A hálózati megfigyelésnek többféle típusa vanelérhető. Az egyik, talán a leggyakoribb, az SNMP monitorozás. Arra használható, hogy a rendszergazdák meglehetősen világos képet kapjanak arról, mennyi adatot szállítanak az általuk kezelt hálózatokon keresztül. De amikor részletesebb képet akarnak - például megtanulják, hogy mi a forgalom, nem csak az, hogy HOGYAN SOK van -, akkor más technológiára kell fordulniuk.
A NetFlow, a Cisco által kifejlesztett és a gyártó eszközén egy ideje bevezetett megfigyelési technológia ténylegesen standardvá vált a minőségi hálózati megfigyelés szempontjából. A NetFlow megfigyelő eszközök drágák lehetnek, és sok kisebb vállalkozás számára elérhetők lehetnek. Szerencsére számos nyílt forráskódú NetFlow szoftvercsomag érhető el, és ezeket áttekintjük.
Útunkat azzal kezdjük meg, hogy egy pillantást vetünk ráhálózatfigyelés általában. A megfigyelés különféle típusairól folytatunk egy vitát, különös tekintettel a sávszélesség figyelésére és a forgalom elemzésére. Ezután, anélkül, hogy túl technikai lenne, alaposan áttekintjük a NetFlow technológiát, mi ez és hogyan működik.
Beszélünk néhány hasonló technológiárólakkor is rendelkezésre állnak, mielőtt eljutnánk a témához, a ténylegesen rendelkezésre álló nyílt forrású NetFlow eszközökhöz. Míg az eszközök némelyike viszonylag korlátozott abban, hogy mit tud elérni, vagy amelyek nehezebben konfigurálhatók, mint néhány fizetett csomag, mindegyik valóban érdekes funkciókat kínál.
A hálózati megfigyelésről
A hálózati forgalom nagyon hasonló a közúti forgalomhoz. Csakúgy, mint a hálózati áramkörök autópályáknak tekinthetők, a hálózatokon továbbított adatok olyanok, mint az ezen az autópályán haladó járművek. A járműforgalommal ellentétben, ahol csak azt kell megnéznie, hogy megnézze-e és mi a baj, a hálózaton zajló események látása trükkös lehet. A kezdők számára minden nagyon gyorsan megy végbe, és a hálózaton keresztül továbbított adatok szabad szemmel láthatatlanok.
A hálózati megfigyelő eszközök segítségével pontosan „láthatja”mi folyik a hálózatban. Velük mérni tudja az egyes áramkörök kihasználtságát, elemezni, hogy ki és mi fogyaszt sávszélességet, és mélyebben belemerülhet a hálózati „beszélgetésekbe” annak ellenőrzésére, hogy minden megfelelően működik-e.
Különböző típusú felügyeleti eszközök
Alapvetően három fő típusú hálózat létezikmegfigyelő eszközök. Mindegyik egy kicsit mélyebbre megy, mint az előző, és további részleteket nyújt a forgalomról. Először is vannak sávszélesség-figyelő monitorok. Ezek az eszközök megmutatják, hogy mennyi adatot szállítanak a hálózatán, de erről szól.
Ha több információt szeretne kapni a hálózatról, akkor Önszükség van egy másik típusú eszközre, hálózati elemzőkre. Ezek olyan eszközök, amelyek adhatnak némi információt arról, hogy mi folyik pontosan. Nem csak azt fogják mondani, mennyi forgalom halad el. Azt is megmondhatják, hogy milyen típusú forgalom és milyen házigazdák között mozog.
És a legtöbb részlettel csomagos szippantók vannak. Mélyreható elemzést végeznek a forgalom rögzítésével és dekódolásával. Az általuk nyújtott információk lehetővé teszik, hogy pontosan megnézze, mi folyik, és a lehető legpontosabban meghatározza a kérdéseket. Bármennyire is hasznosak, túlmutatnak e postán.
