Існує кілька видів мережевого моніторингув наявності. Один з них, можливо, найпоширеніший, - це моніторинг SNMP. Він може бути використаний, щоб дати адміністраторам досить чітке уявлення про те, скільки даних передається по мережах, якими вони керують. Але коли вони хочуть більш детальну картину - наприклад, дізнатися, ЩО трафік, а не просто ЯК МНОГО є - вони повинні звернутися до іншої технології.
NetFlow, технологія моніторингу, розроблена Cisco та впроваджена на пристроях виробника, стала фактичним стандартом, коли мова йде про якісний мережевий моніторинг. Інструменти для моніторингу NetFlow можуть бути дорогими та недоступними для багатьох менших підприємств. На щастя, доступно кілька програмних пакетів NetFlow з відкритим кодом, і ми збираємось їх переглянути.
Ми розпочнемо свою подорож, ознайомившисьмоніторинг мережі в цілому. Ми продовжимо обговорення різних типів моніторингу, зокрема зосередившись на моніторингу пропускної здатності та аналізі трафіку. Далі, не надто надто технічно, ми детально ознайомимося з технологією NetFlow, що це таке і як це працює.
Ми обговоримо деякі подібні технологіїтакож доступні, перш ніж ми перейдемо до основи нашої теми, фактичні інструменти NetFlow з відкритим кодом, які доступні. Хоча деякі інструменти відносно обмежені з точки зору того, що вони можуть виконати, або їх важче налаштувати, ніж деякі платні пакети, всі вони забезпечують справді цікаву функціональність.
Про моніторинг мережі
Мережевий трафік дуже схожий на дорожній рух. Так само, як мережеві ланцюги можна вважати магістралями, дані, що передаються по мережах, схожі на транспортні засоби, що рухаються по цьому шосе. Але на відміну від транспортного руху, де потрібно просто дивитись, чи є і що не так, побачити, що відбувається в мережі, може бути складним. Для початківців все відбувається дуже швидко, і дані, що передаються по мережі, невидимі неозброєним оком.
Інструменти мережевого моніторингу дозволяють точно "бачити"що відбувається у вашій мережі. За допомогою них ви зможете виміряти використання кожної схеми, проаналізувати, хто і для чого споживає пропускну здатність, і просвердлити глибоко в мережеві «розмови», щоб переконатися, що все працює нормально.
Різні типи інструментів моніторингу
В основному є три основні типи мережіінструменти моніторингу Кожен з них проходить трохи глибше попереднього та надає більше деталей про трафік. По-перше, є монітори використання пропускної здатності. Ці інструменти підкажуть, скільки даних передається у вашій мережі, але це лише про це.
Щоб отримати більше інформації про мережу, випотрібен інший тип інструментів, мережеві аналізатори. Це інструменти, які можуть дати вам деяку інформацію про те, що саме відбувається. Вони не просто скажуть вам, скільки трафіку проходить повз. Вони також можуть повідомити, який тип трафіку та між якими хостами він рухається.
А для найбільш детальної інформації, у вас є сніффер для пакетів. Вони роблять поглиблений аналіз шляхом фіксації та декодування трафіку. Інформація, яку вони надають, дозволить вам точно бачити, що відбувається, та визначати проблеми з найбільшою точністю. Наскільки вони корисні, вони виходять за рамки цієї публікації.
Інструменти контролю пропускної здатності
Більшість моніторів використання пропускної здатності покладаються наПростий протокол управління мережею або SNMP, щоб опитувати пристрої та отримувати кількість трафіку на всіх або деяких – їхніх інтерфейсах. Використовуючи ці дані, вони часто будуватимуть графіки, які зображують використання пропускної здатності з часом. Зазвичай вони дозволяють наблизитись до більш вузького часового проміжку, коли роздільна здатність графіка висока і показує, наприклад, середньохвилинний трафік або зменшує масштаб на більш тривалий проміжок часу - часто до місяця або навіть року – де він показує середньоденні або щотижневі середні показники.
