VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

357

An lise de desempenho da biblioteca libpcap: a ` uma abordagem voltada a ger ncia de seguranca e
Ramic s dos S. Silva1, Rafael L. Cancian1 e Departamento de Automacao e Sistemas (DAS) Universidade Federal de Santa Catarina (UFSC) Caixa Postal 476 88040-900 Florian polis SC Brasil o
{ramices,cancian}@das.ufsc.br 1

Abstract. The adoption of security and management tools for network management has important role in those activities related to computer network security and availability. Several tools use passive trafc capturing to measure data from the network trafc and many applications actually use the libpcap to implement it. This work proposes to evaluate which factors have a signicant inuence on the libpcap performance. Was accomplished applying an experimental methodology called design of experiments in order to achieve reliable results with objective of the identify factors that inuence in the performance of this library. Resumo. Ferramentas de seguranca e apoio ao gerenciamento de redes, assim como a base destas ferramentas (suas bibliotecas), t m papel importante em se e tratando das atividades relacionadas a seguranca e disponibilidade das redes ` de computadores. Muitas dessas ferramentas de apoio fazem uso de captura passiva de tr fego para obter informacoes da rede. Em muitos casos, essa capa tura e feita atrav s da libpcap, uma biblioteca que implementa captura passiva e de tr fego. Neste trabalho foi feita a an lise, em um ambiente especco, de a a quais fatores inuenciam o desempenho da libpcap. Para isso fez-se uso da metodologia de projetos de experimentos fatoriais, garantindo que os resultados obtidos s o estatisticamente con veis. Com base na t cnica de an lise e a a e a projeto de experimentos foi conduzida a an lise da libpcap, tendo alcancado o a objetivo de identicar e quanticar os fatores que inuenciam no desempenho de tr fego capturado pela biblioteca, al m de chegar a um modelo de previs o a e a em funcao da combinacao dos fatores analisados.

1. Introducao
Muitas aplicacoes de apoio ao gerenciamento e seguranca de redes fazem uso especica mente de captura passiva de tr fego, fazendo uso de uma biblioteca de software chamada a libpcap [Libpcap 2007]. Esta e uma biblioteca open source port vel e que prov funciona a e lidades para captura de tr fego das interfaces de rede. A aus ncia de trabalhos sistematizaa e dos para a avaliacao do desempenho da libpcap motivou a elaboracao deste trabalho para servir de refer ncia a comunidade usu ria da biblioteca no ambito acad mico-cientco e e ` a e comercial seja para ger ncia ou seguranca de redes de computadores ou areas ans. e Este trabalho realizou um estudo do desempenho da biblioteca libpcap, a partir de um projeto de experimentos, utilizando fatores e nveis baseados em caracterizacoes de sua utilizacao em um ambiente de testes com tr s estacoes rodando sistema operaci e onal Linux. Fatores como: otimizacoes de kernel e par metros de conguracao foram a

358

Anais

combinados em um ambiente experimental e resultados acerca da quantidade de pacotes capturados foram analisados.

