Analýza vzorů provozu je proces, který umožňuje správcům a správcům sítí získat vynikající zobrazení nejen toho, jak moc je síť využívána, ale především JAK je využívána. Jedna věc je vědět, že daný segment sítě trpí přetížením, ale jiná – a mnohem užitečnější – je zjistit, co toto přetížení způsobuje. A bez těchto informací je jedinou možností, jak přetížení vyřešit, využít větší šířku pásma. Ale šířka pásma je drahá a určitě existují lepší způsoby, jak tento typ problému vyřešit. Analýza dopravních vzorů může obsahovat odpověď a dnes přezkoumáváme nejlepší nástroje, které můžete použít.
Začneme naši cestu do analýzy dopravních vzorů nějakou užitečnou teorií. Nejprve se blíže podíváme na to, co je analýza vzorců provozu. To je důležité, protože to pomůže definovat, co tvoří nástroj pro analýzu vzorců provozu. Poté probereme NetFlow a další systémy a protokoly pro hlášení toku, protože jsou jádrem většiny nástrojů pro analýzu vzorů provozu. Nejprve se podíváme na protokol NetFlow společnosti Cisco a jeho různé varianty, než se podíváme na S-Flow, konkurenční protokol, který se poněkud liší tím, jak funguje. Vyzbrojeni všemi těmito informacemi budeme připraveni přezkoumat nejlepší nástroje pro analýzu vzorců provozu, které jsme mohli najít.
Table of Contents
Analýza dopravních vzorů v kostce
Ve svém nejjednodušším vyjádření je analýza vzorů síťového provozu proces zaznamenávání, kontroly a/nebo analýzy síťového provozu za účelem výkonu, bezpečnosti a/nebo obecných síťových operací a správy. Konkrétně se jedná o proces používání manuálních a automatizovaných technik pro kontrolu podrobných podrobností a statistik v rámci síťového provozu.
Primárně existují dva typy monitorování síťového provozu. První je monitorování využití šířky pásma, které může poskytnout kvantitativní data. Tento typ monitorování vám umožní zjistit, kolik provozu prochází v konkrétním bodě sítě, ale neposkytne žádná data o povaze tohoto provozu. Druhý typ monitorování, ten, o kterém dnes diskutujeme a který se nazývá analýza vzorů síťového provozu nebo jen analýza síťového provozu, jde hlouběji a jeho primárním cílem je nabídnout hloubkový náhled na to, jaký typ provozu, sítě pakety nebo data procházejí sítí.
Ačkoli analýzu vzorů síťového provozu lze provádět ručně, nejčastěji se provádí pomocí nástroje pro monitorování sítě. Dělat to ručně by prostě vyžadovalo příliš mnoho úsilí. Statistiky provozu získané z analýzy síťového provozu mohou pomoci s pochopením a vyhodnocením využití sítě. Odhalí důležitá data o typu, velikosti, původu a cíli datových paketů. Může dokonce obsahovat některé informace o obsahu datových paketů.
Týmy pro zabezpečení sítě mohou použít analýzu vzorů síťového provozu k identifikaci škodlivých nebo podezřelých paketů v rámci provozu. Podobně správci sítě, kteří chtějí sledovat rychlost stahování a odesílání, propustnost, obsah atd., to využijí k lepšímu pochopení využití sítě.
Na druhou stranu, analýzu vzorů síťového provozu mohou útočníci a/nebo vetřelci použít také k analýze vzorců síťového provozu a identifikaci zranitelností nebo prostředků k prolomení nebo získání citlivých dat. Toto je dvousečná zbraň.
NetFlow a další systémy hlášení toku
NetFlow je funkce, která byla zavedena na směrovačích Cisco již v roce 1996 – dejte nebo vezměte rok nebo dva – která nabízí možnost shromažďovat síťový provoz IP při vstupu nebo výstupu z rozhraní. To se liší od monitorování šířky pásma, kde se data počítají, ale neshromažďují. Analýzou shromážděných dat lze určit věci, jako je zdroj a cíl provozu, třída a typ služby, a nakonec tyto informace použít k identifikaci příčin přetížení.
Typické nastavení monitorování NetFlow se skládá ze tří hlavních komponent:
The Fnízký vývozce agreguje pakety do toků a exportuje záznamy toků směrem k jednomu nebo více kolektorům toků. Toto je komponenta, která se nachází v síťovém zařízení.
The Fnízký kolektor je odpovědný za příjem, uchovávání a předzpracování dat o toku přijatých od vývozce toku.
The průtokový analyzátor analyzuje přijatá data toku například v kontextu detekce narušení nebo profilování provozu.