Sávszélesség-figyelő eszközök
A legtöbb sávszélesség-figyelő monitor a következőkre támaszkodik:Az Egyszerű Hálózatkezelési Protokoll vagy SNMP az eszközök lekérdezéséhez és a forgalom mennyiségének megszerzéséhez az összes interfészen vagy annak valamelyikén. Ezen adatok felhasználásával gyakran grafikonokat készítenek, amelyek ábrázolják a sávszélességet az idő múlásával. Általában lehetővé teszik, hogy egy szűkebb időtartományba nagyítsanak, ahol a grafikon felbontása magas, és például egy perces átlagos forgalmat mutatnak, vagy hosszabb időtartamra kicsinyítik - gyakran akár egy hónapig, vagy akár egy évig is -, ha napi vagy heti átlagokat mutat.
Hálózati forgalom elemző eszközök
Ha többet kell tudnia aha elhalad a forgalom, akkor fejlettebb figyelő rendszerre van szüksége. Szüksége van arra, amit hálózati elemző rendszernek nevezünk. Ezek a rendszerek a hálózati berendezésekbe beépített szoftverekre támaszkodnak, hogy részletes használati adatokat küldjenek nekik. Ezek a rendszerek tipikusan megjeleníthetik a legfontosabb beszélgetőket és hallgatókat, a felhasználást forrás vagy rendeltetési cím alapján, a felhasználást protokollon vagy alkalmazáson keresztül, és számos egyéb hasznos információt tartalmaznak a folyamatról.
Míg egyes rendszerek szoftver ügynökeket használnak, amelyeket Öntelepítenie kell a célrendszereken, ezek többsége inkább a szokásos protokollokra támaszkodik, mint például a NetFlow, IPFIX vagy sFlow. Ezeket általában beépítik a berendezésekbe és használatra készen állnak, amint konfigurálásra kerülnek.
NetFlow dióhéjban
A NetFlowot a Cisco Systems fejlesztette ki és voltbevezetésre kerültek az útválasztóikon, hogy képesek legyenek összegyűjteni az IP hálózati forgalmat az interfészbe való belépéskor vagy az onnan való kilépéskor. Az összegyűjtött adatokat ezután a hálózati rendszergazdák elemezik, hogy segítsenek meghatározni a forgalom forrását és rendeltetési helyét, a szolgáltatás osztályát és a torlódások okait. A NetFlow technológiának három fő alkotóeleme van:
- A folyamatáram-exportőr a csomagokat adatfolyamokra egyesíti, és az adatfolyam-nyilvántartásokat egy vagy több adatgyűjtő felé exportálja. Ez az összetevő fut a megfigyelt eszközökön.
- Ami az áramlásgyűjtőt illeti, az a felelős az áramlás-exportőrtől kapott áramlási adatok fogadásáért, tárolásáért és előzetes feldolgozásáért.
- Végül, de nem utolsósorban, az áramlás analizátor egy olyan alkalmazás, amelyet a kapott áramlási adatok elemzésére használnak. Az elemzés felhasználható a forgalom profilozására vagy a hálózati hibaelhárításra.
Hogyan működik
Útválasztók, kapcsolók és egyéb eszközökA NetFlow támogatja úgy konfigurálható, hogy áramlási adatokat folytasson rekordok formájában, és továbbítsa azokat egy NetFlow gyűjtőhöz. Az adatfolyam teljes értelemben vett beszélgetés. Az áramlási nyilvántartásokat előkészítő eszköz rendszerint elküldi azokat a gyűjtőnek, amikor megállapítja, hogy az áramlás vagy öregedéssel fejeződik be - adott időkorláton belül nem volt forgalom -, vagy amikor TCP-munkamenet lezárását látta.
Az áramlási rekord sok információt tartalmazaz áramlásról. Ez magában foglalja a bemeneti és a kimeneti interfészeket, a folyamat kezdeti és befejezési időbélyegzőit, az általadott byte-ok és csomagok számát, a 3. réteg fejléceit, a forrás és a cél IP-címet és portszámot, az IP-protokollt és a TOS-értéket. A folyamatáramrekordok nem tartalmazzák a folyamatot alkotó tényleges adatokat. Az egyetlen információt tartalmaz az áramlásról. Ez biztonsági szempontból fontos.
