Der er flere typer netværksovervågningledig. En af dem, muligvis den mest almindelige, er SNMP-overvågning. Det kan bruges til at give administratorer et ret klart billede af, hvor meget data der transporteres over de netværk, de administrerer. Men når de ønsker et mere detaljeret billede - såsom at lære, HVAD trafikken er snarere end bare hvor MEGET der er - skal de henvende sig til en anden teknologi.
NetFlow, en overvågningsteknologi udviklet af Cisco og introduceret et stykke tid tilbage på producentens enheder er blevet de facto standard når det kommer til kvalitativ netværksovervågning. NetFlow-overvågningsværktøjer kan være dyre og utilgængeligt for mange mindre virksomheder. Heldigvis er flere open-source NetFlow-softwarepakker tilgængelige, og vi er ved at gennemgå dem.
Vi begynder vores rejse med at se pånetværksovervågning generelt. Vi følger med en diskussion om de forskellige typer overvågning, specifikt med koncentration om båndbreddeovervågning og trafikanalyse. Dernæst, uden at gå for teknisk, får vi et dybtgående kig på NetFlow-teknologien, hvad det er, og hvordan det fungerer.
Vi vil diskutere nogle lignende teknologier, der erogså tilgængelig, før vi kommer til kernen i vores emne, de faktiske open source NetFlow-værktøjer, der er tilgængelige. Selvom nogle af værktøjerne er relativt begrænsede med hensyn til hvad de kan udføre eller kan være sværere at konfigurere end nogle betalte pakker, giver alle nogle en virkelig interessant funktionalitet.
Om netværksovervågning
Netværkstrafik ligner meget vejtrafik. Ligesom netværkskredsløb kan betragtes som motorveje, er data, der transporteres på netværk, ligesom køretøjer, der kører på denne motorvej. Men i modsætning til køretøjstrafik, hvor du bare skal se for at se, om og hvad der er galt, kan det være vanskeligt at se, hvad der sker på et netværk. For det første sker alt meget hurtigt, og data, der transporteres på et netværk, er usynlige for det blotte øje.
Netværksovervågningsværktøjer giver dig mulighed for at "se" nøjagtigthvad der foregår i dit netværk. Med dem vil du være i stand til at måle hvert kredsløbs anvendelse, analysere, hvem og hvad der forbruger båndbredde og bore dybt ned i netværks "samtaler" for at kontrollere, at alt fungerer normalt.
Forskellige typer overvågningsværktøjer
Der er dybest set tre hovedtyper af netværkovervågningsværktøjer. Hver går lidt dybere end den foregående og giver flere detaljer om trafikken. For det første er der båndbreddeudnyttelsesmonitorer. Disse værktøjer fortæller dig, hvor meget data der transporteres på dit netværk, men det handler om det.
For at få mere information om netværket, duhar brug for en anden type værktøj, netværksanalysatorer. Det er værktøjer, der kan give dig nogle oplysninger om, hvad der præcist foregår. De fortæller dig ikke bare, hvor meget trafik der går forbi. De kan også fortælle dig, hvilken type trafik og mellem hvilke værter den bevæger sig.
Og for mest detaljeret har du pakkesniffere. De foretager en dybdegående analyse ved at fange og afkode trafik. De oplysninger, de giver, giver dig mulighed for at se nøjagtigt, hvad der foregår, og kortlægge problemer med størst nøjagtighed. Så nyttige som de er, er de uden for dette indlæg.
Brugsovervågningsværktøjer til båndbredde
De fleste skærme til båndbreddeudnyttelse er afhængige afEnkel netværksadministrationsprotokol eller SNMP til polling af enheder og få mængden af trafik på alle - eller nogle - af deres grænseflader. Ved hjælp af disse data vil de ofte oprette grafer, der viser båndbredden udnyttelse over tid. Typisk giver de mulighed for at zoome ind i et snævrere tidsrum, hvor grafopløsningen er høj og viser for eksempel 1 minuts gennemsnitstrafik eller zoome ud til et længere tidsrum - ofte op til en måned eller endda et år - hvor det viser daglige eller ugentlige gennemsnit.