Tok, v řeči NetFlow, je jednosměrná sekvence paketů, které sdílejí určitý počet atributů, jako je jejich vstupní rozhraní, zdrojové a cílové IP adresy, IP protokol (TCP/UDP/ICMP atd.), zdrojové a cílové IP porty. a typ služby IP. Detailní data o každém jednotlivém toku shromažďuje exportér toku před exportem do kolektoru toku. Ve většině případů jsou dnes průtokový kolektor a analyzátor dvě součásti stejného systému a zřídka je vidíme oddělené.
NetFlow, kdysi exkluzivně pro Cisco, je nyní k dispozici na zařízeních od mnoha prodejců včetně Juniper, Alcatel-Lucent a Nortel, abychom jmenovali alespoň některé. Někteří prodejci to nazývají jiným názvem, například J-flow pro Juniper. Existuje dokonce relativně nedávná verze standardizovaná IETF nazvaná IPFIX, což je zkratka pro Internet Protocol Flow Information eXport.
sFlow je do jisté míry ekvivalentní, ale velmi odlišná technologie. sFlow používá podobné metody pro sběr informací o toku, ale přidává vzorkování dat – tedy S – pro ještě podrobnější informace. Velmi málo NetFlow analyzátorů a kolektorů dokáže zpracovat data sFlow, protože jsou příliš odlišné.
Nejlepší nástroje pro analýzu vzorců provozu
Existuje poměrně málo nástrojů, které nabízejí analýzu vzorců síťového provozu. Většina z nich bude shromažďovat data NetFlow a zobrazovat je nějakým smysluplným grafickým způsobem, zatímco některé používají různé techniky k dosažení podobných cílů.
1. SolarWinds NetFlow Traffic Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA)
První na našem seznamu je SolarWinds NetFlow Traffic Analyzer nebo NTA. Pokud SolarWinds neznáte, společnost si vydobyla dobrou pověst díky výrobě některých z nejlepších nástrojů pro správu sítě. Jeho vlajkový produkt, Network Performance Monitor, je jedním z nejlepších dostupných nástrojů pro monitorování šířky pásma. A SolarWinds je také známý pro svůj skvělý bezplatný nástroj, který řeší specifické potřeby správy sítě, jako je jeden z nejlepších podsíťových kalkulátorů nebo TFTP server.
Jak jeho název napovídá, SolarWinds NetFlow Traffic Analyzer využívá protokol NetFlow k poskytování podrobných informací o tom, jaký je pozorovaný provoz. Může například hlásit, jaký typ provozu je častější nebo který uživatel využívá největší šířku pásma. Na ovládacím panelu nástroje je k dispozici několik různých pohledů, jako jsou například top aplikace, top protokoly nebo top mluvčí. Nástroj bude podporovat většinu variant NetFlow od různých dodavatelů
ZKUŠEBNÍ VERZE ZDARMA: SLUNEČNÍ VĚTRY NETFLOW ANALYZER DOPRAVY
Zde jsou některé z nejlepších vlastností produktu.
Lze jej použít ke sledování využití sítě podle aplikace, protokolu a skupiny IP adres.
Bude monitorovat data toků Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream a IPFIX, aby bylo možné určit, které aplikace a protokoly jsou hlavními spotřebiteli šířky pásma.
Bude shromažďovat údaje o provozu, korelovat je do použitelného formátu a prezentovat je na svém webovém uživatelském rozhraní
Může vám pomoci určit, které aplikace a kategorie spotřebovávají nejvíce šířky pásma pro lepší viditelnost síťového provozu, a má podporu pro Cisco NBAR2.
SolarWinds NetFlow Traffic Analyzer je k dispozici jako doplněk k Network Performance Monitor (NPM). Ceny začínají na 1 915 dolarech za 100 uzlů. Počet zakoupených uzlů musí odpovídat vaší licenci NPM. Pokud ještě nevlastníte software NPM, bude to stát 2 995 $ za stejnou úroveň 100 uzlů. A pokud si jej chcete před zakoupením vyzkoušet, můžete si stáhnout plně funkční 30denní zkušební verzi jednoho nebo obou produktů,
2. Paessler Router Traffic Grapher (PRTG)
The Paessler Router Traffic Graphernebo PRTG, je řešení typu vše v jednom, jehož primárním účelem je sledování využití šířky pásma. Jako takový integruje monitorování šířky pásma SNMP a sběr a analýzu NetFlow. Ale tím to nekončí a PRTG bude využívat mnoho různých technologií k monitorování systémů, zařízení, provozu a aplikací. Zde je přehled podporovaných monitorovacích protokolů:
Toky (jako NetFlow nebo sFlow)
SNMP s připravenými k použití a vlastními možnostmi
Čítače výkonu WMI a Windows
SSH pro systémy Linux/Unix a MacOS
Čmuchání paketů
Ping, SQL a mnoho dalších
Instalace PRTG je snadný. Ve skutečnosti Paessler tvrdí, že byste mohli být hotovi během několika minut. Po spuštění instalačního programu proces automatického zjišťování objeví zařízení a nastaví základní senzory. Poté můžete ručně přidat senzory, jako jsou kolektory NetFlow. Pokud to potřebujete, je k dispozici podrobné video, které vám ukáže, jak se to dělá.