Kivéve hatalmas több helyszíni környezetet, az áramlásaz adatgyűjtők, ahol a nyilvántartásokat elküldik, gyakran az áramlás elemzők is. Az áramlási rekordokban szereplő információkat felhasználják a hálózati forgalomra vonatkozó adatok bemutatására a hálózati rendszergazdák számára hasznos módon. A különféle NetFlow gyűjtőknek és elemzőknek különféle módja van az adatok bemutatásának. Itt hasznos a legjobb NetFlow gyűjtők és elemzők listája.
Egyéb hasonló technológiák
A NetFlow különféle verziói és adaptációi szükségesekléteznek, és néhányat más néven ismertek. Valójában ezek közül sokat a Cisco engedélyével használnak. A NetFlownak valódi alternatívái is vannak, a két legismertebb az sFlow és az IPFIX. Ez utóbbi nagymértékben a NetFlow legújabb verzióján alapul, azzal a különbséggel, hogy IETF szabvány. Valójában számos oka van annak a feltételezésnek, hogy a Cisco akár a NetFlowot akár IPFIX-lel is felválthatja. Ami a sFlow-t illeti, ez egy másik, versengő rendszer. Célja és általános működési alapelvei hasonlóak, de eltérőek. Néhány NetFlow elemző is működik az sFlow-nal, de általában az egyik felhasználója nem használja a másikot.
A legjobb nyílt forráskódú NetFlow szoftver
1. SolarWinds Valós idejű NetFlow elemző (INGYENES LETÖLTÉS)
SolarWinds az egyik legismertebb szereplő a hálózati adminisztrációs eszközök területén. A cég körülbelül 20 éve működik, fűződő a legjobb hálózati adminisztrációs eszközök közül néhány. Azt van szintén szerzett szilárd hírnévnek örvend a nagyszerű ingyenes eszközök készítésében, amelyek - bár azok szolgáltatásonként korlátozottak - mégis kiváló eszközök. Az egyik ilyen eszköz a ingyenes Valós idejű NetFlow elemző. Bár ez nem egy nyílt forráskódú eszköz, mégis teljesen ingyenes és érdemes megvizsgálni. Lehet, hogy ez az eszköz nem egészen teljes és teljes értékű, mint a nagy testvére, a SolarWinds NetFlow forgalmi elemző, ez a termék ugyanazt az alapvető funkciót nyújtja.
- INGYENES LETÖLTÉS: SolarWinds Valós idejű NetFlow elemző
- Hivatalos letöltési link: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration
Az eszköz rögzítheti és elemezheti az Appflow, a NetFlow, a JFlow,és sFlow adatok valós időben. És pontosan megmutatja a hálózaton belüli forgalom típusait, honnan jön, és hova megy. Használhatja azt a forgalmi tüskék diagnosztizálására és a sávszélességgel kapcsolatos problémák elhárítására is.
Itt vannak néhány a Valós idejű NetFlow elemzőElsődleges jellemzői:
- Azonosítsa, mely felhasználók, eszközök és alkalmazások fogyasztják a legtöbb sávszélességet
- Izolálja a hálózati forgalmat beszélgetés, alkalmazás, domain, végpont és protokoll alapján
- Tekintse meg a hálózati forgalmat típus és megadott időszakok szerint
Az eszköz, mint a legtöbb más SolarWinds eszközöket, egyszerűen telepíthető egy szabvány segítségével Windows beállítóvarázsló. A telepítés után a NetFlow Configurator is benne van nak nek segíteni neked konfigurációjával eszközök, amelyek támogatják a különféle NetFlow változatokat.
