Analiza tokova saobraćaja je proces koji omogućava mrežnim administratorima i menadžerima da steknu detaljan uvid ne samo u to koliko se mreža koristi, već, što je još bitnije, KAKO se koristi. Jedna stvar je znati da određeni segment mreže ima problema sa zagušenjem, ali sasvim je druga stvar – i mnogo korisnija – otkriti šta je uzrok tog zagušenja. Bez tih informacija, jedina opcija za rešavanje zagušenja je povećanje propusnog opsega. Međutim, propusni opseg je skup resurs i sigurno postoje efikasniji načini za rešavanje ove vrste problema. Analiza tokova saobraćaja može ponuditi odgovor, a danas ćemo pregledati najbolje alate koje možete koristiti.
Naše putovanje u analizu tokova saobraćaja započećemo korisnom teorijom. Prvo ćemo detaljnije razmotriti šta je zapravo analiza tokova saobraćaja. Ovo je važno jer će nam pomoći da definišemo šta karakteriše dobar alat za analizu tokova saobraćaja. Zatim ćemo diskutovati o NetFlow-u i drugim sistemima i protokolima za izveštavanje o protoku, jer oni čine osnovu većine alata za analizu tokova saobraćaja. Prvo ćemo pogledati Cisco-ov NetFlow protokol i njegove različite varijante, pre nego što se posvetimo S-Flow-u, konkurentskom protokolu koji se donekle razlikuje po načinu funkcionisanja. Sa svim ovim informacijama, bićemo spremni da pregledamo neke od najboljih alata za analizu tokova saobraćaja koji su dostupni.
Ukratko o Analizi Saobraćajnih Obrazaca
U najosnovnijem smislu, analiza obrazaca mrežnog saobraćaja je postupak prikupljanja, pregledanja i/ili analiziranja mrežnog saobraćaja u cilju poboljšanja performansi, bezbednosti i/ili opštih mrežnih operacija i upravljanja. Konkretnije, to je postupak korišćenja ručnih i automatizovanih tehnika za ispitivanje detaljnih informacija i statistika unutar mrežnog saobraćaja.
Postoje uglavnom dve vrste praćenja mrežnog saobraćaja. Prva je praćenje iskorišćenja propusnog opsega, koje pruža kvantitativne podatke. Ova vrsta praćenja vam omogućava da vidite koliko saobraćaja prolazi kroz određenu tačku u mreži, ali ne nudi nikakve informacije o prirodi tog saobraćaja. Druga vrsta praćenja, o kojoj danas govorimo, naziva se analiza tokova mrežnog saobraćaja ili jednostavno analiza mrežnog saobraćaja. Ona ide dublje i njen primarni cilj je da pruži detaljan uvid u to koja vrsta saobraćaja, mrežni paketi ili podaci, prolaze kroz mrežu.
Iako se analiza tokova mrežnog saobraćaja može obaviti ručno, najčešće se izvodi pomoću alata za praćenje mreže. Ručno obavljanje takve analize zahtevalo bi previše napora. Statistika saobraćaja dobijena analizom mrežnog saobraćaja može pomoći u razumevanju i proceni korišćenja mreže. Otkriće važne podatke o vrsti, veličini, poreklu i odredištu paketa podataka. Može čak uključiti i neke informacije o sadržaju paketa podataka.
Timovi za mrežnu bezbednost mogu koristiti analizu tokova mrežnog saobraćaja za identifikaciju zlonamernih ili sumnjivih paketa u okviru saobraćaja. Slično tome, mrežni administratori koji žele da prate brzinu preuzimanja i otpremanja, protok, sadržaj itd., koriste ga kako bi bolje razumeli upotrebu mreže.
S druge strane, analiza tokova mrežnog saobraćaja takođe se može koristiti od strane napadača i/ili uljeza za analizu obrazaca mrežnog saobraćaja i identifikaciju ranjivosti ili načina za upad ili preuzimanje osetljivih podataka. Ovo je mač sa dve oštrice.