2. Fundamentacao Te rica o
O gerenciamento de redes pode ser aplicado em funcao de algumas areas sempre com o objetivo de garantir a seguranca e o perfeito funcionamento da rede [Soares et al. 1997]. [ISO 1988] dene a classicacao das ger ncias em areas funcionais, como: (i) gerencia` e mento de conguracao; (ii) gerenciamento de falhas; (iii) gerenciamento de desempenho; e (iv) gerenciamento de contabilizacao. A libpcap se aplica as tr s ultimas citadas. e 2.1. Captura e An lise de Tr fego a a A an lise de tr fego tem como base a caracterizacao e coleta de tr fego das redes. As fera a a ramentas de an lise de tr fego s o baseadas em princpios de captura de tr fego, ou seja, a a a a s o coletados os dados que trafegam na rede em pontos estrat gicos das mesmas. Teca e nologias como RMON, sFlow e NetFlow fazem parte do grupo de agentes baseados em captura passiva de tr fego.[Andreozzi et al. 2005] conceitua a t cnica como uma t cnica a e e de an lise e monitoramento de redes que captura e examina os pacotes que passam atrav s a e do link monitorado, permitindo, at mesmo an lise de impacto de pacotes. e a Por m a utilizacao de agentes al m de adicionar tr fego na rede requer que os e e a dispositivos (ativos de rede) implementem tais tecnologias o que acaba inviabilizando sua utilizacao em funcao do custo dos equipamentos. Normalmente, s os equipamentos de o centro de rede (core) possuem tais caractersticas o que impede o monitoramento dos segmentos de rede ap s os switches de borda. [Junior and Goncalves ]. E partindo do o problema de custo e overhead que muitas solucoes de apoio ao gerenciamento de redes e seguranca s o baseadas em captura passiva de tr fego. a a Exemplos de aplicacoes de an lise de tr fego a a Como aplicacoes de apoio ao gerenciamento e seguranca de redes que fazem uso da libp cap, t m-se: e Ntop e uma solucao de monitoramento de tr fego que possui uma interface com a o usu rio bastante intuitiva e de f cil adaptacao. O Ntop tem sido incorporado em a a produtos comerciais de empresas como a Cyclades e 3Com. Tcpdump e denido como sendo uma aplicacao que captura o tr fego da rede e a imprime na tela os cabecalhos dos pacotes de uma interface de rede de acordo com express es boleanas utilizadas como ltro [Libpcap 2007]. O projeto tcpdump faz o parte do projeto da libpcap, conseq entemente este faz uso desta biblioteca para u captura dos pacotes. Snort e uma ferramenta que n o e utilizada para gerenciamento mas para a seguranca de redes, e denido como uma tecnologia open source de deteccao e prevencao de intrusos. O Snort tornou-se rapidamente o mais expressivo sistema de deteccao e prevencao de intrus o do mundo. [SNORT 2007] Todo o funciona a mento do Snort tem por princpio identicar ataques atrav s da an lise de padr es e a o do tr fego. Todo tr fego e capturado de forma passiva atrav s da libpcap. a a e Wireshark e uma ferramenta que e a continuidade do projeto Ethereal. E um analisador gr co de protocolos de redes. O formato nativo de capa tura de pacotes e o libpcap, que e utilizado pelo tcpdump e v rias outras a ferramentas.[Wireshark 2007]

VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

359

2.2. Bilioteca de Captura Libpcap O desempenho e ec cia de muitos sistemas de apoio ao gerenciamento e seguranca de a redes dependem diretamente da performance do seu mecanismo de coleta passiva de pacotes. Tal depend ncia motivou a realizacao deste trabalho no que tange a realizacao da e avaliacao de desempenho de uma biblioteca de captura de pacotes de rede, neste caso a libpcap. O projeto libpcap nasceu no NRG (Network Research Group - Grupo de Pesquisa de Redes) na Calif rnia [LBNL 2007] e atualmente faz parte do projeto libpcap/tcpdump. o Seu desenvolvimento e atribudo a Van Jacbson, Crig Leres e Steven MacCanne e permite a captura de tr fego de rede e a recuperacao dos frames. [Libpcap 2007]. a A libpcap, em sua implementacao original, apesar de fazer uso do mecanismo de captura de pacotes do kernel, seu funcionamento em modo usu rio est sujeito a cona a ` corr ncia por utilizacao dos recursos da m quina com outras aplicacoes. O que pode e a representar um problema quanto ao seu desempenho. A estrutura de funcionamento dos m todos e chamadas para a biblioteca libpcap e e simples e bastante transparente. Sua utilizacao se d na captura dos dados que est o a a chegando na camada de enlace de dados (data link layer). Alguns par metros devem ser a informados ao criar uma captura como, por exemplo, o modo de operacao da biblioteca (promscuo ou n o promscuo) ou quanto ao n mero de iteracoes de processamento e a u recepcao dos pacotes. 2.3. Projeto de Experimentos Experimento e denido formalmente por [Montgomery 2001] como um teste ou uma s rie e de testes nas quais se fazem infer ncias e alteracoes nas vari veis de entrada de um proe a cesso ou sistema onde a partir de observacoes s o identicadas as raz es das mudancas a o observadas nas vari veis de sada. Para que estas observacoes sejam feitas de forma ecia ente e seus resultados realmente demonstrem a realidade, t cnicas e modelos de projeto de e experimentos foram criados. O objetivo de um projeto de experimento e obter o m ximo a de informacao consistente com o mnimo de experimentos [Jain 1991] ou ainda desen volver um processo robusto proporcionando o mnimo de variabilidade em funcao dos fatores externos [Montgomery 2001]. O objetivo de se utilizar uma metodologia de projeto de experimentos para os testes propostos neste trabalho, e buscar uma consist ncia e das an lises dos resultados obtidos durante os testes de desempenho da libcap, estando a em conformidade com a t cnica DOE (Design of experiments). e [Jain 1991] e [Montgomery 2001] conceituam alguns termos normalmente utilizados: Vari vel resposta: e a vari vel que representa a resposta que se investiga no proa a cesso. Fatores: S o as vari veis ou constantes que afetam a resposta do experimento; a a Nveis: E o conjunto de valores, considerados, que cada fator pode assumir; Tratamentos: S o as combinacoes de fatores e nveis e suas interacoes; Replicacao: E a repeticao da a execucao de um dado tratamento, sendo todas as replicacoes sendo executadas nas mes a condicao onde dois ou mais fatores s o avaliamas condicoes ambientais; Interacao: E a dos em um tratamento de forma combinada; Projeto experimental: Consiste na etapa de especicacao do experimento. Repeticao: O termo e usado associado a medicao repetida ` dos fatores ou vari veis resposta. a