Værktøjer til netværkstrafikanalyse
Hvis du har brug for at vide mere end mængden aftrafik forbi, har du brug for et mere avanceret overvågningssystem. Hvad du har brug for, er det, vi refererer til som et netværksanalysesystem. Disse systemer er afhængige af software, der er indbygget i netværksudstyr for at sende dem detaljerede brugsdata. Disse systemer kan typisk vise toptalere og lyttere, brug efter kilde eller destinationsadresse, brug efter protokol eller efter applikation og flere andre nyttige oplysninger om, hvad der foregår.
Mens nogle systemer bruger softwareagenter, som duskal installeres på målsystemer, de fleste af dem stoler i stedet på standardprotokoller som NetFlow, IPFIX eller sFlow. Disse er normalt indbygget i udstyr og klar til brug, så snart de er konfigureret.
NetFlow i et nøddeskal
NetFlow blev udviklet af Cisco Systems og varintroduceret på deres routere for at give mulighed for at indsamle IP-netværkstrafik, når den kommer ind eller afslutter en grænseflade. De indsamlede data analyseres derefter af netværksadministratorer for at hjælpe med at bestemme kilden og destinationen for trafik, serviceklassen og årsagerne til overbelastning. Der er tre hovedkomponenter til NetFlow-teknologien:
- Floweksportøren aggregerer pakker i strømme og eksporterer strømposter mod en eller flere flowsamlere. Dette er den komponent, der kører på de overvågede enheder.
- Med hensyn til flow-opsamleren er den ansvarlig for modtagelse, opbevaring og forbehandling af strømningsdata modtaget fra en flow-eksportør.
- Sidst men ikke mindst er flowanalysatoren et program, der bruges til at analysere modtagne flowdata. Analyse kan bruges til trafikprofilering eller til fejlfinding i netværket.
Hvordan det virker
Routere, switches og enhver anden enhed derunderstøtter NetFlow kan konfigureres til at udsende flowdata i form af flowposter og sende dem til en NetFlow-samler. En flow er en komplet samtale i IP-forstand. Enheden, der forbereder flow-poster, sender dem normalt til samleren, når den bestemmer, at flowet er færdig enten gennem aldring - der har ikke været nogen trafik inden for en bestemt timeout - eller når den ser en TCP-session-afslutning.
Flowposten indeholder en masse informationom strømmen. Det inkluderer input- og output-grænseflader, tids- og startstempler for flowet, antallet af bytes og pakker, det indeholder, lag 3-overskrifter, kilden og destinationens IP-adresse og portnummer, IP-protokollen og TOS-værdien. Flowposter indeholder ikke de faktiske data, der udgjorde flowet. Den eneste indeholder oplysninger om flowet. Dette er vigtigt fra et sikkerhedsmæssigt synspunkt.
Bortset fra i store multi-site miljøer, flowetsamlere, hvor posterne sendes, er ofte også flowanalysatorerne. De bruger oplysningerne i flow-poster til at præsentere data om netværkstrafik på en måde, der er nyttig for netværksadministratorer. Forskellige NetFlow-samlere og analysatorer vil have forskellige måder at præsentere data på. Det er her vores liste over de bedste NetFlow-samlere og analysatorer vil komme godt med.
Andre lignende teknologier
Forskellige versioner og tilpasninger af NetFlow gørfindes, og nogle er kendt under et andet navn. Faktisk bruges mange af dem på licens fra Cisco. Der er også ægte alternativer til NetFlow, de to mest kendte er sFlow og IPFIX. Sidstnævnte er stærkt baseret på den nyeste version af NetFlow bortset fra at det er en IETF-standard. Der er faktisk mange grunde til at tro, at Cisco endda endda kan erstatte NetFlow med IPFIX. Hvad angår sFlow, er det et andet, konkurrerende system. Dets mål og generelle driftsprincipper er ens, men forskellige. Nogle NetFlow-analysatorer fungerer også med sFlow, men generelt bruger brugerne af den ene ikke den anden.