NetFlow i Ostali Sistemi za Izveštavanje o Protoku
NetFlow je funkcija koja je uvedena na Cisco ruterima još 1996. godine – otprilike – i pruža mogućnost prikupljanja IP mrežnog saobraćaja dok ulazi ili izlazi iz interfejsa. Ovo se razlikuje od praćenja propusnog opsega, gde se podaci broje, ali se ne prikupljaju. Analizom prikupljenih podataka, mogu se utvrditi stvari kao što su izvor i odredište saobraćaja, klasa i tip usluge, i, na kraju, iskoristiti ove informacije za identifikaciju uzroka zagušenja.
Tipično NetFlow podešavanje za praćenje se sastoji od tri glavne komponente:
Izvoznik toka (flow exporter) agregira pakete u tokove i izvozi zapise toka ka jednom ili više sakupljača tokova. Ovo je komponenta koja se nalazi unutar mrežnog uređaja.
Sakupljač toka (flow collector) je odgovoran za prijem, skladištenje i prethodnu obradu podataka o toku primljenih od izvoznika toka.
Analizator toka (flow analyzer) analizira primljene podatke o toku, na primer, u kontekstu detekcije upada ili profilisanja saobraćaja.
Tok, u NetFlow terminologiji, je jednosmerni niz paketa koji dele određeni broj atributa kao što su njihov ulazni interfejs, izvorna i odredišna IP adresa, IP protokol (TCP/UDP/ICMP, itd.), izvorni i odredišni IP portovi i IP tip usluge. Detaljne podatke o svakom pojedinačnom toku prikuplja izvoznik toka pre nego što se izvezu u sakupljač protoka. U većini slučajeva danas, sakupljač toka i analizator su dve komponente istog sistema i retko ih vidimo odvojene.
Nekada isključivo Cisco-ov, NetFlow je sada dostupan na opremi mnogih proizvođača, uključujući Juniper, Alcatel-Lucent i Nortel, da spomenemo samo neke. Neki prodavci ga nazivaju drugim imenom, kao što je J-flow kod Juniper-a. Postoji čak i relativno novija IETF standardizovana verzija pod nazivom IPFIX, skraćenica od Internet Protocol Flow Information eXport.
sFlow je donekle ekvivalentna, ali veoma različita tehnologija. sFlow koristi slične metode za prikupljanje informacija o toku, ali dodaje uzorkovanje podataka – otuda i S – za još detaljnije informacije. Vrlo mali broj NetFlow analizatora i sakupljača može da obrađuje sFlow podatke jer su ta dva protokola previše različita.
Najbolji Alati za Analizu Saobraćajnih Obrazaca
Postoji mnogo alata koji nude analizu tokova mrežnog saobraćaja. Većina njih će prikupljati NetFlow podatke i prikazivati ih na smislen grafički način, dok neki koriste različite tehnike za postizanje sličnih ciljeva.
1. SolarWinds NetFlow Analizator Saobraćaja (besplatna probna verzija)
Prvi na našoj listi je SolarWinds NetFlow Traffic Analyzer ili NTA. Ako niste upoznati sa SolarWinds-om, kompanija je stekla solidnu reputaciju za proizvodnju nekih od najboljih alata za upravljanje mrežom. Njegov vodeći proizvod, Network Performance Monitor, je jedan od najboljih dostupnih alata za praćenje propusnog opsega. SolarWinds je takođe poznat po svojim odličnim besplatnim alatima koji se bave specifičnim potrebama mrežne administracije, kao što je jedan od najboljih kalkulatora podmreže ili TFTP server.
Kao što njegovo ime sugeriše, SolarWinds NetFlow Traffic Analyzer koristi NetFlow protokol za pružanje detaljnih informacija o tome šta se dešava sa posmatranim saobraćajem. Može, na primer, da izveštava o tome koji je tip saobraćaja češći ili koji korisnik koristi najviše propusnog opsega. Nekoliko različitih prikaza dostupno je na kontrolnoj tabli alata, kao što su, na primer, najpopularnije aplikacije, najpopularniji protokoli ili najaktivniji korisnici. Alat će podržati većinu NetFlow varijanti različitih proizvođača.
