A análise de padrões de tráfego é um processo que permiteos administradores e gerentes de rede obtêm uma excelente descrição não apenas da quantidade de rede utilizada, mas, mais importante, de como ela é utilizada. Uma coisa é saber que um determinado segmento de rede sofre congestionamento, mas é diferente - e muito mais útil - para saber o que está causando esse congestionamento. E sem essas informações, a única opção para corrigir o congestionamento é aumentar a largura de banda. Mas a largura de banda é cara e certamente existem maneiras melhores de resolver esse tipo de problema. A análise do padrão de tráfego pode conter a resposta e hoje estamos analisando as principais ferramentas que você pode usar.
Começaremos nossa jornada no padrão de tráfegoanálise com alguma teoria útil. Primeiro, veremos mais de perto o que é a análise de padrões de tráfego. Isso é importante, pois ajudará a definir o que constitui uma ferramenta de análise de padrão de tráfego. Discutiremos então o NetFlow e outros sistemas e protocolos de relatório de fluxo, pois eles estão no centro da maioria das ferramentas de análise de padrões de tráfego. Primeiro, veremos o protocolo NetFlow da Cisco e suas múltiplas variantes antes de vermos o S-Flow, um protocolo concorrente que é um pouco diferente na forma como ele opera. Armado com todas essas informações, estaremos prontos para revisar as principais ferramentas de análise de padrões de tráfego que pudemos encontrar.
Análise de padrão de tráfego em poucas palavras
Na sua expressão mais simples, o tráfego de redeanálise de padrões é o processo de registrar, revisar e / ou analisar o tráfego de rede com o objetivo de desempenho, segurança e / ou operações e gerenciamento gerais da rede. Mais especificamente, é o processo de usar técnicas manuais e automatizadas para revisar detalhes e estatísticas em nível granular no tráfego de rede.
Existem basicamente dois tipos de tráfego de redemonitoramento. O primeiro é o monitoramento da utilização da largura de banda, que pode fornecer dados quantitativos. Esse tipo de monitoramento permite ver quanto tráfego está acontecendo em um ponto específico da rede, mas não fornece dados sobre a natureza desse tráfego. O segundo tipo de monitoramento, o que estamos discutindo hoje e que é conhecido como análise de padrão de tráfego de rede ou apenas análise de tráfego de rede, é mais profundo e seu objetivo principal é oferecer informações detalhadas sobre que tipo de tráfego, rede pacotes ou dados estão fluindo através de uma rede.
Embora a análise do padrão de tráfego de rede possa serfeito manualmente, geralmente é feito por meio de uma ferramenta de monitoramento de rede. Fazer isso manualmente exigiria muitos esforços. As estatísticas de tráfego obtidas na análise de tráfego de rede podem ajudar a entender e avaliar a utilização da rede. Ele revelará dados importantes sobre o tipo, tamanho, origem e destino dos pacotes de dados. Pode até incluir algumas informações sobre o conteúdo de pacotes de dados.
As equipes de segurança de rede podem usar o tráfego de redeanálise de padrões para identificar pacotes maliciosos ou suspeitos no tráfego. Da mesma forma, as administrações de rede que buscam monitorar velocidades de download e upload, taxa de transferência, conteúdo etc. Usam-no para entender melhor o uso da rede.
Por outro lado, a análise do padrão de tráfego de redetambém pode ser usado por invasores e / ou invasores para analisar padrões de tráfego de rede e identificar vulnerabilidades ou meios de invadir ou recuperar dados confidenciais. Esta é uma faca de dois gumes.
NetFlow e outros sistemas de relatório de fluxo
O NetFlow é um recurso que foi introduzido no Ciscoroteadores em 1996 - mais ou menos um ano ou dois -, que oferecem a capacidade de coletar tráfego de rede IP quando ele entra ou sai de uma interface. Isso é diferente do monitoramento da largura de banda, onde os dados são contados, mas não coletados. Ao analisar os dados coletados, é possível determinar coisas como a origem e o destino do tráfego, classe e tipo de serviço e, finalmente, usar essas informações para identificar as causas do congestionamento.
Uma configuração típica de monitoramento do NetFlow é composta por três componentes principais:
- o fbaixo exportador agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo. Este é o componente que reside dentro do dispositivo de rede.
- o fcoletor baixo é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.
- o analisador de fluxo analisa os dados de fluxo recebidos no contexto de detecção de intrusão ou criação de perfil de tráfego, por exemplo.
