Аналізатори мережевого трафіку пускають мережуадміністратори та менеджери чудово розуміють не лише те, наскільки мережа використовується, але, що ще важливіше, як її використовувати. Одна справа знати, що певний сегмент мережі страждає від перевантаженості, але вміти зрозуміти, що спричиняє затори, дає вам зовсім нову перспективу. Без цієї інформації єдиним варіантом виправлення проблем із перевантаженням є кинути на неї більше пропускної здатності - у кращому випадку тимчасове рішення. Пропускна здатність, як і раніше дорога, є, безумовно, кращі способи вирішення цього питання.
Аналіз мережевого трафіку може відповісти, і сьогодні ми пояснимо, що це таке, і розглянемо деякі найкращі інструменти, якими ви можете скористатися.
Ми розпочнемо нашу подорож до мережевого трафікуаналіз з деякою корисною теорією. Спочатку ми детальніше ознайомимося з тим, що це насправді. Це важливо, оскільки ми хочемо, щоб усі були на одній сторінці до кінця нашої дискусії. Далі ми представимо NetFlow та інші подібні системи та протоколи звітності про потоки. Вони лежать в основі більшості інструментів аналізу структури трафіку. Без них, можливо, не було б жодного аналізу мережевого трафіку.
Спочатку поглянемо на NetFlow CiscoТехнологія та її декілька варіантів, перш ніж ми подивимось на S-Flow, конкуруючу систему, яка дещо відрізняється за своїм функціонуванням, хоча і служить подібній меті. З усією цією інформацією ми будемо готові переглянути найпопулярніші в даний час аналізатори мережевого трафіку.
Про аналіз мережевого трафіку
У своєму найпростішому вираженні - мережевий трафіканаліз, який іноді називають шаблонним аналізом - це процес запису, перегляду та / або аналізу мережевого трафіку з метою виконання продуктивності, безпеки та / або загального управління мережевими операціями. Більш конкретно, це процес використання ручних та автоматизованих методів для перегляду деталізованих деталей та статистики щодо поточного мережевого трафіку.
Існує насамперед два типи мережевого трафікумоніторинг. Перший - це моніторинг використання пропускної здатності, який може надати кількісні дані. Цей тип моніторингу дозволить вам побачити, скільки трафіку відбувається в певній точці мережі, але він не надасть жодних даних про характер цього трафіку. Другий тип моніторингу, той, про який ми сьогодні обговорюємо, і який називається аналізом мережевого трафіку, йде глибше, і його основна мета - запропонувати глибоке розуміння того, який тип трафіку, мережевих пакетів або даних протікає через мережу, а також її джерело та призначення.
Хоча аналіз мережевого трафіку можна зробитивручну це було б досить втомливим починанням, і це найчастіше робиться за допомогою інструментів мережевого моніторингу. Статистика трафіку, отримана в результаті аналізу мережевого трафіку, може допомогти зрозуміти та оцінити використання мережі. Це дозволить виявити важливі дані про тип, розмір, походження та призначення пакетів даних. Він може навіть включати деяку інформацію про вміст пакетів даних.
Команди з безпеки мережі можуть використовувати мережевий трафіканаліз шаблону для виявлення зловмисних або підозрілих пакетів у межах трафіку. Так само мережеві адміністрації, які прагнуть контролювати швидкість завантаження та завантаження, пропускну здатність, вміст тощо, будуть використовувати його для кращого розуміння використання мережі.
З іншого боку, аналіз структури мережевого трафікутакож можуть бути використані зловмисниками та / або зловмисниками для аналізу моделей мережевого трафіку та виявлення уразливості або засобів для вторгнення або отримання конфіденційних даних. Це, як і багато технологій, меч з двома кінцями.
ЗВ'ЯЗАНЕ ЧИТАННЯ: 8 кращих інструментів тестування затримки в мережі (відгуки 2019 року)
NetFlow та інші системи звітування про потоки
NetFlow - це функція, яка була представлена на Ciscoмаршрутизатори ще в середині 1990-х, дають або знадобиться рік-два. Ця технологія пропонує можливість збирати мережевий трафік IP під час входу або виходу з інтерфейсу. Це відрізняється від моніторингу пропускної здатності, коли дані враховуються, але не збираються. Аналізуючи зібрані дані, можна визначити такі речі, як джерело та призначення трафіку, клас та тип послуги, і, в кінцевому рахунку, використовувати цю інформацію для виявлення причин перевантаженості чи інших мережевих проблем.
