Répartition du trafic par application

La répartition du trafic UDP par numéro de port, montre que l’application de résolution de noms (DNS) représente la majorité de ce trafic. Par exemple, dans la trace T4, 86% des paquets UDP et 82% des octets transportés par ce protocole sont générés par l’application DNS.

Concernant la répartition du trafic TCP par numéro de port, elle s’étend sur un grand nombre de numéros de ports différents. En effet, nous avons tracé toutes les connexions TCP présentes dans les différentes traces de trafic collectées, grâce aux drapeaux SYN/FIN/RST. Ensuite, nous avons identifié le numéro de port « serveur » relatif à chaque connexion. Ainsi, nous avons recensé, pour la trace T4, 8876 numéros de ports serveurs différents. Nous avons défini sept classes d’applications (voir le Tableau 3.3), en utilisant les numéros de ports enregistrés par l’IANA et les numéros de ports utilisés par défaut par certaines applications.

Classe d’application Numéros de ports TCP associés

Web http (80), https (443), http-a (8080) P2P Edonkey (4662), Fasttrack (1214) FTP ftp (21), ftp-data (20)

Mail SMTP (25), POP3 (110) Accès distant SSH (22), telnet (23) Windows 135, 137, 139, 445, 1433 Autres Tous les autres ports

Tableau 3.3 : Définition des classes d’applications

Les classes d’applications « web », « mail », «FTP » et « accès distant » sont relativement faciles à identifier en utilisant leurs numéros de ports. Ce sont des applications Internet classiques qui utilisent généralement des ports TCP enregistrés par l’IANA.

Par contre, les applications émergentes, notamment celles permettant l’accès aux réseaux pair à pair, sont les plus difficiles à identifier, car d’une part elles n’utilisent pas des ports enregistrés, d’autre part leur fonctionnement est très peu documenté et elles peuvent utiliser, pour certaines d’entre elles, n’importe quel numéro de port non filtré. Nous avons regroupé dans la classe d’application P2P, le trafic utilisant les ports TCP configurés par défaut au niveau de deux applications pair à pair Emule et Kazaa. L’application Emule permet d’accéder au réseau Edonkey, alors que l’application Kazaa permet l’accès au réseau Fasttrack. Ces deux applications, Emule et kazaa, utilisent des ports TCP et UDP distincts pour la recherche de pairs, et le téléchargement de fichiers ; ainsi elles utilisent par défaut respectivement les ports TCP 4662 et 1214 pour le téléchargement des fichiers.

La classe d’application Windows, regroupe tout le trafic destiné aux ports TCP utilisées par les services Netbios et RPC de Windows (135, 137, 139, 445) ainsi que le trafic destiné au port MS-sql-server (1433). Tous ces ports sont connus pour être des moyens privilégiés utilisés par les vers informatiques pour se propager via Internet. En effet, ils ont été l’objet de plusieurs vulnérabilités, durant ces dernières années exploitées par plusieurs vers informatiques tels que Sasser⁶, Blaster⁷, . Enfin la classe d’application « autres », renferme tout le trafic TCP n’appartenant à aucune des six autres classes.

Le Tableau 3.4 dresse la répartition du trafic TCP, mesuré en paquets et en octets, par classe d’application et par sens de trafic (entrant et sortant). Nous remarquons ainsi que la navigation sur le Web est l’application qui génère la majorité des paquets transportés par le réseau RNU (plus de 80% des paquets entrants et de 77% des paquets sortants), alors que les applications pair à pair, arrivent en deuxième position en pourcentage de paquets générés. De plus, contrairement à toutes les autres classes d’applications, le trafic pair à pair contribue beaucoup plus au volume du trafic sortant qu’à celui entrant (15,34 % des paquets et 50,88 % des octets). Ainsi, nous pouvons conclure que le trafic pair à pair a pour effet de diminuer l’asymétrie du trafic en augmentant surtout le volume du trafic sortant.

Trafic entrant Trafic sortant Classe

d’application

% paquets % octets % paquets % octets

Web 81,26 89,55 77,61 38,81 P2P 8,74 3,25 15,34 50,88 FTP 0,88 1,04 0,75 0,32 Mail 0,49 0,44 0,66 0,96 Accès distant 0,11 0,02 0,17 0,09 Windows 3,83 0,27 0,05 0,00 Autres 4,68 5,41 5,42 8,94

Tableau 3.4 : Répartition du trafic par classe d’application (T4)

Par ailleurs, nous remarquons que, prés de 4% des paquets entrants et 0,5% de ceux sortants sont destinés aux ports « windows ». Ces derniers sont probablement envoyés d’une manière automatique par des machines infectées cherchant à propager leurs vers via le réseau. Il remarquable que ce trafic

6

Ce vers utilise le port 445 pour se propager (voir le site http://www.secuser.com/alertes/2004/sasser.htm pour plus de détails)

7

Ce vers utilise le port 135 pour se propager (voir le site http://www.secuser.com/alertes/2003/blaster.htm pour plus de détails)

Chapitre3 : Mesures dans RNU

est beaucoup plus important lorsqu’il est mesuré en paquets que lorsqu’il est mesuré en octets (3,83% des paquets entrants mais seulement 0,27% des octets entrants). Ceci s’explique par le fait que la majorité de ce trafic ne transporte pas de charge utile (payload).

Enfin, la classe d’application « autres », renfermant le trafic TCP n’appartenant à aucune des six autres classes, représente un pourcentage non négligeable de paquets et surtout d’octets. De ce fait, il est très probable que ce trafic soit véhiculé par des applications de type pair à pair.

Pour mettre en évidence les variations des usages de l’Internet selon le moment de la journée, nous avons calculé pour chaque fichier de la trace T4, la répartition du trafic total par classe d’application. Ainsi, nous reportons, dans les figures 3.9 et 3.10, les répartitions par classe d’application calculées à partir des traces T4_10h et T4_1h. Il en ressort ainsi, que durant les heures de travail, la répartition du trafic TCP par application est dominée par le trafic de navigation sur le Web. Alors que, durant la nuit, l’utilisation de l’Internet est plus panachée, avec la présence non négligeable de trafic généré par les applications pair à pair et celles utilisant des ports TCP non enregistrés.

Répartition du trafic par classe d'application

92% 3% 2% 2% 1% 0% 0% WEB Autres Windows P2P FTP MAIL Accés distant

Figure 3.9 : Répartition du trafic (en paquets) par classe d’application (T4_10h)

Répartition du trafic par classe d'application 42% 27% 22%