Um fluxo, na linguagem do NetFlow, é umsequência unidirecional de pacotes que compartilham um certo número de atributos, como interface de entrada, endereços IP de origem e destino, protocolo IP (TCP / UDP / ICMP, etc.), portas IP de origem e destino e tipo de serviço IP. Dados detalhados sobre cada fluxo individual são coletados pelo exportador de fluxo antes de serem exportados para o coletor de fluxo. Atualmente, na maioria dos casos, o coletor e o analisador de fluxo são dois componentes do mesmo sistema e raramente os vemos separados.
Uma vez exclusivo da Cisco, o NetFlow já está disponívelem equipamentos de muitos fornecedores, incluindo Juniper, Alcatel-Lucent e Nortel, apenas para citar alguns. Alguns fornecedores o chamam de nome diferente, como J-flow para Juniper. Existe até uma versão padronizada da IETF relativamente recente chamada IPFIX, que significa eXport de informações de fluxo do protocolo da Internet.
O sFlow é um tanto equivalente, mas amplamentetecnologia diferente. O sFlow usa métodos semelhantes para coletar informações de fluxo, mas adiciona amostragem de dados - daí o S - para obter informações ainda mais detalhadas. Muito poucos analisadores e coletores NetFlow podem manipular dados sFlow, pois os dois são muito diferentes.
As melhores ferramentas para análise de padrões de tráfego
Existem algumas ferramentas por aí que oferecemanálise de padrões de tráfego de rede. A maioria deles coletará dados do NetFlow e os exibirá de alguma maneira gráfica significativa, enquanto outros usam técnicas diferentes para atingir objetivos semelhantes.
1. Analisador de Tráfego SolarWinds NetFlow (TESTE GRÁTIS)
O primeiro da nossa lista é o Analisador de Tráfego SolarWinds NetFlow ou NTA. Se você não conhece o SolarWinds, a empresa possuiconquistou uma sólida reputação por criar algumas das melhores ferramentas de gerenciamento de rede. Seu principal produto, o Network Performance Monitor, é uma das melhores ferramentas de monitoramento de largura de banda disponíveis. E o SolarWinds também é conhecido por sua excelente ferramenta gratuita que atende a necessidades específicas de administração de rede, como uma das melhores calculadoras de sub-rede ou servidor TFTP.
Como o próprio nome indica, o Analisador de Tráfego SolarWinds NetFlow usa o protocolo NetFlow para fornecer informações detalhadasinformações sobre qual é o tráfego observado. Pode, por exemplo, relatar que tipo de tráfego é mais frequente ou qual usuário está usando mais largura de banda. Diversas visualizações diferentes estão disponíveis no painel da ferramenta, como os principais aplicativos, protocolos ou oradores, por exemplo. A ferramenta suportará a maioria das variantes do NetFlow de diferentes fornecedores
TESTE GRÁTIS: SOLARWINDS ANALISADOR DE TRÁFEGO DE NETFLOW
Aqui estão alguns dos melhores recursos do produto.
- Pode ser usado para monitorar o uso da rede por aplicativo, protocolo e grupo de endereços IP.
- Ele monitora os dados de fluxo do Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream e IPFIX para identificar quais aplicativos e protocolos são os principais consumidores de largura de banda.
- Ele coletará dados de tráfego, os correlacionará em um formato utilizável e os apresentará em sua interface de usuário baseada na Web
- Ele pode ajudá-lo a identificar quais aplicativos e categorias consomem mais largura de banda para melhorar a visibilidade do tráfego de rede e oferece suporte ao Cisco NBAR2.