Den bedste open-source NetFlow-software
1. SolarWinds NetFlow Analyzer i realtid (GRATIS DOWNLOAD)
SolarWinds er en af de mest kendte spillere inden for netværksadministrationsværktøjsfeltet. Virksomheden har eksisteret i omkring 20 år, bringe os nogle af de bedste netværksadministrationsværktøjer. Det har også erhvervet et solidt ry for at lave gode gratis værktøjer, som, selvom de undertiden er begrænset til funktion, stadig er fremragende værktøjer. Et sådant værktøj er ledig NetFlow Analyzer i realtid. Selvom dette ikke er et open source-værktøj, er det er helt gratis og er værd at undersøge. Dette værktøj er muligvis ikke ganske så komplet og fuldt udstyret som sin storebror, the SolarWinds NetFlow Traffic Analyzer, dette produkt giver dig den samme grundlæggende funktionalitet.
- GRATIS DOWNLOAD: SolarWinds NetFlow Analyzer i realtid
- Officielt downloadlink: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration
Værktøjet kan fange og analysere Appflow, NetFlow, JFlow,og sFlow-data i realtid. Og det vil vise dig nøjagtigt hvilke typer trafik på dit netværk, hvor det kommer fra, og hvor det skal hen. Du kan også bruge den til at diagnosticere trafikstifter og fejlfinde båndbreddespørgsmål.
Her er noget af det NetFlow Analyzer i realtidPrimære funktioner:
- Identificer, hvilke brugere, enheder og applikationer der bruger den mest båndbredde
- Isoler netværkstrafik efter samtale, app, domæne, slutpunkt og protokol
- Se netværkstrafik efter type og specificerede tidsperioder
Værktøjet, som de fleste andre SolarWinds værktøjer, installeres let via en standard Windows installationsguiden. Og når den først er installeret, er en NetFlow-konfigurator inkluderet til hjælpe dig med konfigurationen af enheder, der understøtter forskellige NetFlow-varianter.
Denne gratis software har nogle begrænsninger sammenlignet med sin større bror, selvom. F.eksDet primære fokus er dit netværks aktuelle og nylige tilstand. Som sådan kan den kun indsamle data fra en NetFlow-interface og vil kun opbevare og analysere de sidste 60 minutter med data.
2. FlowScan
FlowScan er et slags visualiseringsværktøj, som dubruges typisk til at analysere NetFlow-data og rapportere om dem. Det kan producere visuelle grafer, der genereres i næsten realtid, og som viser dig den aktuelle tilstand på dit netværk. FlowScan kan implementeres på de fleste GNU / Linux eller BSD-systemer. Det er afhængig af flere andre pakker for korrekt at indsamle og behandle strømme. F.eks. Bruges Cflowd som flowsamler. FlowScan er hovedsageligt sammensat af et Perl-script, der udgør størstedelen af softwarepakken. Denne komponent er ansvarlig for indlæsning og eksekvering af rapporter. En anden vigtig komponent i softwaren er RRDtool, et populært værktøj, der bruges til at lagre data i round-robin-databaser og plotte disse data på grafer. FlowSanc bruger det til at gemme flowinformation og fremstille nyttige grafer.
Netværksadministratorer indser ofte, at dehar enten samlet for lidt eller for meget data. Flowprofilering, som tilgængelig i FlowScan, tilbyder et interessant kompromis mellem disse ekstremer i dataindsamling. Da strømninger af samlede data indsamlet, når pakker kører over en given port eller interface, kan de bruges som en slags resumé til serier af pakker, der rejser mellem endepunkter af interesse. Denne funktion alene er imidlertid utilstrækkelig til pålidelig kontinuerlig brug. Yderligere softwareværktøjer er nødvendige for at definere, analysere og analysere disse strømme. Disse ekstra værktøjer er inkluderet i FlowScan.
3. nProbe og ntopng
nProbe og ntopng er noget avancerede - og derfor noget komplicerede - open source-værktøjer. Ntopng er et webbaseret trafikanalyseværktøj til overvågning af netværk baseret på flowdata mens nProbe er en NetFlow og IPFIX eksportør og samler. Sammen skaber de en meget fleksibel analysepakke. Hvis du har administreret Linux-netværk før, er du muligvis allerede kendt med ntop. I dette tilfælde vil du være glad for at vide, at ntopng er en næste generations GUI-version af dette ageless værktøj.
Der er en gratis communityversion af ntopng Du kan dog også købe en virksomhedsversion af produktet. Det kan være dyrt, men det er gratis for uddannelsesorganisationer og almennyttige organisationer. Som for nProbe, kan du prøve det gratis, men det er begrænset til i alt 25 000 eksporterede strømme. For at gå ud over det, skal du købe en licens.