360

Anais

Para que o objetivo do experimento seja alcancado, o projeto do experimento de ver apresentar uma estrat gia de experimentacao. Uma das estrat gias sugeridas por a e e [Montgomery 2001] e o projeto fatorial (Factorial design): Em se tratando de experi mentos com dois ou mais fatores, os quais s o considerados interativos, a abordagem a fatorial geralmente e a mais eciente. Esta abordagem permite que a cada avaliacao com pleta ou replicacao seja possvel avaliar os efeitos de todas as combinacoes de fatores e nveis denidos, e foi utilizada no estudo apresentado neste artigo. A partir do modelo de projeto fatorial, cinco abordagens podem ser encontradas em [Jain 1991] e [Montgomery 2001]. A abordagem de projeto fatorial 2k e utilizado para determinar o efeito de k fatores, cada um com dois nveis. Este modelo matem tico a foi desenvolvido de forma a ajudar na tarefa de combinar e analisar a inu ncia dos fae tores [Jain 1991]. Uma replicacao completa necessita de uma combinacao de k fatores e seus nveis, tomados dois a dois, sendo por esse motivo chamado de projeto fatorial 2k . [Montgomery 2001]. O projeto fatorial 2k r e utilizado quando a an lise do experimento a exige que o erro experimental seja mensurado, com isso passa-se a considerar como parte do valor medido n o s os efeitos de cada fator mas tamb m o efeito do erro experimena o e tal [Jain 1991].Como o objetivo deste trabalho e obter dados consistentes para an lise de a desempenho da libpcap, far-se- o uso deste modelo de projeto para que tamb m sejam a e levados em consideracao os erros experimentais dos testes de desempenho realizados. Cada tratamento e replicado r vezes com intuito de obter os diversos valores asso ciados a vari vel resposta para cada replicacao. Com base nestes valores, foi estimado o ` a erro experimental (eij ) atrav s da seguinte express o de regress o n o linear: e a a a

yij = q0 + qA .xAi + qB .xBi + qAB .xAi .xBi + ... + eij

(1)

onde: y representa a m dia dos tratamentos (para iteracao i,j); q o coecente de efeitos dos e fatores, sendo q0 a m dia dos coecientes; x a vari vel independente; e e o erro experie a mental (para iteracao i,j). [Jain 1991], demonstra o c lculo da soma quadr tica total (SST), apresentada na a a equacao seguinte.

SST = 2k .(qA 2 + qB 2 + qC 2 ... + qAB 2 + qAC 2 + ...) + SSE onde SSE e a soma dos quadrados dos erros experimentais, dado por:
2k

(2)

SSE =

(yij yi)2
i=1 j=1

(3)

onde: yij representa a medida de cada iteracao; e yi e a m dia de y em funcao das replicacoes. e

VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

361

3. Desenvolvimento
3.1. Montagem e Conguracao do Ambiente de Testes A montagem e conguracao do ambiente de testes consistiu na conguracao do sistema operacional em estacoes de laborat rio, compilacao e instalacao dos kernels modicados, o com suporte a PF-RING e NAPI com device polling na estacao respons vel pela captura a do tr fego. Tamb m foram criados os scripts de automatizacao de parte do processo de a e execucao e coleta de dados do experimento. O experimento contou com 3 computadores com placas de rede RTL8169S, denominados A, B, e C, conectados a um switch. A arquitetura desse experimento e apresentada na Figura 1.