Ennek az ingyenes szoftvernek vannak bizonyos korlátozásai a nagyobb testvérehez képest, bár. Például, its az elsődleges hangsúly a hálózat jelenlegi és legutóbbi állapota. Mint ilyen, csak egyetlen NetFlow interfészről gyűjthet adatokat, és csak az elmúlt 60 perc adatokat tárolja és elemzi.
2. FlowScan
FlowScan egyfajta megjelenítő eszköz, amelyet Önáltalában a NetFlow adatok elemzésére és azokról történő jelentésre szolgál. Képes grafikonokat állíthat elő, amelyeket közeli valós időben generálnak, és megmutatják a hálózat aktuális állapotát. A FlowScan a legtöbb GNU / Linux vagy BSD rendszeren telepíthető. Számos másik csomagra támaszkodik az áramlások megfelelő gyűjtése és feldolgozása érdekében. Például a Cflowd-t használják áramlásgyűjtőként. A FlowScan elsősorban Perl szkriptből áll, amely a szoftvercsomag nagy részét alkotja. Ez az elem felelős a jelentések betöltéséért és végrehajtásáért. A szoftver másik fő alkotóeleme az RRDtool, amely egy népszerű eszköz az adatok tárolására a kör-robin adatbázisokban, és ezeket az adatokat grafikonon ábrázolja. A FlowSanc felhasználja az áramlási információk tárolására és hasznos grafikonok előállítására.
A hálózati rendszergazdák gyakran rájönnek, hogy őkvagy túl kevés vagy túl sok adatot gyűjtöttek össze. A FlowScan-ben rendelkezésre álló flow profilozás érdekes kompromisszumot kínál az adatgyűjtés ezen szélsőségei között. Mivel a csomagokkal összegyűjtött összesített adatfolyamok egy adott porton vagy interfészen haladnak át, felhasználhatók valamilyen összefoglalóként az érdekes végpontok között utazó csomagcsomagok számára. Ez a szolgáltatás önmagában azonban nem elegendő a megbízható folyamatos használathoz. További szoftver eszközökre van szükség ezen áramlások meghatározásához, elemzéséhez és elemzéséhez. Ezeket a kiegészítő eszközöket a FlowScan tartalmazza.
3. nProbe és ntopng
nProbe és ntopng kissé fejlett - és ennélfogva kissé bonyolult - nyílt forráskódú eszközök. Ntopng egy web-alapú forgalom elemző eszköz a hálózatok megfigyelésére az áramlási adatok alapján nProbe egy NetFlow és IPFIX exportőr és gyűjtő. Együtt egy nagyon rugalmas elemzési csomagot hoznak létre. Ha korábban már adminisztrált a Linux hálózatokat, akkor már ismeri az ntop-ot. Ebben az esetben örömmel veszi tudomásul, hogy az ntopng a kortalan eszköz következő generációs GUI verziója.
Van egy ingyenes közösségi verzió ntopng megvásárolhatja a termék vállalati verzióját is. Drága lehet, de ingyenes az oktatási és nonprofit szervezetek számára. Ami nProbe, ingyenesen kipróbálhatja, de összesen 25 000 exportált áramlásra korlátozódik. Ha túl akarsz lépni, akkor licencet kell vásárolnod.
Mint a legtöbb modern hálózati elemző eszköz, az ntopngegy web alapú felhasználói felületet tartalmaz, amely adatokat szolgáltathat forgalom szerint - például a legfontosabb beszélgetők, adatfolyamok, gazdagépek, eszközök és interfészek alapján. Táblázatok, táblázatok és grafikonok keverékével rendelkezik, amelyek többsége olyan lebontási lehetőségeket is tartalmaz, amelyek lehetővé teszik, hogy részletesebben feltárja azokat. A felhasználói felület nagyon rugalmas és sok testreszabást tesz lehetővé.