Som de fleste moderne netværksanalyseværktøjer, ntopngindeholder en webbaseret brugergrænseflade, der kan præsentere data ved hjælp af trafik, såsom top talkers, flow, hosts, enheder og interface. Det har en blanding af diagrammer, tabeller og grafer, de fleste af dem indeholder borefunktioner, der giver dig mulighed for at udforske dem i større dybde. Brugergrænsefladen er meget fleksibel og giver mulighed for en masse tilpasning.
4. Flow-Tools
Flow-værktøjer er et værktøjssæt til at arbejde med NetFlow-data. Mere præcist er det et bibliotek kombineret med en samling programmer, der bruges til at indsamle, sende, behandle og generere rapporter fra NetFlow-data. Værktøjerne kan bruges sammen på en enkelt server eller distribueres til flere servere til større implementeringer. Det Flow-Tools biblioteket giver også et API til udvikling af brugerdefinerede applikationer til NetFlow-eksportversioner 1, 5, 6 og de 14 aktuelt definerede version 8-underversioner.
Dette projekt er en gaffel fra det gamle og for det mestenedlagt OSU-flowværktøjsprojekt. dette er ikke det mest aktive projekt derude, og den seneste version går tilbage til omkring ni år siden. Hvis du imidlertid leder efter et simpelt værktøj og er villig til at gøre en indsats for at konfigurere det, kan dette være et godt værktøj at overveje.
5. Nfsen / NFDump
nfsen, som er en forkortelse af Netflow Sensor, er et webbaseret frontend-værktøj til nfdump. Det bruges typisk til at vise et pænt og brugervenligt grafisk billede af dataene der nfdump genererer, inklusive NetFlow-data. Du har muligheden for at generere rapporter om dine NetFlow-data med alle mulige oplysninger, herunder - men ikke begrænset til - strømme, pakker og bytes ved hjælp af RRD-databaseværktøj. Desuden kan du også konfigurere advarsler og se historiske data.
Det nfsen projektet er stadig meget aktivt, og softwaren kan detdownloades fra Sourceforge-siden. Det kører på alle Unix / Linux-systemer. Du skal tidligere konfigurere PHP, PERL (sammen med Perl Mail :: Header og Mail :: Internet-moduler), RRD Tools-modul og NFDump værktøjer, der er installeret på dit system for at bruge det korrekt.
6. pmGraph
pmGraph er endnu et fremragende open source-værktøj til graftegning og overvågning af båndbredde. Det er designet til at supplere pmacct, et netværksovervågnings- og revisionsværktøj. De to værktøjer leveres sammen som en Debian-pakke, og instruktioner til installation af pmGraph dækker installationen af begge værktøjer. pmacct indsamler og overvåger trafik ved hjælp af Netflow eller Sflow på netværksenheder (herunder firewalls, routere og switches) til en database og giver mulighed for analyse af de indsamlede data ved hjælp af pmGraph.
pmGraph blev udviklet af personale og frivillige fraAptivate, det digitale agentur for international udvikling, til at være et fleksibelt og kraftfuldt værktøj til netværks- og systemadministratorer med avancerede brugervenlige grafiske muligheder. Her er en oversigt over produktets primære funktioner:
- Brugervenlig og enkel interface
- Viser oplysninger om forbindelserne mellem eksterne og lokale maskiner og anvendte porte
- Værtsnavnopløsning ved hjælp af DNS- og DHCP-servere
- Viser brug for en bestemt IP-adresse eller -port
- Konfigurerbart antal resultater
pmGraph er en platformuafhængig software, der er udviklet i Java og er designet til at arbejde i en servletcontainer som Tomcat, som er tilgængelig for alle almindelige platforme. pmGraph er meget let og kræver kun 8 MBdiskplads. Den er dog afhængig af eksterne, mere omfattende programmer. Hvis du ikke allerede har Tomcat, Java og MySQL-server, bliver du også nødt til at installere dem og tage op til ca. 300 MB diskplads, stadig ikke meget plads. Disse komponenter vil blive installeret for dig, hvis du bruger pakkeinstallationen, og du kan installere pmGraph uden at lære meget om dem.
Kommentarer