BESPLATNA PROBA: SOLARWINDS NETFLOW ANALIZATOR SAOBRAĆAJA
Evo nekih od najboljih karakteristika proizvoda.
Može se koristiti za praćenje korišćenja mreže prema aplikaciji, protokolu i grupi IP adresa.
Pratiće podatke protoka Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream i IPFIX kako bi identifikovao koje aplikacije i protokoli su najveći potrošači propusnog opsega.
Prikupljaće podatke o saobraćaju, povezivati ih u upotrebljiv format i prikazivati ih na svom korisničkom interfejsu zasnovanom na vebu.
Može vam pomoći da identifikujete koje aplikacije i kategorije troše najviše propusnog opsega za bolju vidljivost mrežnog saobraćaja i ima podršku za Cisco NBAR2.
SolarWinds NetFlow Traffic Analyzer je dostupan kao dodatak Network Performance Monitoru (NPM). Cene počinju od 1.915 dolara za 100 čvorova. Broj čvorova koje kupite mora da odgovara vašoj NPM licenci. Ako već nemate NPM softver, to će koštati 2.995 dolara za isti nivo od 100 čvorova. Ako želite da ga isprobate pre kupovine, možete preuzeti potpuno funkcionalnu 30-dnevnu verziju za procenu jednog ili oba proizvoda.
2. Paessler Router Traffic Grapher (PRTG)
Paessler Router Traffic Grapher, ili PRTG, je sveobuhvatno rešenje čija je primarna svrha praćenje iskorišćenja propusnog opsega. Kao takav, integriše praćenje SNMP propusnog opsega i NetFlow prikupljanje i analizu. Ali tu se ne zaustavlja i PRTG će koristiti mnogo različitih tehnologija za praćenje sistema, uređaja, saobraćaja i aplikacija. Evo rezimea podržanih protokola za praćenje:
Tokovi (kao što su NetFlow ili sFlow)
SNMP sa unapred definisanim i prilagođenim opcijama
WMI i Windows brojači performansi
SSH za Linux/Unix i MacOS sisteme
Packet Sniffing
Ping, SQL i još mnogo toga
Instaliranje PRTG-a je jednostavno. U stvari, Paessler tvrdi da biste mogli biti gotovi za nekoliko minuta. Nakon pokretanja instalacionog programa, proces automatskog otkrivanja će identifikovati uređaje i postaviti osnovne senzore. Zatim možete ručno dodati senzore – kao što su NetFlow sakupljači. Ako vam zatreba, postoji detaljan video koji će vam pokazati kako se to radi.
PRTG radi samo na Windows-u, ali njegov korisnički interfejs je zasnovan na vebu i može mu se pristupiti iz bilo kog pretraživača na bilo kojoj platformi. Postoje i mobilne aplikacije za Android i iOS koje možete instalirati na svoj pametni telefon. Kada smo već kod mobilnih aplikacija, ovaj alat ima jedinstvenu funkciju u obliku nalepnica sa QR kodom koje možete odštampati i zalepiti na svoje uređaje. Zatim je jednostavno skenirati kod iz mobilnih aplikacija da biste brzo videli podatke senzora uređaja.
PRTG je dostupan u dve verzije. Postoji besplatna verzija koja je ograničena na 100 senzora. Svaki nadgledani element se računa kao jedan senzor. Na primer, da biste nadgledali svaki port prekidača sa 48 portova, biće vam potrebno 48 senzora. Za NetFlow prikupljanje i analizu, biće vam potreban jedan senzor po izvozniku toka. Za više od 100 senzora potrebna vam je plaćena licenca. Dostupne su licence za 500, 1000, 2500, 5000 i neograničen broj čvorova po cenama koje se kreću od oko 1.600 dolara do nešto manje od 15.000 dolara. Imajte na umu da će besplatna verzija omogućiti neograničen broj senzora tokom prvih 30 dana, što vam omogućava detaljnu probnu vožnju proizvoda.