o Analisador de Tráfego SolarWinds NetFlow está disponível como um complemento para a redeMonitor de desempenho (NPM). Os preços começam em US $ 1.915 para 100 nós. O número de nós que você compra deve corresponder à sua licença do NPM. Se você ainda não possui o software NPM, isso custará US $ 2.995 para o mesmo nível de 100 nós. E se você quiser experimentá-lo antes de comprá-lo, poderá fazer o download de uma versão de avaliação de 30 dias totalmente funcional de um ou de ambos os produtos,
2. Gráfico de tráfego do roteador Paessler (PRTG)
o Tráfego Paessler Router Grapherou PRTG, é uma solução completa, cujo objetivo principalestá monitorando a utilização da largura de banda. Como tal, integra o monitoramento de largura de banda SNMP e a coleta e análise do NetFlow. Mas não para por aí e PRTG usará muitas tecnologias diferentes para monitorar sistemas, dispositivos, tráfego e aplicativos. Aqui está um resumo dos protocolos de monitoramento suportados:
- Fluxos (como NetFlow ou sFlow)
- SNMP com opções prontas para uso e personalizadas
- Contadores de desempenho WMI e Windows
- SSH para sistemas Linux / Unix e MacOS
- Cheirar pacotes
- Ping, SQL e muito mais
Instalando PRTG é fácil. De fato, Paessler afirma que você poderá concluir em alguns minutos. Depois de executar o instalador, o processo de descoberta automática descobrirá dispositivos e configurará sensores básicos. Você pode adicionar sensores, como coletores NetFlow, manualmente. Se você precisar, há um vídeo detalhado que mostra como é feito.
PRTG só roda no Windows, mas sua interface de usuário ébaseado na Web e pode ser acessado de qualquer navegador em qualquer plataforma. Também existem aplicativos móveis para Android e iOS que você pode instalar no seu smartphone. Falando sobre os aplicativos móveis, essa ferramenta possui um recurso exclusivo na forma de etiquetas de código QR que você pode imprimir e afixar em seus dispositivos. É uma simples questão de digitalizar o código dos aplicativos móveis para visualizar rapidamente os dados do sensor do dispositivo.
PRTG está disponível em duas versões. Existe uma versão gratuita limitada a 100 sensores. Cada elemento monitorado conta como um sensor. Por exemplo, para monitorar cada porta de um comutador de 48 portas, você precisará de 48 sensores. Para a coleta e análise do NetFlow, você precisará de um sensor por exportador de fluxo. Para mais de 100 sensores, você precisa de uma licença paga. Eles estão disponíveis para 500, 1000, 2500, 5000 e nós ilimitados a preços variando entre US $ 1 600 e pouco menos de US $ 15.000. Observe que a versão gratuita permitirá sensores ilimitados nos primeiros 30 dias, permitindo que você faça um teste completo o produto.
3. Examinador
Scrutinizer O Plixer é um excelente analisador NetFlow. Na verdade, é muito mais do que apenas isso e é considerado por muitos como um sistema de resposta a incidentes de pleno direito. E com a capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream e IPFIX, você não se limita a monitorar apenas dispositivos Cisco.
Scrutinizer apresenta um design hierárquico e oferececoleta de dados simplificada e eficiente, que permite iniciar pequeno e facilmente escalar até milhões de fluxos por segundo. Embora a rede seja frequentemente culpada pela primeira vez sempre que algo der errado, Scrutinizer ajudará você a encontrar rapidamente a verdadeira causa raiz da maioria dos problemas de rede. O produto pode funcionar em ambientes físicos e virtuais e vem com recursos avançados de relatório.
Scrutinizer está disponível em quatro camadas de licença, a partir do básicoversão gratuita para o nível SCR de nível superior, que pode escalar até mais de dez milhões de fluxos por segundo. A versão gratuita é limitada a dez mil fluxos por segundo e só manterá os dados brutos do fluxo por 5 horas. As camadas intermediárias são o nível MDX, que mantém os dados por 25 horas, e o SSRV, que os mantém para sempre. Você pode experimentar qualquer camada de licença por 30 dias, após os quais voltará à versão gratuita.
4. ManageEngine NetFlow Analyzer
ManageEngine é outro nome familiar na arena de ferramentas de administração de rede. Assim como o SolarWinds, a empresa fabrica várias ferramentas excelentes, além de várias ferramentas gratuitas. o Analisador ManageEngine NetFlow fornece uma visão detalhada da largura de banda de uma redeutilização, bem como padrões de tráfego. O produto possui uma interface de usuário baseada na Web, que oferece um número impressionante de visualizações diferentes na sua rede.
Essa ferramenta permitirá, por exemplo, visualizartráfego por aplicativo, conversação, protocolo e várias outras opções. Você também pode definir alertas para avisá-lo sobre possíveis problemas. Você pode, por exemplo, definir um limite de tráfego em uma interface específica e ser alertado sempre que o tráfego exceder.