Типова програма моніторингу NetFlow складається з трьох основних компонентів:
- Експортер потоку агрегує пакети в потоки та експортує записи потоків до одного або декількох колекторів потоків. Це компонент, який знаходиться в мережевому пристрої.
- Колектор потоку відповідає за прийом, зберігання та попередню обробку даних потоку, отриманих від експортера потоку.
- Аналізатор потоку аналізує, наприклад, отримані дані потоку в контексті виявлення вторгнень або профілювання трафіку.
Потік, кажучи NetFlow, є односпрямованимпослідовність пакетів, які ділять певну кількість атрибутів, таких як їх вхідний інтерфейс, IP-адреса джерела та призначення, IP-протокол (TCP / UDP / ICMP тощо), порти IP-адреси джерела та призначення та тип послуги IP. Іншими словами, це відповідає мережевому сеансу. Детальні дані про кожен окремий потік збирає експортер потоку перед тим, як експортувати його в колектор потоку. У більшості випадків колектор потоку та аналізатор - це два компоненти однієї системи, і ми рідко бачимо їх розділеними.
ТАКОЖ ЧИТАТИ: 5 кращих інструментів для аналізу шаблону трафіку
Колись ексклюзивний Cisco, тепер доступний NetFlowна обладнання багатьох виробників, включаючи Juniper, Alcatel-Lucent та Nortel, лише декілька. Деякі продавці називають це іншою назвою, такою як J-flow для ялівцю. Існує навіть відносно недавня версія, стандартизована IETF, під назвою IPFIX, яка розшифровується як інформація про потік протоколу Internet eXport.
Є також sFlow від InMon, дещорівнозначна, але широко відрізняється технологія. sFlow використовує подібні методи для збору інформації про потік, але додає вибірку даних - отже, S - для отримання більш детальної інформації. Лише кілька аналізаторів і колекторів NetFlow можуть обробляти дані sFlow, оскільки два занадто різні.
Кращі аналізатори мережевого трафіку
Занадто багато аналізаторів мережевого трафікувикористання NetFlow або sFlow, що може зробити процес відбору непростим завданням. Щоб допомогти вам, ми склали цей список деяких найкращих інструментів для аналізу мережевого трафіку. Кожен з них вартий того, щоб придивитись до нього.
1. Аналізатор трафіку SolarWinds NetFlow (БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД)
Першим у нашому списку є Аналізатор трафіку SolarWinds NetFlow або NTA. Якщо ти не знаєш Сонячні вітри, компанія набула найвищої репутації для створення одних з найкращих інструментів управління мережею. Його флагманський продукт, the Монітор ефективності роботи мережі є одним з найкращих інструментів контролю пропускної здатностів наявності. Компанія також відома своїм чудовим безкоштовним інструментом для вирішення конкретних потреб в управлінні мережею, таким як один з найкращих калькуляторів підмережі або TFTP-сервери.
Як випливає з назви, Аналізатор трафіку SolarWinds NetFlow використовує протокол NetFlow для збору деталізаціїінформація про те, що таке спостережуваний трафік. Наприклад, він може повідомити, який тип трафіку частіший або який користувач чи пристрій використовує найбільшу пропускну здатність. На приладовій панелі інструмента доступні декілька різних поглядів, наприклад, топ-програми, топ-протоколи або топ-динаміки. Інструмент підтримує більшість варіантів NetFlow від різних виробників.
- БЕЗКОШТОВНИЙ ПРОБНИЙ ПЕРІОД: Аналізатор трафіку SolarWinds NetFlow
- Офіційне посилання для завантаження: https://www.solarwinds.com/netflow-traffic-analyzer/registration
Серед деяких з Аналізатор трафіку SolarWinds NetFlowНайкращі характеристики:
- З його допомогою можна контролювати використання мережі за допомогою програми, протоколу та групи IP-адрес.
- Він контролюватиме дані Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream та IPFIX, щоб визначити, які програми та протоколи є найвищими споживачами пропускної здатності.
- Він буде збирати дані про трафік, співвідносити їх у використаному форматі та представляти їх у своєму веб-інтерфейсі користувача
- Це може допомогти вам визначити, які програми та категорії споживають найбільшу пропускну здатність для кращої видимості мережевого трафіку, і він підтримує Cisco NBAR2.
