Анализа образаца саобраћаја је процес који омогућава администраторима и менаџерима мреже да добију одличан приказ не само колико се мрежа користи, већ, што је још важније, КАКО се користи. Једна је ствар знати да одређени сегмент мреже пати од загушења, али је другачија — и много кориснија — научити шта је узрок те загушења. А без тих информација, једина опција за отклањање загушења је да се на њега баци више пропусног опсега. Али пропусни опсег је скуп и сигурно постоје бољи начини за решавање ове врсте проблема. Анализа образаца саобраћаја може садржати одговор и данас прегледамо најбоље алате које можете да користите.
Почећемо наше путовање у анализу образаца саобраћаја са неком корисном теоријом. Прво ћемо детаљније погледати шта је анализа образаца саобраћаја. Ово је важно јер ће помоћи да се дефинише шта чини алат за анализу образаца саобраћаја. Затим ћемо разговарати о НетФлов-у и другим системима и протоколима за извештавање о протоку јер су они у основи већине алата за анализу образаца саобраћаја. Прво ћемо погледати Цисцо-ов НетФлов протокол и његове вишеструке варијанте пре него што погледамо С-Флов, конкурентски протокол који се донекле разликује у начину на који функционише. Наоружани свим овим информацијама, бићемо спремни да прегледамо најбоље алате за анализу образаца саобраћаја које можемо да пронађемо.
Преглед садржаја
Анализа саобраћајних образаца укратко
У свом најједноставнијем изразу, анализа шаблона мрежног саобраћаја је процес снимања, прегледа и/или анализе мрежног саобраћаја у сврху перформанси, безбедности и/или општих мрежних операција и управљања. Тачније, то је процес коришћења ручних и аутоматизованих техника за преглед детаљних детаља и статистике у оквиру мрежног саобраћаја.
Постоје првенствено две врсте надгледања мрежног саобраћаја. Први је праћење коришћења пропусног опсега који може да пружи квантитативне податке. Ова врста надгледања ће вам омогућити да видите колико саобраћаја пролази на одређеној тачки на мрежи, али неће пружити никакве податке о природи овог саобраћаја. Други тип праћења, онај о коме данас разговарамо и који се назива анализа образаца мрежног саобраћаја или само анализа мрежног саобраћаја, иде дубље и његов примарни циљ је да понуди дубински увид у то који тип саобраћаја, мрежа пакети или подаци теку кроз мрежу.
Иако се анализа образаца мрежног саобраћаја може урадити ручно, најчешће се ради помоћу алата за праћење мреже. Да бисте то урадили ручно, једноставно би било потребно превише напора. Статистика саобраћаја добијена анализом мрежног саобраћаја може помоћи у разумевању и процени коришћења мреже. Откриће важне податке о врсти, величини, пореклу и одредишту пакета података. Може чак укључити неке информације о садржају пакета података.
Тимови за мрежну безбедност могу да користе анализу образаца мрежног саобраћаја да идентификују злонамерне или сумњиве пакете унутар саобраћаја. Исто тако, мрежне администрације које желе да прате брзину преузимања и отпремања, проток, садржај, итд. Користиће га да боље разумеју употребу мреже.
Са друге стране, анализу образаца мрежног саобраћаја такође могу да користе нападачи и/или уљези за анализу образаца мрежног саобраћаја и идентификацију рањивости или средстава за провалу или преузимање осетљивих података. Ово је мач са две оштрице.
НетФлов и други системи за извештавање о протоку
НетФлов је функција која је представљена на Цисцо рутерима још 1996. године – узмите или дајте годину или две – која нуди могућност прикупљања ИП мрежног саобраћаја док улази или излази из интерфејса. Ово се разликује од надгледања пропусног опсега где се подаци броје, али се не прикупљају. Анализом прикупљених података могу се утврдити ствари као што су извор и одредиште саобраћаја, класа и врста услуге и, на крају, користити ове информације за идентификацију узрока загушења.
Типично подешавање НетФлов мониторинга састоји се од три главне компоненте:
Тхе фниски извозник агрегира пакете у токове и извози записе тока ка једном или више сакупљача тока. Ово је компонента која се налази унутар мрежног уређаја.
Тхе фниски колектор је одговоран за пријем, складиштење и претходну обраду података о протоку примљених од извозника тока.
Тхе анализатор протока анализира примљене податке о току у контексту детекције упада или профилисања саобраћаја, на пример.