4. Flow-Tools
Flow-tools egy eszközkészlet a NetFlow adatok kezeléséhez. Pontosabban, ez egy könyvtár, olyan programok gyűjteményével kombinálva, amelyek a NetFlow adatokból jelentések gyűjtésére, küldésére, feldolgozására és generálására szolgálnak. Az eszközöket egy kiszolgálón együtt lehet használni, vagy több kiszolgálóra is el lehet osztani a nagyobb telepítésekhez. A Flow-Tools a könyvtár API-t is biztosít egyéni alkalmazások fejlesztéséhez a NetFlow 1., 5., 6. és 14. változatának jelenleg definiált 8. al-verziójára.
Ez a projekt a villák a régi és többnyiredeunct OSU flow-tools projekt. ez nem a legaktívabb projekt odakint, és a legújabb verzió kb. kilenc évvel ezelőtt nyúlik vissza. Ha azonban egy egyszerű eszközt keres, és hajlandó megtenni a beállításához szükséges erőfeszítéseket, ez nagyszerű eszköz lehet a mérlegeléshez.
5. NFsen / NFDump
NFsen, amely a Netflow Sensor rövidítése, egy web alapú front-end eszköz a nfdump. Általában egy szép és felhasználóbarát grafikus képet jelenít meg az adatokról nfdump generál, beleértve a NetFlow adatokat. Az RRD adatbázis eszközzel jelentést készíthet a NetFlow adatairól, bármilyen információval, beleértve - de nem korlátozva ezekre - a folyamatokat, csomagokat és bájtot. Ezen felül beállíthat riasztásokat és megtekintheti az előzményadatokat is.
A NFsen A projekt továbbra is nagyon aktív, és a szoftver képesletölthető a Sourceforge oldaláról. Bármely Unix / Linux rendszeren fut. Korábban be kell állítania a PHP-t, a PERL-t (a Perl Mail :: Header és Mail :: Internet modulokkal együtt), az RRD Tools modult és NFDump a rendszerre telepített eszközök a megfelelő használat érdekében.
6. pmGraph
pmGraph egy újabb kiváló nyílt forráskódú eszköz a sávszélesség ábrázolására és figyelésére. Úgy tervezték, hogy kiegészítse pmacct, egy hálózati megfigyelő és ellenőrző eszköz. A két eszközt együtt szállítják Debian csomagként, és a pmGraph telepítésére vonatkozó utasítások leírják mindkét eszköz telepítését. A pmacct hálózati eszközökön (ideértve a tűzfalakat, útválasztókat és kapcsolókat is) a Netflow vagy a Sflow segítségével gyűjti és figyeli a forgalmat egy adatbázisba, és lehetővé teszi a gyűjtött adatok elemzését a pmGraph segítségével.
pmGraph a munkatársak és az önkéntesek fejlesztették kiAz Aptivate, a nemzetközi fejlesztési digitális ügynökség rugalmas és hatékony eszköz a hálózati és rendszergazdák számára, fejlett felhasználóbarát grafikus képességekkel. Íme a termék elsődleges funkcióinak lebontása:
- Felhasználóbarát és egyszerű felület
- Információkat jelenít meg a távoli és a helyi gépek, valamint a használt portok közötti kapcsolatokról
- Gazdagépnév felbontása DNS és DHCP szerverek segítségével
- Megmutatja egy adott IP-cím vagy port használatát
- Konfigurálható eredmények száma
pmGraph egy platformfüggetlen szoftver, amelyet Java-ban fejlesztettek ki és úgy tervezték, hogy egy olyan szervlet tárolóban működjön, mint például a Tomcat, amely az összes általános platformon elérhető. pmGraph nagyon könnyű és csak 8 MB memóriát igényellemez terület. Ugyanakkor támaszkodik külső, tömeges programokra. Ha még nem rendelkezik Tomcat, Java és MySQL szerverrel, akkor ezeket is telepítenie kell, körülbelül 300 MB lemezterületet foglalva, még mindig nem sok helyet. Ezek az összetevők telepítésre kerülnek, ha a csomagtelepítést használja, és az pmGraph telepíthető anélkül, hogy sokat megtanulna róluk.
Hozzászólások