The Аналізатор трафіку SolarWinds NetFlow доступний як доповнення до МережіМонітор продуктивності (NPM). Ціни починаються від 1915 доларів за 100 вузлів. Кількість придбаних вузлів має відповідати вашій ліцензії NPM. Якщо ви ще не володієте програмним забезпеченням NPM, це коштуватиме 2995 доларів за той самий рівень 100 вузлів. І якщо ви хочете спробувати його перед покупкою, ви можете завантажити повністю функціональну 30-денну оціночну версію одного або обох продуктів,
2. PRTG Network Monitor
The PRTG Network Monitorабо просто PRTG з Paessler AG, - це рішення "все в одному", основне призначення якогоздійснює моніторинг використання пропускної здатності. Як такий, він інтегрує моніторинг пропускної здатності SNMP та збір та аналіз NetFlow. Але це на цьому не зупиняється PRTG використовує те, що вони називають датчиками, для моніторингу різних систем, пристроїв, трафіку та додатків. Ось перелік деяких найважливіших технологій моніторингу, які підтримуються:
- Потоки (наприклад, NetFlow або sFlow)
- SNMP з готовими до використання та нестандартними опціями
- Лічильники продуктивності WMI та Windows
- SSH для систем Linux / Unix та macOS
- Знизування пакетів
- Ping, SQL та багато іншого
Встановлення PRTG легко. Насправді Пасслер стверджує, що ви могли це зробити за пару хвилин. Після запуску інсталятора процес автоматичного виявлення виявить пристрої та встановить основні датчики. Потім ви можете додавати більш вдосконалені та складні датчики, такі як NetFlow колектори, вручну. Якщо вам це потрібно, детальне відео покаже вам, як це робиться.
PRTG працює в Windows, але його користувальницький інтерфейс євеб-базі та доступ до нього можна з будь-якого браузера на будь-якій платформі. Також є мобільні додатки для Android та iOS. Якщо говорити про мобільні додатки, цей продукт має унікальну особливість у вигляді ярликів QR-коду, які ви можете друкувати та закріплювати на своїх пристроях. Тоді просте сканування коду з мобільних додатків - це швидкий перегляд даних датчика пристрою.
The Монітор мережі PRTG доступний у двох версіях. Існує безкоштовна версія, обмежена 100 датчиками. Кожен контрольований елемент вважається одним датчиком. Наприклад, для контролю кожного порту 48-портового комутатора знадобиться 48 датчиків. Для збору та аналізу NetFlow вам знадобиться по одному датчику для кожного експортера потоку. Для більш ніж 100 датчиків потрібна платна ліцензія. Вони доступні для 500, 1000, 2500, 5000 та необмежених вузлів за цінами, що коливаються приблизно від 1 600 доларів США до трохи менше 15 000 доларів. тест-драйв продукту.
3. Ревізор
Ревізор з Пліксер є відмінним аналізатором NetFlow. Це насправді набагато більше, ніж багато хто вважає це повноцінною системою реагування на інциденти. Він має можливість контролювати різні типи потоків, такі як NetFlow, J-flow, NetStream та IPFIX, тому ви не обмежуєтесь моніторингом лише пристроїв Cisco.
Ревізор відрізняється ієрархічним дизайном і пропонує спрощений та ефективний збір даних. Це дозволяє запустити невеликий і легкий масштаб шляху до мільйонів потоків в секунду. Ревізор стверджує, що допомагає швидко знайти справжню першопричину більшості мережевих проблем. Продукт може працювати як у фізичному, так і у віртуальному середовищах, і він має вдосконалені функції звітування.
Ревізор доступний у чотирьох ліцензійних рівнях від основноїбезкоштовна версія до рівня SCR вищого рівня, яка може масштабувати до десяти мільйонів потоків в секунду. Безкоштовна версія обмежена десятьма тисячами потоків в секунду, і вона зберігатиме лише необроблені дані протягом 5 годин. Між ярусами є рівень MDX, який зберігає дані протягом 25 годин, і SSRV, який зберігає їх назавжди. Ви можете спробувати будь-який рівень ліцензії протягом 30 днів, після чого він повернеться до безкоштовної версії.
4. ManageEngine NetFlow Analyzer
ManageEngine - ще одне популярне ім’я серед адміністраторів мережі. Компанія робить кілька відмінних інструментів, що сплачуються, а також кілька безкоштовних. The ManageEngine NetFlow Analyzer надає детальний перегляд пропускної здатності мережівикористання, а також схеми руху. Він підтримує більшість технологій потоку, включаючи NetFlow, IPFIX, J-flow, NetStream та деякі інші. Платформа також може користуватися веб-інтерфейсом користувача, який пропонує вражаючу кількість різних переглядів у вашій мережі. Наприклад, він дозволяє переглядати трафік за допомогою програми, розмови, протоколу та ще декількох варіантів перегляду. Ви також можете встановити сповіщення, щоб попереджати про можливі проблеми. Наприклад, ви можете встановити поріг трафіку на певному інтерфейсі та отримувати сповіщення, коли трафік перевищує його.