Ток, у НетФлов-овом језику, је једносмерни низ пакета који деле одређени број атрибута као што су њихов улазни интерфејс, изворна и одредишна ИП адреса, ИП протокол (ТЦП/УДП/ИЦМП, итд.), изворни и одредишни ИП портови , и ИП тип услуге. Детаљне податке о сваком појединачном току прикупља извозник тока пре него што се извозе у колектор протока. У већини случајева данас, колектор протока и анализатор су две компоненте истог система и ретко их видимо одвојене.
Некада Цисцо ексклузиван, НетФлов је сада доступан на опреми многих произвођача, укључујући Јунипер, Алцател-Луцент и Нортел, да споменемо само неке. Неки продавци га називају другим именом, као што је Ј-флов за Јунипер. Постоји чак и релативно новија ИЕТФ стандардизована верзија под називом ИПФИКС која је скраћеница за Интернет Протоцол Флов Информатион еКспорт.
сФлов је донекле еквивалентна, али веома различита технологија. сФлов користи сличне методе за прикупљање информација о току, али додаје узорковање података — отуда и С — за још детаљније информације. Веома мали број НетФлов анализатора и колектора може да рукује подацима сФлов-а јер су та два превише различита.
Најбољи алати за анализу саобраћајних образаца
Постоји доста алата који нуде анализу образаца мрежног саобраћаја. Већина њих ће прикупљати НетФлов податке и приказати их на неки смислени графички начин, док неки користе различите технике за постизање сличних циљева.
1. СоларВиндс НетФлов анализатор саобраћаја (бесплатна пробна верзија)
Први на нашој листи је СоларВиндс НетФлов Траффиц Анализер или НТА. Ако не познајете СоларВиндс, компанија је себи стекла солидну репутацију за израду неких од најбољих алата за управљање мрежом. Његов водећи производ, Нетворк Перформанце Монитор је један од најбољих доступних алата за праћење пропусног опсега. СоларВиндс је такође познат по свом одличном бесплатном алату који се бави специфичним потребама мрежне администрације, као што је један од најбољих калкулатора подмреже или ТФТП сервер.
Као што његово име имплицира, СоларВиндс НетФлов Траффиц Анализер користи НетФлов протокол за пружање детаљних информација о томе шта је посматрани саобраћај. Може, на пример, да извештава о томе који је тип саобраћаја чешћи или који корисник користи највише пропусног опсега. Неколико различитих приказа доступно је на контролној табли алата, као што су, на пример, врхунске апликације, врхунски протоколи или врхунски говорници. Алат ће подржати већину НетФлов варијанти различитих произвођача
БЕСПЛАТНА РЕКЛАМА: СОЛАРВИНДС АНАЛИЗАТОР НЕТФЛОВ ТРАФФИЦ
Ево неких од најбољих карактеристика производа.
Може се користити за праћење коришћења мреже према апликацији, протоколу и групи ИП адреса.
Он ће пратити податке протока Цисцо НетФлов, Јунипер Ј-Флов, сФлов, Хуавеи НетСтреам и ИПФИКС како би идентификовао које апликације и протоколи су највећи потрошачи пропусног опсега.
Он ће прикупљати податке о саобраћају, повезивати их у употребљив формат и представити их на свом корисничком интерфејсу заснованом на вебу
Може вам помоћи да идентификујете које апликације и категорије троше највише пропусног опсега за бољу видљивост мрежног саобраћаја и има подршку за Цисцо НБАР2.
СоларВиндс НетФлов Траффиц Анализер је доступан као додатак монитору мрежних перформанси (НПМ). Цене почињу од 1.915 долара за 100 чворова. Број чворова које купите мора да одговара вашој НПМ лиценци. Ако већ немате НПМ софтвер, то ће коштати 2.995 долара за исти ниво од 100 чворова. А ако желите да га испробате пре него што га купите, можете преузети потпуно функционалну 30-дневну верзију за процену једног или оба производа,
2. Паесслер Роутер Траффиц Грапхер (ПРТГ)
Тхе Паесслер Роутер Траффиц Грапхерили ПРТГ, је све-у-једном решење чија је примарна сврха праћење искоришћења пропусног опсега. Као такав, интегрише праћење СНМП пропусног опсега и НетФлов прикупљање и анализу. Али ту се не зауставља и ПРТГ користиће много различитих технологија за праћење система, уређаја, саобраћаја и апликација. Ево резимеа подржаних протокола за праћење:
Токови (као НетФлов или сФлов)
СНМП са спремним за употребу и прилагођеним опцијама
ВМИ и Виндовс бројачи перформанси
ССХ за Линук/Уник и МацОС системе
Пацкет Сниффинг
Пинг, СКЛ и још много тога
Инсталирање ПРТГ је лако. У ствари, Паесслер тврди да бисте могли бити готови за неколико минута. Након покретања инсталационог програма, процес аутоматског откривања ће открити уређаје и поставити основне сензоре. Затим можете ручно додати сензоре – као што су НетФлов колектори. Ако вам затреба, постоји детаљан видео који ће вам показати како се то ради.
