são trocadas mensagens UDP. Dessa forma, é possível afirmar que o baixo número de pacotes por fluxo detectados nos traces estudados correspondem à troca de mensagens dos mecanismos de login, busca por usuários e no estabelecimento das chamadas. A fim de constatar se a ocorrência do número de pacotes nos traces disponibilizados pelo autor [14] estava condizente com as nossas observações, foi aplicado o analisador de pacotes sobre estes dados, gerando os fluxos com as seguintes características:

9 Sessão Técnica 3 - Análise de Tráfego P2P 109 Tabela 2. Dados obtidos da análise dos traces de [1] Trace Login Estabelecimento da conexão Número de fluxos identificados como Skype/UDP 10 4 Média de pacotes por fluxo 3 2,8 Média do tamanho do fluxo 142 bytes 139,5 bytes Média do tamanho dos pacotes 47,3 bytes 49,8 bytes A segunda etapa da análise foi realizada através da implementação desta característica na identificação das aplicações realizada pela técnica BLINC. Como descrito na seção 4, a técnica BLINC possui graphlets que refletem o comportamento das aplicações. Dessa forma, a identificação dos fluxos Skype através do baixo número de pacotes por fluxo necessita ser refletida na forma de graphlet, para só então tornar-se possível identificar o tráfego desta aplicação apenas a partir de fluxos. Ao realizar a classificação de um determinado conjunto de fluxos como Skype através do graphlet, têm-se apenas os dados de um conjunto de fluxos direcionados para um determinado IP destino. O que se propõe é determinar se aquele pequeno conjunto de fluxos apresenta uma média de número de pacotes por fluxo com valor baixo. Para tanto, o graphlet da classe de aplicações P2P foi modificado, implementando o seguinte refinamento: Se o conjunto de fluxos para um determinado IP destino apresentar características de aplicação P2P (isto é, se enquadrar no graphlet P2P) e também apresentar uma média de número de pacotes por fluxos com valor baixo, então a aplicação será classificada como Skype. Lembramos que a técnica BLINC já utiliza heurísticas semelhantes a esta para a classificação de outras aplicações. Por exemplo, na classificação de um fluxo como sendo de jogos, é observado o tamanho dos pacotes dos fluxos direcionados para um determinado IP de destino. Se esse tamanho for constante, estes fluxos são identificados como jogos. Com o objetivo de verificar qual o limiar ideal para o valor de média de número de pacotes por fluxo com valor baixo, foram realizadas vários processos de classificação com o limiar variando em {3,5,10,50,70,90,100} sobre um conjunto de fluxos extraído da amostra 2 1, os quais apresentam as características descritas na Tabela 3. Tabela 3. Dados da análise de fluxos Número de fluxos identificados como Skype/UDP 887 Média de pacotes por fluxo 1,34 Volume médio por fluxo 540 bytes Tamanho médio dos pacotes 214 bytes 1 Para esta amostra, 8,87% dos fluxos são Skype (0,35% bytes) e 29,38% dos fluxos são de outras aplicações P2P (54,95% bytes).

10 110 III Workshop de Peer to Peer A partir da observação da variação do limiar, constatou-se que os melhores resultados foram obtidos com o valor de média de número de pacotes por fluxo menor do que 100. A eficiência alcançada foi de 78%, com uma precisão de 96,7% e um percentual de falso-positivo de apenas 3,3%, medidos em volume de fluxos (Figura 6). 100% 80% 60% 40% eficiência precisão falso-positivo 20% 0% Limiar Figura 6. Limiar ideal para a médio de pacotes por fluxo Finalmente, a heurística implementada após a determinação do limiar ótimo foi: Se o conjunto de fluxos para um determinado IP destino apresentar características de aplicação P2P (isto é, se enquadrar no graphlet P2P) e também apresentar uma média de número de pacotes por fluxos menor do que 100, então a aplicação será classificada como Skype. Estes resultados confirmam a aplicabilidade da técnica devido ao alto desempenho obtido. Considera-se muito importante poder identificar o tráfego Skype 2 com uma precisão de 96,7%. Esta técnica pode ser implementada facilmente, visto que o seu algoritmo encontra-se descrito em [6], necessitando apenas ser acrescida do refinamento proposto neste trabalho. Por se basear apenas em fluxos, não viola as limitações éticas e legais relacionadas ao exame da carga útil dos pacotes, limitando-se a lidar com um volume de dados bem menor. 7. Limitações e trabalhos futuros A principal limitação deste trabalho encontra-se na dificuldade de classificar as aplicações Skype através de assinaturas. Apesar de termos alcançado êxito em identificar o tráfego Skype sob o protocolo UDP usando o Analyser-PX com as assinaturas do projeto NetFilter, não foi possível identificar os fluxos Skype que usam o protocolo TCP. Estes fluxos estão sendo identificados como streaming pelo analisador de pacotes. Uma solução em estudo para a identificação dos fluxos Skype sob o protocolo TCP é correlacionar um dos IPs com os quais houve uma conexão UDP com o IP com 2 Embora a versão do Skype disponível pelo fornecedor fosse a versão 2 no período da análise, os traces não continham a identificação da versão do Skype.

