Monitoring
Fehler-Erkennung in Netzwerken
Fortsetzung des Artikels von Teil 1
Auswertung mehrdimensionaler Messwerte
Der neue methodische Ansatz ermöglicht die Erkennung von Netzwerkproblemen und vieler Denial-Of-Service-Angriffe mit hoher Zuverlässigkeit und insbesondere deren Unterscheidung von Flash-Crowd-Ereignissen. Dazu werden Signal-basierte Messwerte (etwa eingehende und ausgehende Datenmengen, CPU-Last, Speicherverbrauch, Anzahl der Anfragen pro Sekunde) und ihre Veränderung über die Zeit betrachtet.
Kann das System die Anfragen problemlos bearbeiten, steigt der Durchsatz ungefähr linear mit der Anzahl der Anfragen. Stößt das System auf Grund weiter steigender Last an seine Leistungsgrenzen, können jedoch zwei mögliche Szenarien auftreten:
Im ersten Szenario bleibt der Durchsatz in etwa konstant (die sogenannte Sättigungsphase): Der Server bedient die einzelnen Anfragen mit Verzögerung, arbeitet aber weiterhin gut. Je nach Ursache des Leistungslimits oder bei weiter steigender Last kann jedoch der sogenannte Trashing-Effekt auftreten. Dann bricht der Durchsatz des Systems rapide ein. Dieser Fall tritt zum Beispiel auf, wenn dem Server zu wenig RAM zur Verfügung steht und er ab einer bestimmten Belastung auf langsamen Swap-Speicher ausweichen muss.
Auch bei bestimmten Arten von DoS-Angriffen steigt die Last auf dem Server sehr stark an, während der Ausgangstraffic allerdings relativ niedrig bleibt. Auf diese Weise sind selbst Angreifer mit durchschnittlichem Netzwerkzugang in der Lage, bestens angebundene Server von großen Anbietern anzugreifen. In beiden Szenarien ist es hilfreich, nicht nur einen einzelnen Messwert (zum Beispiel die CPU-Last des Servers) für die Analyse zu überwachen, sondern mehrere gleichzeitig zu beobachten und in Zusammenhang zu bringen (eine sogenannte mehrdimensionale Analyse).
- Fehler-Erkennung in Netzwerken
- Auswertung mehrdimensionaler Messwerte
- Referenz- und Beobachtungsfenster
- Rauschminderung ist notwendig
- Auswahl der analysierten Messwerte
