Please use this identifier to cite or link to this item: http://dx.doi.org/10.14279/depositonce-2565
Main Title: Residential Broadband Internet Traffic: Characterization and Security Analysis
Translated Title: Breitbandinternetverkehr: Charakterisierung und Sicherheitsanalyse
Author(s): Maier, Gregor
Advisor(s): Feldmann, Anja
Granting Institution: Technische Universität Berlin, Fakultät IV - Elektrotechnik und Informatik
Type: Doctoral Thesis
Language: English
Language Code: en
Abstract: In vielen Ländern sind Breitbandanschlüsse für Privathaushalte ein populärer Dienst. Gemäß OECD gibt es weltweit mehr als 260 Millionen Breitbandkunden. Einerseits ist es für Netzbetreiber essentiell, diese Netze zu verstehen, um zukünftige Netzarchitekturen entwickeln und planen zu können. Andererseits ändert die wachsende Zahl an Internetnutzern sowie die Einführung von neuen Diensten und Anwendungen ständig die Art und Weise, in der das Internet genutzt wird. Auch die Anforderungen und Erwartungen von Nutzern ändern sich laufend. Bisher haben sich jedoch nur wenige Studien mit den Charakteristiken und Sicherheitsaspekten von Breitbandanschlüssen beschäftigt. Das Thema dieser Dissertation ist eine derartige Studie. Wir beschreiben Messungen des Netzverkehrs von mehr als 20.000 privaten DSL-Kunden. Der Datenschutz wird zu jeder Zeit sichergestellt, indem alle Daten unverzüglich anonymisiert werden. Der wissenschaftliche Beitrag dieser Dissertation ist die Charakterisierung von Breitbandinternetverkehr: Wir charakterisieren DSL-Verbindungen, die Verwendung von Network Address Translation (NAT), sowie verwendete Anwedungsprotokolle. Außerdem untersuchen wir mögliche Performanzprobleme und analysieren den Verkehr neuartiger Endgeräte (z.B. Smartphones). Die Untersuchung von Sicherheitsaspekten in unseren Netzumgebungen bildet den Abschluss dieser Arbeit. Die Eigenschaften von DSL-Verbindungen, wie Bandbreitenausnutzung und Onlinezeiten, sowie Charakteristiken von NAT, wie die Anzahl an Computern pro DSL-Anschluss, haben Auswirkungen auf die Dimensionierung von Zugangsnetzen. Auch die Zusammensetzung des Verkehrs beeinflusst Entscheidungen von Netzbetreibern und Dienstanbietern, wie die Platzierung von populären Servern, die Art der Netzanbindung und die nötigen Quality-of- Service-Garantien. Ein weiterer wichtiger Aspekt ist die Performanz. Nur wenn aktuelle Performanzprobleme bekannt und charakterisiert sind, können neue, bessere Protokolle entworfen werden oder Standardeinstellungen von aktuellen Protokollen so angepasst werden, dass sie optimale Performanz und Kundenzufriedenheit liefern. Des Weiteren hat die zunehmende Miniaturisierung eine neue Art von Geräten entstehen lassen, mit denen Benutzer sich mit dem Internet verbinden. Mobile Endgeräte sind heutzutage weit verbreitet und ermöglichen es, immer “online” zu sein – egal wo man sich gerade befindet. Die Verkehrseigenschaften von solchen Geräten sind aber bisher kaum erforscht, insbesondere wenn sie zu Hause über WiFi mit dem Internet verbunden sind. Die Kenntnis der Verkehrseigenschaften von derartigen Geräten kann Netzbetreibern helfen, zukünftige Anforderungen an ihre Netze zu erkennen. Außerdem besagt eine weit verbreitete Ansicht, dass Privatnutzer für einen Großteil der “Unsicherheit” im Internet verantwortlich sind. Allerdings haben sich bisher nur wenige systematische Studien mit der Frage beschäftigt, ob solche Ansichten der Wahrheit entsprechen. Um Sicherheitsprobleme lösen zu können, müssen sowohl ihre Verbreitung, als auch Faktoren, die diese Probleme beeinflussen, bekannt sein. In dieser Dissertation beantworten wir derartige Fragen. Wir präsentieren ein Softwaretool für effiziente retrospektive Verkehrsanalysen. Des Weiteren charakterisieren wir DSL-Verbindungen und die Verwendung von NAT. Zu unser Über- raschung stellen wir fest, dass Onlinezeiten im Allgemeinen sehr kurz sind, was wiederum zu einem häufigem Wechsel der IP-Adressen führt. Wir zeigen auch, dass NAT-Gateways von über 90 % der DSL-Anschlüsse verwendet werden und dass an mehr als 10 % der Anschlüsse mehrere Computer gleichzeitig aktiv sind. Wenn wir die Zusammensetzung des Netzverkehrs analysieren, stellen wir fest, dass HTTP dominiert. Über 57 % des Datenvolumens werden von HTTP verursacht, wohingegen Peer-to-Peer-Protokolle (P2P) nur 14–25 % zum Gesamtvolumen beitragen. Zur Jahrhundertwende hat HTTP dominiert. Durch die Einführung von P2P-Netzen hat sich das grundlegend verändert. Seitdem dominierte P2P. Unsere Untersuchung zeigt, dass das Pendel wieder zurück schwingt und dass HTTP-Verkehr zunimmt, während P2P-Verkehr abnimmt. Um Sicherheitsprobleme zu finden, entwickeln wir mehrere Metriken. Wir analysieren den Einfluss des Sicherheitsbewusstseins von Benutzern auf Probleme, die von diesen Metriken erkannt werden. Wir führen dieselben Analysen auch in einem Gemeinschaftsnetz in einer ländlichen Region Indiens durch. Zu unserer Überraschung stellen wir fest, dass wir in beiden Netzen eine ähnliche Menge an Sicherheitsproblemen finden – in beiden Fällen finden wir deutlich weniger infizierte Computer als man erwarten würde. Andererseits mussten wir feststellen, dass riskantes Verhalten relativ weit verbreitet ist und dass übliche Gegenmaßnahmen, wie Antivirensoftware, nicht mit einer geringeren Infektionswahrscheinlichkeit korreliert.