Інструменти аналізу мережевого трафіку
Якщо вам потрібно знати більше, ніж кількістьтрафік, що проходить повз, потрібна вдосконалена система моніторингу. Вам потрібно те, що ми називаємо системою мережевого аналізу. Ці системи покладаються на програмне забезпечення, вбудоване в мережеве обладнання, щоб надсилати їм детальні дані про використання. Зазвичай ці системи можуть відображати провідних дикторів та слухачів, використання за адресою джерела чи призначення, використання за протоколом чи програмою та кілька інших корисних відомостей про те, що відбувається.
Хоча деякі системи використовують програмні агенти, які ви використовуєтенеобхідно встановити на цільових системах, більшість з них покладаються замість стандартних протоколів, таких як NetFlow, IPFIX або sFlow. Зазвичай вони вбудовані в обладнання та готові до використання, як тільки вони налаштовані.
NetFlow в двох мовах
NetFlow був розроблений Cisco Systems і бувпредставлені на своїх маршрутизаторах, щоб забезпечити можливість збирання мережевого трафіку IP під час входу або виходу з інтерфейсу. Потім зібрані дані аналізуються мережевими адміністраторами, щоб допомогти визначити джерело та місце трафіку, клас обслуговування та причини перевантаженості. Існує три основні компоненти технології NetFlow:
- Експортер потоку агрегує пакети в потоки та експортує записи потоків у напрямку до одного або декількох колекторів потоків. Це компонент, який працює на пристроях, що контролюються.
- Що стосується колектора потоків, він відповідає за прийом, зберігання та попередню обробку даних потоку, отриманих від експортера потоку.
- І останнє, але не менш важливе значення, аналізатор потоку - це програма, яка використовується для аналізу отриманих даних потоку. Аналіз можна використовувати для профілювання трафіку або для усунення несправностей у мережі.
Як це працює
Маршрутизатори, комутатори та будь-який інший пристрій, якийПідтримка NetFlow може бути налаштована для виведення даних потоку у вигляді записів потоків і відправлення їх в колектор NetFlow. Потік - це повна розмова в сенсі IP. Пристрій, що готує записи потоків, зазвичай надсилає їх до колектора, коли він визначає, що потік закінчується або шляхом старіння - не було трафіку протягом певного часу, або коли він бачить припинення сеансу TCP.
Запис потоку містить багато інформаціїпро течію. Він включає вхідні та вихідні інтерфейси, часові позначки початку та закінчення потоку, кількість байтів та пакетів, які він містить, заголовки 3 рівня, IP-адресу та номер порту джерела та призначення, IP-протокол та значення TOS. Записи потоку не містять фактичних даних, що складали потік. Єдині містять інформацію про потік. Це важливо з точки зору безпеки.
За винятком величезних середовищ, на яких розміщено багато сайтів, потікКолектори, куди надсилаються записи, часто також є аналізаторами потоку. Вони використовують інформацію, що міститься в записах потоків, для представлення даних про мережевий трафік таким чином, який корисний адміністраторам мережі. Різні збирачі та аналізатори NetFlow матимуть різні способи подання даних. Ось тут нам стане у нагоді список найкращих колекторів та аналізаторів NetFlow.
Інші подібні технології
Існують різні версії та адаптації NetFlowіснують, а деякі відомі під іншою назвою. Насправді багато з них використовуються за ліцензією Cisco. Є також справжні альтернативи NetFlow, два найвідоміші - sFlow та IPFIX. Остання основана на останній версії NetFlow, за винятком того, що це стандарт IETF. Насправді, існує багато причин вважати, що Cisco навіть може врешті-решт замінити NetFlow на IPFIX. Що стосується sFlow, то це інша, конкуруюча система. Його мета та загальні принципи роботи схожі, але різні. Деякі аналізатори NetFlow також працюватимуть із sFlow, але, загалом кажучи, користувачі одного не використовують іншого.
Топ програмного забезпечення NetFlow з відкритим кодом
1. SolarWinds в реальному часі аналізатор NetFlow (ЗАВАНТАЖИТИ БЕЗКОШТОВНО)
Сонячні вітри є одним з найвідоміших гравців у галузі інструментів мережевого адміністрування. Компанія існує вже близько 20 років, принесення нам одні з найкращих інструментів мережевого адміністрування. Це має також набутий міцна репутація створення чудових безкоштовних інструментів, які, хоча вони іноді обмежені функціями, все ж є чудовими інструментами. Одним з таких інструментів є безкоштовно Аналізатор NetFlow в реальному часі. Хоча це не інструмент з відкритим кодом, він абсолютно безкоштовно і добре варто придивитися. Цей інструмент може не бути так само повно і повнофункціональний як її старший брат, Сонячні вітри Аналізатор трафіку NetFlow, цей продукт надає той самий базовий функціонал.