11 Sessão Técnica 3 - Análise de Tráfego P2P 111 o qual foi estabelecida a conexão TCP do tipo streaming, dentro de uma janela de tempo mínima. A identificação da assinatura Skype está sendo implementando através de um algoritmo de onze passos proposto em [4], o qual permite identificar o tráfego desta aplicação em uma ampla variedade de cenários, inclusive através de NATs e firewalls. Com essa implementação espera-se poder identificar novas características dos fluxos originados pela aplicação Skype, permitindo assim o desenvolvimento de novos mecanismos de detecção baseados apenas em fluxos. 7. Conclusão A identificação e caracterização do tráfego na Internet é uma tarefa complexa, dada à grande diversidade de serviços oferecidos e também ao surgimento de novas aplicações a todo momento. As aplicações VoIP, e particularmente Skype, têm crescido incrivelmente em utilização, devido inexistência de tarifas nas chamadas entre computadores (Skype-to-Skype) e de baixo custo entre computadores e telefones (Skype- Out). Por outro lado, a detecção do tráfego Skype é bastante complexa, pois a cada versão novos mecanismos são implementados a fim de tornar possível a sua utilização sob NATs e Firewalls, impossibilitando a operação de bloqueio por parte dos provedores de acesso. Existe assim um crescente interesse por parte da área de gerência de rede em estudar, caracterizar e detectar esse tráfego, o que tem motivado pesquisas recentes com essa finalidade. Este trabalho apresenta uma metodologia para detecção do tráfego Skype baseada apenas em fluxos, desenvolvida a partir da técnica BLINC de classificação de aplicações baseada no comportamento e pelo relacionamento entre as máquinas. A proposta realiza um refinamento do reconhecimento das aplicações P2P considerando o número de pacotes por fluxos. A partir de uma série de coletas de tráfego de pacotes realizadas no PoP-PE, foi possível efetuar o reconhecimento da aplicação Skype nestes cenários, através das assinaturas descritas no projeto NetFilter. Com base nestes dados, verificou-se que uma parte significativa do tráfego gerado pela aplicação Skype sob o protocolo UDP apresenta a característica de conter baixo número de pacotes por fluxo. Assim, através desta característica que distingue os fluxos Skype das outras aplicações P2P, foi possível realizar a detecção do tráfego Skype. A técnica mostrou uma eficiência de 78% e uma precisão de 96,7%. O mecanismo proposto é considerado de fácil implementação, dado que se baseia em uma técnica aberta, cujo algoritmo encontra-se em [6], acrescida do refinamento proposto neste trabalho. Por lidar apenas com fluxos, também supera as dificuldades relacionadas ao manuseio de pacotes, a saber, o grande volume de dados e as limitações éticas e legais quanto ao exame da sua carga útil. Agradecimento Os autores agradecem ao RNP (PoP-PE) pelo suporte a esta pesquisa.

12 112 III Workshop de Peer to Peer Referências [1] Baset, S. A., and Schulzrinne, H. An Analysis of the Skype Peer-to-Peer Internet Telephony Protocol. Proceedings of the INFOCOM, April [2] Bernaille, L., Teixeira, R., Akodkenou, I., Soule, A., and Salamatian, K. Traffic Classification on the Fly. SIGCOMM Comput. Commun., April [3] Crovella, M. and Krishnamurthy, B. Internet Measurement: Infrastructure, Traffic, and Applications, John Wiley and Sons, 2006, 512 pp. [4] Ehlert, S., Petgang, S., Magedanz, T, Sisalem, D. "Analysis and Signature of Skype VoIP Session Traffic". CIIT Fourth IASTED International Conference on Communications, Internet, and Information Technology, [5] Guha, S., Daswani N., and Jain, R. An Experimental Study of the Skype Peer-to- Peer VoIP System, Proceedings of The 5th International Workshop on Peer-to-Peer Systems (IPTPS '06), Santa Barbara, CA, February [6] Karagianis, T., Papagiannaki, K. and Faloutsos, M. BLINC: Multilevel Traffic Classification in the Dark, ACM SIGCOMM, Philadelphia, USA, August [7] Karagiannis, T., Broido, A., Brownlee, N., Kc claffy & Faloutsos, M., Is P2P dying or just hiding, IEEE Globecom 2004, Novembro/Dezembro [8] Kuai Xu, Zhi-Li Zhang, Supratik Bhattacharyya, Profiling Internet Backbone Traffic: Behavior Models and Applications, ACM SIGCOMM Computer Communication Review, v.35 n.4, October [9] Lakhina, A., Crovella, M., and Diot, C. Mining Anomalies Using Traffic Feature Distributions, Proceedings of the 2005 Conference on Applications, Technologies, Architectures, and Protocols for Computer Communication, SIGCOMM [10] NetFilter. Acessado em Dezembro de [11] NetFlow. Acessado em Março de [12] NPRG. VoIP Report 3d. Edition, Executive Summary. New Paradigm Resources Group. Dez/2006. [13] PoP-PE. Ponto de Presença da Rede Nacional de Ensino e Pesquisa em Pernambuco. Acessado em Janeiro de [14] Salman Baset home page. [15] Skype. Acessado em Março de [16] Silvestre, Guthemberg, Kamienski, C. A., Fernandes, Stenio, M., Dênio, Sadok, D. Análise de Tráfego Peer-to-Peer baseada na Carga Útil dos Pacotes. II Workshop de Peer-to-Peer (WP2P 2006), Curitiba, [17] Suh, K., Figueiredo, D. R., Kurose, J. and Towsley, D. Characterizing and detecting relayed traffic: A case study using Skype. In IEEE Infocom, [18] TCPDump. Acessado em Março de [19] Wang, X., Chen, S., and Jajodia, S. Tracking Anonymous Peer-to-Peer VoIP Calls on the Internet. Proceedings of the 12th ACM Conference on Computer and Communications Security, CCS 2005, USA, November, 2005.