3. Scrutinizer
Scrutinizer iz Plixer-a je odličan NetFlow analizator. To je zapravo mnogo više od toga i mnogi ga smatraju punopravnim sistemom za reagovanje na incidente. Sa svojom sposobnošću da nadgleda različite tipove protoka kao što su NetFlow, J-flow, NetStream i IPFIX, niste ograničeni na praćenje samo Cisco uređaja.
Scrutinizer se odlikuje hijerarhijskim dizajnom i nudi pojednostavljeno i efikasno prikupljanje podataka, koje omogućava da započnete sa malim i lako proširite na milione tokova u sekundi. Iako je mreža često prva na udaru krivice kada nešto krene naopako, Scrutinizer će vam pomoći da brzo pronađete pravi uzrok većine problema sa mrežom. Proizvod može da radi u fizičkom i virtuelnom okruženju i dolazi sa naprednim funkcijama izveštavanja.
Scrutinizer je dostupan u četiri nivoa licenciranja, od osnovne besplatne verzije do najvišeg SCR nivoa koji može da podrži preko deset miliona tokova u sekundi. Besplatna verzija je ograničena na deset hiljada protoka u sekundi i čuvaće neobrađene podatke o toku samo 5 sati. Između nivoa su MDX nivo koji čuva podatke 25 sati i SSRV koji ih čuva zauvek. Možete isprobati bilo koji nivo licence 30 dana, nakon čega će se vratiti na besplatnu verziju.
4. ManageEngine NetFlow Analyzer
ManageEngine je još jedno poznato ime u oblasti alata za mrežnu administraciju. Slično kao i SolarWinds, kompanija proizvodi niz odličnih alata, kao i nekoliko besplatnih. ManageEngine NetFlow Analyzer pruža detaljan prikaz iskorišćenosti propusnog opsega mreže, kao i obrazaca saobraćaja. Proizvod se može pohvaliti korisničkim interfejsom zasnovanim na vebu koji nudi impresivan broj različitih prikaza vaše mreže.
Ovaj alat će vam omogućiti, na primer, da vidite saobraćaj po aplikaciji, po razgovoru, po protokolu i još nekoliko opcija. Takođe možete da podesite upozorenja koja vas obaveštavaju o potencijalnim problemima. Možete, na primer, da postavite prag saobraćaja na određenom interfejsu i da budete upozoreni svaki put kada ga saobraćaj pređe.
Većina snage ManageEngine NetFlow Analyzer-a dolazi iz izveštaja i kontrolne table. Proizvod ima nekoliko korisnih unapred kreiranih izveštaja koji su prilagođeni specifičnim svrhama, kao što su rešavanje problema, planiranje kapaciteta ili obračun. Ali, ako želite da kreirate prilagođene izveštaje, alatka omogućava administratorima da ih kreiraju po svojoj želji.
ManageEngine NetFlow Analyzer kontrolna tabla je podjednako impresivna kao i njegovi izveštaji. Uključuje nekoliko tortnih grafikona koji prikazuju najpopularnije aplikacije, najpopularnije protokole ili najaktivnije razgovore, na primer. Takođe može da prikaže toplotnu mapu koja prikazuje status nadgledanih interfejsa. Kontrolne table se mogu prilagoditi tako da sadrže samo informacije koje su vam potrebne. Za mrežne administratore u pokretu, postoji aplikacija za pametne telefone koja će vam omogućiti pristup kontrolnoj tabli i izveštajima.
ManageEngine NetFlow Analyzer podržava većinu tehnologija protoka, uključujući NetFlow, IPFIX, J-flow, NetStream i nekoliko drugih. Kao bonus, takođe ima odličnu integraciju sa Cisco uređajima, sa mogućnošću prilagođavanja oblikovanja saobraćaja i/ili QoS politika direktno iz alatke.