PRTG běží pouze na Windows, ale jeho uživatelské rozhraní je webové a lze k němu přistupovat z libovolného prohlížeče na jakékoli platformě. Existují také mobilní aplikace pro Android a iOS, které si můžete nainstalovat do svého smartphonu. Když už mluvíme o mobilních aplikacích, tento nástroj má jedinečnou funkci v podobě štítků s QR kódem, které si můžete vytisknout a nalepit na svá zařízení. Pak je jednoduché naskenovat kód z mobilních aplikací a rychle zobrazit data senzoru zařízení.
PRTG je k dispozici ve dvou verzích. K dispozici je bezplatná verze, která je omezena na 100 senzorů. Každý sledovaný prvek se počítá jako jeden senzor. Například pro monitorování každého portu 48portového přepínače budete potřebovat 48 senzorů. Pro sběr a analýzu NetFlow budete potřebovat jeden senzor na každý exportér toku. Pro více než 100 senzorů potřebujete placenou licenci. Jsou k dispozici pro 500, 1000, 2500, 5000 a neomezený počet uzlů za ceny pohybující se od přibližně 1 600 USD do necelých 15 000 USD. Všimněte si, že bezplatná verze umožní neomezený počet senzorů po dobu prvních 30 dnů, což vám umožní důkladně vyzkoušet produkt.
3. Kontrolor
Kontrolor od Plixer je vynikající NetFlow Analyzer. Ve skutečnosti je to mnohem víc než jen to a mnozí jej považují za plnohodnotný systém reakce na incidenty. A díky jeho schopnosti monitorovat různé typy toků, jako je NetFlow, J-flow, NetStream a IPFIX, nejste omezeni na sledování pouze zařízení Cisco.
Kontrolor má hierarchický design a nabízí efektivní a efektivní shromažďování dat, které umožňuje jeden začátek v malém a snadno škálovatelné až do milionů toků za sekundu. I když je síť často nejprve obviňována, kdykoli se něco pokazí, Kontrolor vám pomůže rychle najít skutečnou příčinu většiny problémů se sítí. Produkt může pracovat ve fyzickém i virtuálním prostředí a přichází s pokročilými funkcemi pro vytváření sestav.
Kontrolor je k dispozici ve čtyřech licenčních úrovních od základní bezplatné verze po nejvyšší úroveň SCR, která může škálovat až přes deset milionů toků za sekundu. Bezplatná verze je omezena na deset tisíc toků za sekundu a uchová pouze nezpracovaná data o toku po dobu 5 hodin. Mezi úrovněmi je úroveň MDX, která uchovává data po dobu 25 hodin, a SSRV, která je uchovává navždy. Můžete vyzkoušet kteroukoli úroveň licencí po dobu 30 dnů, poté se vrátí zpět na bezplatnou verzi.
4. ManageEngine NetFlow Analyzer
ManageEngine je další název v oblasti nástrojů pro správu sítě. Stejně jako SolarWinds vyrábí společnost několik vynikajících nástrojů a několik bezplatných nástrojů. The ManageEngine NetFlow Analyzer poskytuje podrobný pohled na využití šířky pásma sítě a také na vzorce provozu. Produkt se může pochlubit webovým uživatelským rozhraním, které nabízí působivý počet různých pohledů na vaši síť.
Tento nástroj vám například umožní zobrazit provoz podle aplikace, konverzace, protokolu a několik dalších možností. Můžete také nastavit upozornění, která vás upozorní na potenciální problémy. Můžete například nastavit práh provozu na konkrétním rozhraní a být upozorněn, kdykoli ho provoz překročí.
Většina ManageEngine NetFlow AnalyzerSíla služby vychází z jejích zpráv a řídicího panelu. Produkt má několik užitečných předpřipravených zpráv, které jsou přizpůsobeny konkrétním účelům, jako je řešení problémů, plánování kapacity nebo fakturace. Pokud byste však raději sestavovali přizpůsobené sestavy, tento nástroj umožňuje správcům vytvářet je podle svých představ.