Значна частина ManageEngine NetFlow AnalyzerСила базується на вражаючих звітах. У продукті є кілька корисних попередньо створених звітів, які підходять для конкретних цілей, таких як усунення несправностей, планування потужностей або виставлення рахунків. Якщо ви хочете скористатися спеціалізованими звітами, їх можна легко створити.
Інформаційна панель продукту так само вражаєїї звіти. Вона включає в себе кілька кругових діаграм, що зображають, наприклад, топ-програми, топ-протоколи або топ-розмови. Він також може відображати теплову карту, що показує стан інтерфейсів, що контролюються. Інформаційні панелі можна налаштувати, щоб вони містили лише необхідну інформацію. Для адміністраторів на ходу є додаток для смартфонів, який дозволяє вам отримувати доступ до інформаційної панелі та звітів з будь-якого місця.
The ManageEngine NetFlow Analyzer випускається у двох версіях. Безкоштовна версія обмежує моніторинг лише двох інтерфейсів або експортерів потоку. Для більшої ємності ліцензії доступні в декількох розмірах від 100 до 2500 інтерфейсів або потоків за цінами, що коливаються приблизно від 600 доларів до понад 50 000 доларів плюс щорічні плати за обслуговування. Для всіх платних планів доступна безкоштовна 30-денна пробна версія.
5. sFlowTrend
Як ми пояснили, протоколи NetFlow та sFlow єзовсім інші, і рідко один інструмент підтримує обидва. Серед усіх розглянутих продуктів поки що лише мережевий монітор PRTG підтримує протокол sFlow. Але якщо ваша мережа в основному складається з пристроїв із підтримкою sFlow, ось один із найкращих інструментів, які ми могли знайти.
sFlowTrend є інструментом моніторингу sFlow від вМон, компанія, що стоїть за протоколом sFlow. Це основний і дещо обмежений, але дуже здібний інструмент. Існує безкоштовна версія, яка дозволить вам збирати дані з до п'яти пристроїв, що підтримують функцію sFlow, і зберігатиме дані історії в оперативній пам’яті до години. Хоча цього може бути достатньо для усунення деяких проблем з мережею, це не те, що потрібно для постійного моніторингу. Для більш повного інструменту вам потрібно оновити платну професійну версію, яка видаляє ліміт кількості пристроїв і зберігає дані історії на диску.
The sFlowTrend приладова панель забезпечує швидкий огляд струмустан вашої мережі та її компонентів. Він відображатиме пороги верхнього рівня та інтерфейси з потенційними помилками. Клацання на вкладці Мережа sFLowTrend виявляє узагальнену статистику продуктивності та детальний трафік на рівні мережі або пристрою. Порогові сповіщення можуть бути використані для отримання сповіщень, коли спостерігається перевищення звичайної смуги частот або трапляються помилки мережі. У програмному забезпеченні також є вкладка Root Cause, де ви можете зрозуміти причину проблеми, наприклад порушення порогу.
The sFlowTrend На вкладці "Хости" ви знайдете більш детальну інформаціюінформація про кожен пристрій. Він може відображати дані про продуктивність на процесорі, диску та багато іншого для серверів з підтримкою sFlow. На вкладці Служби ви знайдете дані про ефективність програм, які експортують дані sFlow. На вкладці "Події" ви знайдете журнал подій, таких як перевищені пороги або виявлені помилки. Нарешті, на вкладці "Звіти" є кілька попередньо визначених звітів, а також підтримується створення спеціальних звітів.
sFlowTrend написано на Java і постачається з обомаНа базі Java або звичайний веб-інтерфейс користувача. Він доступний для Windows, Mac та Linux. Програмне забезпечення має чудову онлайн-довідкову систему, яка допоможе вам налаштувати та використовувати інструмент.
Підведенню
Незалежно від того, який інструмент ви вибрали, мережевий трафіканалізатори дадуть вам неоціненну інформацію про те, що відбувається у вашій мережі. Інструменти, які ми розглянули, надають чудову цінність, і вибір одного, найімовірніше, буде питанням особистої переваги, оскільки в одному з інструментів, який особливо подобається вам, може бути певна особливість. Оскільки всі платні інструменти пропонують або безкоштовну пробну версію, або безкоштовну версію, немає жодної причини, чому ви не можете спробувати декілька, перш ніж приймати рішення.
Коментарі