ManageEngine NetFlow Analyzer dolazi u dve verzije. Besplatna verzija vas ograničava na nadgledanje samo dva interfejsa ili izvoznika toka. Za veći kapacitet, licence su dostupne u nekoliko veličina, od 100 do 2500 interfejsa ili tokova, po cenama koje se kreću od oko 600 dolara do preko 50 hiljada dolara, plus godišnje naknade za održavanje. Besplatna probna verzija od 30 dana dostupna je za sve plaćene planove.
5. sFlowTrend
Dok su svi prethodni proizvodi odlični, samo PRTG za sada podržava sFlow protokol. Kao što smo objasnili, dva protokola su prilično različita i retko je da jedan alat podržava oba. Dakle, ako je vaša mreža prvenstveno napravljena od uređaja koji podržavaju sFlow, evo jednog od najboljih alata koje možemo pronaći.
sFlowTrend je alat za praćenje sFlow-a iz inMon-a, kompanije koja stoji iza sFlow protokola. To je osnovno i donekle ograničeno, ali vrlo sposobno sredstvo. Postoji besplatna verzija koja vam omogućava da prikupite podatke sa do pet uređaja sa omogućenim sFlow-om i koja čuva podatke istorije u RAM-u do sat vremena. Iako bi ovo moglo biti dovoljno za rešavanje nekih problema sa umrežavanjem, to nije ono što vam je potrebno za stalno praćenje. Za potpuniju alatku, potrebno je da nadogradite na pro verziju koja uklanja ograničenje broja uređaja i čuva podatke istorije na disku.
sFlowTrend kontrolna tabla nudi brzi pregled trenutnog stanja uređaja i mreža koje nadgledate. Prikazaće pragove najvišeg nivoa i interfejse sa potencijalnim greškama. Klikom na sFlowTrend karticu Mreža otkriva se zbirna statistika učinka i detaljan saobraćaj na nivou mreže ili uređaja. Pragovi upozorenja se mogu koristiti za prijem upozorenja kada se primeti veće korišćenje propusnog opsega od uobičajenog ili se desi greška na mreži. Softver takođe sadrži karticu Osnovni uzrok, na kojoj možete detaljnije analizirati uzrok problema, kao što je kršenje praga.
sFlowTrend kartica Hostovi je mesto gde ćete pronaći detaljnije informacije o svakom uređaju. Može da prikaže podatke o performansama na CPU-u, disku i još mnogo toga, za servere koji podržavaju sFlow. Kao što ste shvatili, sFlow nije samo za praćenje mrežne opreme. Kartica Usluge je mesto gde ćete pronaći podatke o performansama za aplikacije koje izvoze podatke o toku. Na kartici Događaji ćete pronaći evidenciju događaja, kao što su prekoračeni pragovi ili otkrivene greške. Konačno, kartica Izveštaji nudi nekoliko unapred definisanih izveštaja, a takođe podržava kreiranje prilagođenih izveštaja.
sFlowTrend je napisan u Javi i dolazi sa korisničkim interfejsom zasnovanim na Javi ili vebu. Dostupan je za Windows, Mac i Linux. Softver ima odličan sistem pomoći na mreži koji će vam pomoći da konfigurišete i koristite alatku.
U Zaključku
Bez obzira koji alat odaberete, analiza tokova mrežnog saobraćaja će vam pružiti neprocenjiv uvid u ono što se dešava na vašoj mreži. Svaki od alata koje smo pregledali pruža odličnu vrednost i izbor jednog će najverovatnije biti stvar ličnih preferencija. Možda postoji određena karakteristika u nekom od alata koja vam se posebno dopada. S obzirom na to da svi plaćeni alati nude ili besplatnu probnu verziju ili besplatnu verziju, nema razloga zašto ne biste mogli da isprobate nekoliko pre donošenja odluke.