The ManageEngine NetFlow AnalyzerŘídicí panel ‚s je stejně působivý jako jeho zprávy. Obsahuje několik koláčových grafů znázorňujících například top aplikace, top protokoly nebo top konverzace. Může také zobrazit tepelnou mapu zobrazující stav monitorovaných rozhraní. Řídicí panely lze přizpůsobit tak, aby obsahovaly pouze informace, které potřebujete. Pro správce sítě na cestách je k dispozici aplikace pro chytré telefony, která vám umožní přístup k řídicímu panelu a sestavám.
The ManageEngine NetFlow Analyzer podporuje většinu tokových technologií včetně NetFlow, IPFIX, J-flow, NetStream a několika dalších. Jako bonus má také vynikající integraci se zařízeními Cisco s možností upravovat tvarování provozu a/nebo zásady QoS přímo z nástroje.
The ManageEngine NetFlow Analyzer přichází ve dvou verzích. Bezplatná verze vás omezuje na sledování pouze dvou rozhraní nebo exportérů toku. Pro větší kapacitu jsou licence k dispozici v několika velikostech od 100 do 2 500 rozhraní nebo toků za ceny pohybující se mezi přibližně 600 USD a více než 50 000 USD plus roční poplatky za údržbu. U všech placených plánů je k dispozici bezplatná 30denní zkušební verze.
5. sFlowTrend
Zatímco všechny předchozí produkty jsou vynikající, pouze PRTG zatím podporuje protokol sFlow. Jak jsme vysvětlili, tyto dva protokoly jsou zcela odlišné a je vzácné, aby jeden nástroj podporoval oba. Pokud je tedy vaše síť primárně tvořena zařízeními s podporou sFlow, zde je jeden z nejlepších nástrojů, které jsme mohli najít.
sFlowTrend je nástroj pro monitorování sFlow od společnosti inMon, která stojí za protokolem sFlow. Je to základní a poněkud omezený, ale velmi schopný nástroj. K dispozici je bezplatná verze, která vám umožní shromažďovat data až z pěti zařízení s podporou sFlow a uchová data historie v paměti RAM pouze po dobu jedné hodiny. I když by to mohlo stačit k vyřešení některých problémů se sítí, není to to, co potřebujete pro průběžné sledování. Chcete-li získat úplnější nástroj, musíte upgradovat na profesionální verzi, která odstraní limit počtu zařízení a uloží data historie na disk.
The sFlowTrend Dashboard nabízí rychlý přehled o aktuálním stavu vašich monitorovaných zařízení a sítí. Zobrazí prahy nejvyšší úrovně a rozhraní s potenciálními chybami. Kliknutím na sFLowTrend Karta Síť odhaluje souhrnné statistiky výkonu a podrobný provoz na úrovni sítě nebo zařízení. Výstražné prahy lze použít k přijímání výstrah, když je pozorováno využití šířky pásma vyšší než obvykle nebo dojde k chybě sítě. Software také obsahuje kartu Hlavní příčina, kde můžete podrobněji zjistit příčinu problému, jako je překročení prahové hodnoty.
The sFlowTrend Karta Hosts je místo, kde najdete podrobnější informace o každém zařízení. U serverů s povoleným sFlow může zobrazovat údaje o výkonu na CPU, disku a dalších. Jak jistě víte, sFlow není jen pro monitorování síťového vybavení. Na kartě Služby najdete údaje o výkonu pro aplikace, které exportují data sFlow. A na kartě Události najdete protokol událostí, jako jsou překročení prahových hodnot nebo zjištěné chyby. Nakonec karta Reports nabízí několik předdefinovaných reportů a podporuje také vytváření vlastních reportů.
sFlowTrend je napsán v Javě a je dodáván s uživatelským rozhraním založeným na Javě i webovým rozhraním. Je k dispozici pro Windows, Mac a Linux. Software obsahuje vynikající systém online nápovědy, který vám pomůže s konfigurací a používáním nástroje.
Závěrem
Bez ohledu na to, který nástroj si vyberete, analýza vzorů síťového provozu vám poskytne neocenitelný přehled o tom, co se děje ve vaší síti. Každý z nástrojů, které jsme zkontrolovali, poskytuje vynikající hodnotu a výběr jednoho bude s největší pravděpodobností otázkou osobních preferencí. V jednom z nástrojů může být specifická funkce, která vás obzvláště osloví. Se všemi placenými nástroji, které nabízejí buď bezplatnou zkušební verzi, nebo bezplatnou verzi, není důvod, proč byste si jich před rozhodnutím nemohli několik vyzkoušet.