Figura 1. Arquitetura do experimento

O switch utilizado foi um SMC modelo 8024L2 Gigabit ethernet gerenci vel. a 3.2. Testes de Geracao de Tr fego a Inicialmente, com objetivo de alcancar um throughput maior tentou-se identicar gargalos que pudessem limitar a geracao de tr fego. A partir destas observacoes, o teste que foi a executado foi com a geracao de tr fego diretamente na camada 2, para isso usou-se um a m dulo de testes do kernel Linux denominado pktgen. o Como resultado da geracao de tr fego com o pktgen, obteve-se um throughput de a 796Mbps, o que signica aproximadamente 80% do valor nominal da interface adquirida. A partir deste teste optou-se por utilizar o netperf com o teste para UDP-STREAM (protocolo UDP). O resultado obtido com este teste foi de um throughput de 790Mbps com MTU de 1500 e 895Mbps com um MTU de 7200 (valor m ximo suportado pela placa de a rede). 3.3. Aplicacao de Captura de Tr fego a Foi desenvolvida uma ferramenta para captura de tr fego utilizando a biblioteca libpa cap. O desenvolvimento foi realizado sobre uma ferramenta mais simples j desenvolvida a por [Deri 2004] e que j implementava o mecanismo de captura de tr fego. Foram ima a plementadas melhorias, como a implementacao de funcao para gravacao dos resultados; solucao de alguns problemas com unidades de tempo; mudanca com a forma que os re sultados eram apresentados; e alteracao do controle de parada com base no intervalo de conanca. Todas as alteracoes foram testadas em relacao a aplicacao original e atrav s de ` e vericacoes da comparacao do tr fego capturado pela ferramenta em relacao ao mesmo a tr fego capturado com a ferramenta wireshark. a

362

Anais

3.4. Experimentacao O ambiente de testes foi composto por tr s computadores os quais foram interconectados e atrav s de um switch gigabit ethernet. Um dos computadores foi utilizado na geracao de e tr fego utilizando a ferramentas netperf. O tr fego gerado foi consumido por um segundo a a computador. Um espelhamento de portas permitiu que um terceiro computador pudesse fazer a captura do tr fego. Os experimentos foram executados de acordo com o uxoa grama que pode ser observado a Figura 2. Todo o processo de replicacao da captura de tr fego foi automatizado por um script de execucao, o que proporcionou grande economia a de tempo para a troca de congucao entre as replicacoes.

Figura 2. Fluxograma de execucao dos experimentos

Inicialmente, criou-se o ambiente com a possibilidade de variar todos os fatores denidos a partir do ambiente congurado. Para facilitar o processo de combinacao de fatores foi atribudo a cada fator uma letra: A: PF-RING - Otimizacao das estruturas de armazenamento em nvel de kernel. B: NAPI - Otimizacao a partir da implementacao de device polling. C: MTU - Tamanho m ximo para o frame ethernet a D: Rx-check - Checagem dos frames pela interface de rede.

Para os fatores A e B, o nvel -1 representa a n o aplicacao do patch de otimizacao a enquanto 1 representa que a melhoria foi aplicada. No fator D, o nvel 1 representa aus ncia da vericacao dos frames no recebimento e -1 o padr o da interface de rede e a que e com a vericacao habilitada. Foram dezesseis experimentos diferentes, em funcao 4 do n mero de combinacao resultante do projeto fatorial (quatro fatores 2 = 16), u sendo que cada experimento foi replicado 30 vezes, com o objetivo de obter uma amostra do erro experimental. Assim, o experimento nal cou com quatrocentas e oitenta (480) rodadas divididas em dezesseis combinacoes com trinta replicacoes cada.

4. Resultados
Foram analisadas m tricas em relacao a adequacao dos dados do experimento ao moe ` delo escolhido. Para a vari vel de resposta escolhida (bytes capturados). Para a m trica a e quantidade de bytes que efetivamente foram capturados pela aplicacao atrav s do uso da e

VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

363

libpcap, a primeira an lise foi baseada na an lise de vari ncia. Foram escolhidos apea a a nas os fatores que realmente eram signicantes a an lise, ou seja, que o percentual de a contribuicao era pelo menos duas vezes maior que o percentual o qual o erro experimen tal representou. Da an lise da vari ncia conclui-se que tem-se apenas 0,01% de chance a a do modelo ter sido denido por rudo ou erro experimental, o que garante que o modelo e signicativo; ainda partir desses resultados, determinou-se os ndices para equacao de regress o linear para previs o do modelo de dados em funcao do intervalo de conanca. a a Os intervalos de conanca dos coecientes da equacao de previs o s o apresentados na a a Tabela 1. Uma vez que o intervalo de conanca e bastante estreito, conseguiu-se coe cientes bastante con veis, pois a dist ncia entre o valor escolhido e os limites inferior e a a superior cam sempre abaixo de 5% de sua m dia. Isso garante a precis o do modelo mae a tem tico de previs o (regress o linar m ltipla) representado na Equacao 4. Esse modelo a a a u pode ser utilizado para prever situacoes diversas em funcao da combinacao dos fatores utilizados num caso qualquer.
Tabela 1. Coecientes para equacao de previsao - GB capturados