- ЗАВАНТАЖИТИ БЕЗКОШТОВНО: SolarWinds в реальному часі аналізатор NetFlow
- Офіційне посилання для завантаження: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration
Інструмент може захоплювати та аналізувати Appflow, NetFlow, JFlow,та sFlow дані в режимі реального часу. І він точно покаже типи трафіку у вашій мережі, звідки він надходить і куди йде. Ви також можете використовувати його для діагностики спайків трафіку та усунення проблем із пропускною здатністю.
Тут деякі з то Аналізатор NetFlow в реальному часіОсновні особливості:
- Визначте, які користувачі, пристрої та програми споживають найбільшу пропускну здатність
- Виділіть мережевий трафік за допомогою розмови, програми, домену, кінцевої точки та протоколу
- Перегляд мережевого трафіку за типом та вказаними періодами часу
Інструмент, як і більшість інших Сонячні вітри інструменти, легко встановлюється за допомогою стандарту Wмайстер налаштування Індоуса. Після встановлення в нього включений конфігуратор NetFlow до допомогти тобі з конфігурацією пристрої, що підтримують різні варіанти NetFlow.
Це безкоштовне програмне забезпечення має деякі обмеження порівняно зі своїм старшим братом, хоч. Наприклад, яОсновний фокус - поточний та останній стан вашої мережі. Таким чином, він може збирати дані лише з одного інтерфейсу NetFlow і зберігати та аналізувати лише останні 60 хвилин даних.
2. FlowScan
FlowScan - це такий собі інструмент візуалізації, який ви використовуєтезазвичай використовують для аналізу даних NetFlow та звітування про них. Він може створювати візуальні графіки, що генеруються в реальному часі і показують поточний стан вашої мережі. FlowScan може бути розгорнутий у більшості систем GNU / Linux або BSD. Він покладається на кілька інших пакетів, щоб правильно збирати та обробляти потоки. Наприклад, Cflowd використовується як колектор потоку. FlowScan складається в основному зі сценарію Perl, який становить основну частину програмного пакету. Цей компонент відповідає за завантаження та виконання звітів. Інший головний компонент програмного забезпечення - RRDtool, популярний інструмент, який використовується для зберігання даних у базах даних із круглими роботами та побудови цих графіків на графіках. FlowSanc використовує його для зберігання потокової інформації та створення корисних графіків.
Адміністратори мережі часто розуміють, що вониабо зібрали занадто мало або занадто багато даних. Профілювання потоку, як це доступно в FlowScan, пропонує цікавий компроміс між цими крайнощами в зборі даних. Оскільки потоки сукупних даних, зібрані у вигляді пакетів, подорожують через певний порт або інтерфейс, вони можуть бути використані як своєрідне резюме для серії пакетів, що подорожують між кінцевими точками, що цікавлять. Однак ця особливість недостатня для надійного безперервного використання. Для визначення, аналізу та аналізу цих потоків потрібні додаткові програмні засоби. Ці додаткові інструменти входять до FlowScan.
3. nProbe і ntopng
nProbe і ntopng є дещо вдосконаленими та, отже, дещо складними – інструментами з відкритим кодом. Ntopng це веб-інструмент аналізу трафіку для моніторингу мереж на основі даних потоку nProbe є експортером та збирачем NetFlow та IPFIX. Разом вони розробляють дуже гнучкий пакет аналізу. Якщо ви раніше керували мережами Linux, можливо, ви вже знайомі з ntop. У такому випадку ви будете раді дізнатися, що ntopng - це версія GUI нового покоління цього нестарілого інструменту.
Існує безкоштовна версія спільноти ntopng однак ви також можете придбати корпоративну версію продукту. Це може бути дорого, але це безкоштовно для освітніх та некомерційних організацій. Як для nProbeВи можете спробувати його безкоштовно, але це обмежено загальним обсягом 25 000 експортних потоків. Щоб вийти за рамки цього, вам потрібно буде придбати ліцензію.