Residential broadband Internet connectivity is a mature and popular service in many countries. Indeed, according to the Organization for Economic Co-operation and Development (OECD), there are more than 260 million broadband customers world-wide. Understanding the nature of residential traffic characteristics is imperative for network operators to design and develop future network configurations and architectures. However, the growing world-wide user population and the introduction of new services and applications continuously changes the way users use the Internet. Furthermore, users’ demands and expectations change as well. Therefore, traffic and security characteristics of residential networks have to be evaluated regularly. Yet, only few studies have examined the characteristics and security aspects of residential traffic, thus its makeup, dynamics, evolution, and variations remain underexamined. We, in this thesis, undertake such a study. We describe observations from more than 20,000 residential DSL customers in an urban area. To ensure privacy and confidentiality, all data is immediately anonymized. Our contribution is the characterization of several different aspects of residential broadband traffic: We characterize DSL sessions, prevalence and use of network address translation (NAT), and network usage in terms of application layer protocols. Furthermore, we investigate possible performance limitations and new devices that users employ to connect to the Internet. Finally, we analyze network security, security-awareness, and risky behavior in residential networks. DSL session characteristics, such as bandwidth utilization and online times, and NAT usage, e. g., the number of hosts connected per DSL lines, have implications for accurately provisioning access networks. Optimal access network architectures can increase customer satisfactions while decreasing complexity and cost. Likewise, the makeup of traffic, such as the application protocol mix, greatly influences the decisions of network operators and content providers on where to place popular servers and what kind of network connectivity and quality-of-service is required. Understanding performance limitations is another critical aspect of network studies. To optimize performance and quality-of-experience, current limitations need to be known and characterized so that one can develop new protocols or tune the default settings of current protocols to achieve better performance. In addition, the ever increasing minituarization has given rise to new classes of devices that users utilize to connect to the Internet. Mobile hand-held devices (MHDs, e. g., iPhones or BlackBerrys) are ubiquitous today. However, little is known about how they are used—especially at home. Understanding characteristics of such novel device traffic can help network operators to anticipate future networking demands. Furthermore, while conventional wisdom holds that residential users are responsible for much of today’s Internet insecurity, few systematic studies have examined whether such views in fact reflect reality. To tackle security problems, one needs to understand the prevalence of such problems and the factors that influence security problems and malicious activity. We, in this thesis, answer such questions. We introduce a tool that enables efficient retrospective traffic analysis. We also characterize DSL sessions and NAT usage. Surprisingly, we find that DSL-session run quite short in duration, with a median duration of only 20–30 minutes. Furthermore, we show that NAT gateways are deployed on 90 % of DSL lines and that more than 10 % of DSL lines connect multiple, concurrently active, hosts. When we investigate application protocols, we find that HTTP dominates the application mix by volume, accounting for more than 57 % of bytes, while peer-to-peer (P2P) only contributes 14–25 %. Around the turn of the century HTTP was the dominating protocol by byte volume. The advent of P2P networks changed that and P2P dominated the protocol mix. Our study indicates that today HTTP is again on the rise, while P2P is on the decline. To assess malicious activity, we develop a set of metrics and analyze the relationship between problems flagged by these metrics and security awareness (e. g., using anti-virus software). Furthermore, we compare our results with a rural community network in India. To our surprise, we find that both environments have similar levels of problematic behavior, in both cases indicating only a small fraction of malicious hosts. However, we also find that risky behavior is quite widespread and that security awareness steps, such as using anti-virus updates, do not correlate with a lower degree of malicious activity.
URI: urn:nbn:de:kobv:83-opus-27617
http://depositonce.tu-berlin.de/handle/11303/2862
http://dx.doi.org/10.14279/depositonce-2565
Exam Date: 13-Jul-2010
Issue Date: 9-Sep-2010
Date Available: 9-Sep-2010
DDC Class: 004 Datenverarbeitung; Informatik
Subject(s): Applikationsmix
Breitbandanschluss
Internetverkehr
Netzwerksicherheit
Application Mix
Internet Traffic
Network Security
Residential Broadband
Usage rights: Terms of German Copyright Law
Appears in Collections:Technische Universität Berlin » Fakultäten & Zentralinstitute » Fakultät 4 Elektrotechnik und Informatik » Institut für Telekommunikationssysteme » Publications

Files in This Item:
File Description SizeFormat 
Dokument_30.pdf3,88 MBAdobe PDFThumbnail
View/Open


Items in DepositOnce are protected by copyright, with all rights reserved, unless otherwise indicated.