Fator A: PF-RING B: NAPI C: MTUC AB AC

Coeciente -0,59 0,86 0,25 0,44 -0,22

Erro 0,01 0,01 0,01 0,01 0,01

95% inferior -0,61 0,84 0,23 0,42 -0,24

95% superior -0,57 0,88 0,27 0,46 -0,20

GBcap = 1, 89 0, 59.A + 0, 86.B + 0, 25.C + 0, 44.A.B 0.22.A.C

(4)

Al m da equacao de previs o, tem-se como resultados da an lise de vari ncia o e a a a percentual de contribuicao de cada fator para a m trica de desempenho em quest o. Con e a siderando como melhor resultado uma quantidade elevada de GB capturados pela biblioteca. A Tabela 2 representa os percentuais de inu ncia de cada fator.Pode-se observar e a grande inu ncia do fator que representa a otimizacao voltada ao controle da situacao e de livelock implementado pela NAPI. Aproximadamente 51% da variacao na quantidade de dados capturados foi em funcao do NAPI; contudo, a melhoria PF-RING representa tamb m um fator de peso. Observa-se tamb m, j na an lise desta primeira m trica, que e e a a e o fator RX-check, por apresentar percentual de inu ncia muito baixo n o aparece na e a an lise. a
Tabela 2. Coecientes para equacao de previsao - GB capturados

Fator A: PF-RING B: NAPI C: MTU AB AC Erro

% Contribuicao 23,86 51,46 4,47 13,41 3,39 1,03

e Al m das observacoes feitas para adequacao ao modelo e ao m todo escolhido e utilizaram-se outras tr s vericacoes que consistem na avaliacao da distribuicao dos dados e

364

Anais

e na vericacao da aleatoriedade dos erros. A Figura 3 mostra o gr co Box-Cox que traz a como resultado a necessidade ou n o de transformacao dos dados. a

Figura 3. Box-Cox

O objetivo da transformacao Box-cox e identicar, atrav s do Lambda demons e trado no gr co da Figura 3, a necessidade de alguma transformacao nos dados. Neste a caso nenhuma transformacao foi necess ria. A pr xima an lise feita foi quanto a a o a distribuicao dos dados. Confrontou-se a distribuicao dos dados experimentais com a reta de probabilidade normal te rica e realmente os dados se aproximam muito deste modelo o de distribuicao, conforme pode ser observado na Figura 4.

Figura 4. Graco da distribuicao dos dados da metrica GB capturados em relacao a normal `

Ap s vericar a adequacao dos resultados a uma distribuicao normal foi realizada o a etapa de vericacao da curva que relaciona os dados reais aos previstos pela equacao de previs o. Como resultado observou-se que os dados reais realmente se aproximam da a

VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

365

curva resultante da equacao de previs o. a Outra an lise feita foi em relacao a interacao dos fatores, ou seja, como o modelo a ` prev inu ncia de fatores associados, pode-se analisar tamb m sua inu ncia conjunta e e e e com os gr cos de interacao, conforme mostra a Figura 5 a

Figura 5. Gracos de interacao (A) Interacao AB com MTU de 1500, (B) Interacao AB com MTU de 7200, (C) Interacao AC com NAPI -1 e (D) Interacao AC com NAPI