Як і більшість сучасних інструментів мережевого аналізу, ntopngмає веб-інтерфейс користувача, який може представляти дані за допомогою трафіку, такі як головні динаміки, потоки, хости, пристрої та інтерфейси. Він має поєднання діаграм, таблиць та графіків, більшість із яких містить параметри деталізації, які дозволяють вивчити їх у більшій глибині. Користувацький інтерфейс дуже гнучкий і дозволяє здійснити безліч налаштувань.
4. Flow-Tools
Поточні інструменти - це набір інструментів для роботи з даними NetFlow. Точніше, це бібліотека, поєднана з набором програм, що використовуються для збору, відправки, обробки та генерації звітів із даних NetFlow. Інструменти можна використовувати разом на одному сервері або розподіляти на декілька серверів для більшого розміщення. The Flow-Tools Бібліотека також надає API для розробки користувацьких додатків для експортування NetFlow версій 1, 5, 6 та 14 визначених на даний момент під-версій 8.
Цей проект є вилкою старого і здебільшогонеіснуючий проект потокових інструментів OSU. це не найактивніший проект там, і остання версія сягає дев'яти років тому. Однак якщо ви шукаєте простий інструмент і готові докласти зусиль, необхідних для його налаштування, це може бути чудовим інструментом для розгляду.
5. NFsen / NFDump
NFsen, що скорочено для датчика Netflow - це веб-інтерфейс для фронтального інструменту nfdump. Зазвичай він використовується для відображення приємного та зручного для користувача графічного зображення даних, які nfdump генерує, включаючи дані NetFlow. У вас є можливість генерувати звіти про ваші дані NetFlow зі всілякою інформацією, включаючи (але не обмежуючись ними) потоки, пакети та байти за допомогою інструменту бази даних RRD. Крім того, ви також можете налаштувати сповіщення та переглянути історичні дані.
The NFsen проект все ще дуже активний і програмне забезпечення можезавантажуватись зі сторінки Sourceforge. Він працюватиме на будь-яких системах Unix / Linux. Вам знадобиться попередньо налаштувати PHP, PERL (разом із Perl Mail :: заголовком та поштою :: Інтернет-модулі), модулем інструментів RRD та NFDump інструменти, встановлені у вашій системі, щоб правильно їх використовувати.
6. pmGraph
pmGraph є ще одним чудовим інструментом з відкритим кодом для графіки та контролю пропускної здатності. Він призначений для доповнення pmacct, мережевий інструмент моніторингу та аудиту. Два інструменти поставляються разом як пакет Debian, а інструкції щодо встановлення pmGraph охоплюють встановлення обох інструментів. pmacct збирає та контролює трафік за допомогою Netflow або Sflow на мережевих пристроях (включаючи брандмауери, маршрутизатори та комутатори) в базу даних та дозволяє аналізувати зібрані дані за допомогою pmGraph.
pmGraph була розроблена співробітниками та волонтерами зАктивуйте, цифрове агентство з міжнародного розвитку, щоб бути гнучким та потужним інструментом для мережевих та системних адміністраторів, з передовими зручними для користувача графічними можливостями. Ось основні характеристики продукту:
- Зручний і простий інтерфейс
- Відображає інформацію про з'єднання між віддаленими та локальними машинами та використовуваними портами
- Дозвіл імені хоста за допомогою DNS та DHCP-серверів
- Показує використання для певної IP-адреси або порту
- Налаштована кількість результатів
pmGraph це програмне забезпечення, незалежне від платформи, розроблене в Java і призначене для роботи в контейнері сервлетів, наприклад Tomcat, який доступний для всіх поширених платформ. pmGraph дуже легкий і вимагає всього 8 Мбмісце на диску. Однак він покладається на зовнішні, об'ємніші програми. Якщо у вас ще немає серверів Tomcat, Java та MySQL, вам доведеться також встановити їх, зайнявши близько 300 Мб дискового простору, все ще не багато місця. Ці компоненти будуть встановлені для вас, якщо ви використовуєте інсталяцію пакету і зможете встановити pmGraph, не дізнаючись про них багато.
Коментарі