A maioria dos Analisador ManageEngine NetFlowA força de seus esforços vem de seus relatórios e painel. O produto possui vários relatórios úteis pré-construídos, personalizados para fins específicos, como solução de problemas, planejamento de capacidade ou cobrança. Mas se você preferir criar relatórios personalizados, a ferramenta permite que os administradores os criem ao seu gosto.
o Analisador ManageEngine NetFlowO painel do painel é tão impressionante quanto seus relatórios. Ele inclui vários gráficos de pizza representando os principais aplicativos, protocolos ou conversas, por exemplo. Também pode exibir um mapa de calor mostrando o status das interfaces monitoradas. Os painéis podem ser personalizados para incluir apenas as informações necessárias. Para os administradores de rede em trânsito, existe um aplicativo para smartphone que permite acessar o painel e os relatórios.
o Analisador ManageEngine NetFlow suporta a maioria das tecnologias de fluxo, incluindoNetFlow, IPFIX, J-flow, NetStream e alguns outros. Como um bônus, o também possui excelente integração com os dispositivos Cisco, com a possibilidade de ajustar as políticas de modelagem de tráfego e / ou QoS diretamente da ferramenta.
o Analisador ManageEngine NetFlow vem em duas versões. A versão gratuita limita você a monitorar apenas duas interfaces ou exportadores de fluxo. Para maior capacidade, as licenças estão disponíveis em vários tamanhos, de 100 a 2500 interfaces ou fluxos, a preços que variam entre US $ 600 a mais de US $ 50 mil, mais taxas anuais de manutenção. Uma avaliação gratuita de 30 dias está disponível em todos os planos pagos.
5. sFlowTrend
Embora todos os produtos anteriores sejam excelentes,somente o PRTG, até o momento, suporta o protocolo sFlow. Como explicamos, os dois protocolos são bem diferentes e é raro uma ferramenta suportar os dois. Portanto, se sua rede é composta principalmente de dispositivos habilitados para sFlow, aqui está uma das melhores ferramentas que encontramos.
sFlowTrend é uma ferramenta de monitoramento sFlow da inMon, aempresa por trás do protocolo sFlow. É uma ferramenta básica e um tanto limitada, mas muito capaz. Existe uma versão gratuita que permite coletar dados de até cinco dispositivos habilitados para sFlow e mantém os dados do histórico na RAM por até uma hora. Embora isso possa ser suficiente para solucionar alguns problemas de rede, não é o que você precisa para o monitoramento contínuo. Para uma ferramenta mais completa, você precisa atualizar para a versão pro, que remove o número de dispositivos limite e armazena dados do histórico em disco.
o sFlowTrend O painel oferece uma visão rápida do estado atual dos seus dispositivos e redes monitorados. Ele exibirá limites e interfaces de nível superior com possíveis erros. Clicando no sFLowTrend Guia Rede revela desempenho resumidoestatísticas e tráfego detalhado no nível da rede ou do dispositivo. Os limites de alerta podem ser usados para receber alertas quando o uso da largura de banda acima do normal é observado ou ocorre um erro de rede. O software também possui uma guia de causa raiz, na qual é possível detalhar a causa de um problema, como uma violação de limite.
o sFlowTrend Na guia Hosts, você encontrará mais detalhesinformações sobre cada dispositivo. Ele pode exibir dados de desempenho na CPU, disco e mais, para servidores habilitados para sFlow. Como você já deve ter imaginado, o sFlow não é apenas para monitorar equipamentos de rede. A guia Serviços é onde você encontra dados de desempenho para aplicativos que exportam dados do sFlow. E na guia Eventos, você encontrará um log de eventos, como limites excedidos ou erros detectados. Por fim, a guia Relatórios oferece vários relatórios predefinidos e também suporta a criação de relatórios personalizados.
sFlowTrend é escrito em Java e vem com umInterface do usuário baseada em Java ou na Web. Está disponível para Windows, Mac e Linux. O software possui um excelente sistema de ajuda on-line para ajudá-lo a configurar e usar a ferramenta.
Em conclusão
Não importa qual ferramenta você escolher, o tráfego de redea análise de padrões fornecerá uma visão inestimável do que acontece na sua rede. Cada uma das ferramentas que analisamos fornece um excelente valor, e escolher uma provavelmente será uma questão de preferência pessoal. Pode haver um recurso específico em uma das ferramentas que mais lhe agrada. Com todas as ferramentas pagas que oferecem uma versão de avaliação gratuita ou uma versão gratuita, não há motivo para você não tentar algumas antes de tomar uma decisão.
Comentários