Pode-se observar em A a grande inu ncia do fator NAPI na interacao AB onde e ca claro que a melhoria PF-RING e praticamente um ajuste no no desempenho. Conseguiu-se melhorar ainda mais o n mero de GB capturados aplicando a melhoria u NAPI em conjunto com MTU alto (7200) em B; contudo, pode-se observar em C e D, a ligacao entre o desempenho da libpcap e a situacao de livelock interrupt . Em C, situacao sem a otimizacao NAPI, verica-se um baixo desempenho da biblioteca com frames de tamanho pequeno, ou seja, alta freq encia na interface, e essa situacao j ca um pouco u a melhor com a NAPI habilitada em D. Al m das interacoes entre fatores gerou-se a curva e de otimizacao para a funcao de previs o dos dados. As quatro vari veis que est o previs a a a tas no modelo s o representadas, de forma a maximizar o resultado de GB capturados. a O gr co da Figura 6 representa a situacao otima para o ambiente testado em a funcao da combinacao dos fatores, sendo que a regi o vermelha da superfcie representa a o m ximo desta funcao. A combinacao de fatores para tal situacao foi conseguida com a a aplicacao da otimizacao NAPI e a utilizacao da MTU em 7200 bytes sem a utilizacao de PF-RING, conforme mostram os eixos de coordenadas NAPI e PFRING.

366

Anais

Figura 6. Graco de superfcie da equacao de previsao para GB capturados

A utilizacao dos fatores NAPI e PF-RING em nvel alto tamb m representa um e bom desempenho, em torno de 20% abaixo da situacao m xima. a

5. Conclus es o
O presente trabalho consistiu na avaliacao de desempenho da biblioteca libpcap para cap tura de tr fego de redes de computadores, contudo levou-se em consideracao a busca a por resultados consistentes e con veis conseguidos atrav s a utilizacao da metodoloa e gia de projeto de experimentos (DOE). A quanticacao, atrav s da an lise de vari ncia, e a a dos efeitos dos fatores identicados foi o principal resultado deste trabalho, pois a partir dos percentuais encontrados para cada m trica de desempenho conseguiu-se uma an lise e a completa que pode ser utilizada como par metro para projetos de ger ncia e seguranca de a e redes. Atrav s da an lise das m tricas de desempenho pode-se concluir que a biblioe a e teca libpcap apresenta um bom funcionamento desde que cuidados com otimizacoes e conguracoes de redes sejam observados. Os resultados deixaram bem claros quanto a necessidade da aplicacao, principalmente, da melhoria de controle do device polling, sendo o fator de maior inu ncia no desempenho da biblioteca analisada. Problemas de e seguranca graves podem ser ocasionados quando se faz um projeto de redes e aplica-se ferramentas como um IDS ou analisador de protocolos e este n o tem a ec cia que dea a isso que pode acontecer se o projetista n o se atentar aos fatores envolvidos veria. E a no desempenho principalmente da biblioteca que faz a captura do tr fego utilizado pelas a ferramentas. Dos quatro fatores analisados, o NAPI foi o que apresentou maior inu ncia e da quantidade de dados capturados, sendo respons vel por uma variacao de 51% nessa a vari vel de resposta. O uso de PF-RING t m inu ncia em 23,86% nessa mesma vari vel, a e e a enquanto a inu ncia conjunta desses dois fatores explica uma variacao de 13,41%. O e tamanho da MTU tem inu ncia pequena, de apenas 4,47%. Apenas um dos fatores e escolhidos, RX-check, n o apresentou inu ncia ao desempenho da biblioteca libpcap, a e

VIII Simpsio Brasileiro em Segurana da Informao e de Sistemas Computacionais

367

contudo isso s foi possvel de observar em funcao dos experimentos e da metodologia o utilizada.

Refer ncias e
Andreozzi, S., Antoniades, D., Ciuffoletti, A., Ghiselli, A., Markatos, E. P., Polychronakis, M., and Trimintzios, P. (2005). Issues about the Integration of Passive and Active Monitoring for Grid Networks. Bologna. Proceedings of CoreGRID Integration Workshop. Deri, L. (2004). Improving passive packet capture: beyond device polling. Amsterdam. Proceedings of 2nd SCAMPI Workshop. ISO (1988). Information processing systems - open systems interconnection. ISO-7698. Jain, R. (1991). The art of computer systems performance analysis: techniques for experimental design, measurement, simulation, and modeling. Wiley. Junior, R. M. and Goncalves, R. B. Uma solucao para an lise de tr fego em redes comu a a tadas baseada em linux bridging e ntop. LBNL (2007). Network resarch group. http://www.ee.lbl.gov. Libpcap (2007). Documentacao. http://www.tcpcump.org. Montgomery, D. C. (2001). Design and Analysis of Experiments. John Wiley and Sons. SNORT (2007). Overview. http://www.sourcefire.com. Soares, L. F. G., Lemos, G., and Colcher, S. (1997). Redes de Computadores: das LANs, MANs e WANs as Redes ATM. Campus. ` Wireshark (2007). Documentation. http://www.wireshark.org/docs.