ПРТГ ради само на Виндовс-у, али његов кориснички интерфејс је заснован на вебу и може му се приступити из било ког претраживача на било којој платформи. Постоје и мобилне апликације за Андроид и иОС које можете инсталирати на свој паметни телефон. Говорећи о мобилним апликацијама, овај алат има јединствену функцију у облику налепница са КР кодом које можете одштампати и залепити на своје уређаје. Затим је једноставно скенирати код из мобилних апликација да бисте брзо видели податке сензора уређаја.
ПРТГ доступан је у две верзије. Постоји бесплатна верзија која је ограничена на 100 сензора. Сваки надгледани елемент се рачуна као један сензор. На пример, да бисте надгледали сваки порт прекидача са 48 портова, биће вам потребно 48 сензора. За НетФлов прикупљање и анализу, биће вам потребан један сензор по извознику тока. За више од 100 сензора потребна вам је плаћена лиценца. Доступни су за 500, 1000, 2500, 5000 и неограничене чворове по ценама које варирају од око 1 600 долара до нешто мање од 15 000 долара. Имајте на уму да ће бесплатна верзија омогућити неограничен број сензора током првих 30 дана, што вам омогућава темељну пробну вожњу производ.
3. Сцрутинизер
Сцрутинизер из Пликер-а је одличан НетФлов анализатор. То је заправо много више од тога и многи га сматрају пуноправним системом за реаговање на инциденте. А са својом способношћу да надгледа различите типове тока као што су НетФлов, Ј-флов, НетСтреам и ИПФИКС, нисте ограничени на праћење само Цисцо уређаја.
Сцрутинизер одликује се хијерархијским дизајном и нуди поједностављено и ефикасно прикупљање података које омогућава да започнете са малим и лако проширите пут до милиона токова у секунди. Иако је мрежа често прва окривљена кад год нешто крене наопако, Сцрутинизер помоћи ће вам да брзо пронађете прави узрок већине проблема са мрежом. Производ може да ради у физичком и виртуелном окружењу и долази са напредним функцијама извештавања.
Сцрутинизер је доступан у четири лиценцна нивоа од основне бесплатне верзије до највишег СЦР нивоа који може повећати до преко десет милиона токова у секунди. Бесплатна верзија је ограничена на десет хиљада протока у секунди и чуваће необрађене податке о протоку само 5 сати. Између нивоа су МДКС ниво који чува податке 25 сати и ССРВ који их чува заувек. Можете испробати било који ниво лиценце 30 дана након чега ће се вратити на бесплатну верзију.
4. МанагеЕнгине НетФлов Анализер
МанагеЕнгине је још једно име у домаћинству у арени алата за мрежну администрацију. Слично као и СоларВиндс, компанија прави прегршт одличних алата, као и неколико бесплатних. Тхе МанагеЕнгине НетФлов Анализер пружа детаљан приказ искоришћености пропусног опсега мреже као и образаца саобраћаја. Производ се може похвалити корисничким интерфејсом заснованим на вебу који нуди импресиван број различитих приказа на вашој мрежи.
Овај алат ће вам омогућити, на пример, да видите саобраћај по апликацији, по разговору, по протоколу и још неколико опција. Такође можете да подесите упозорења да вас упозоравају на потенцијалне проблеме. Можете, на пример, да поставите праг саобраћаја на одређеном интерфејсу и да будете упозорени сваки пут када га саобраћај премаши.
Већина МанагеЕнгине НетФлов АнализерСнага компаније долази из извештаја и контролне табле. Производ има неколико корисних унапред направљених извештаја који су скројени за специфичне сврхе као што су решавање проблема, планирање капацитета или наплата. Али ако бисте радије направили прилагођене извештаје, алатка омогућава администраторима да их креирају по свом укусу.
Тхе МанагеЕнгине НетФлов АнализерКонтролна табла компаније је једнако импресивна као и њени извештаји. Укључује неколико тортних графикона који приказују врхунске апликације, врхунске протоколе или врхунске разговоре, на пример. Такође може да прикаже топлотну мапу која приказује статус надгледаних интерфејса. Контролне табле се могу прилагодити тако да садрже само информације које су вам потребне. За администраторе мреже у покрету постоји апликација за паметне телефоне која ће вам омогућити приступ контролној табли и извештајима.
Тхе МанагеЕнгине НетФлов Анализер подржава већину технологија протока укључујући НетФлов, ИПФИКС, Ј-флов, НетСтреам и неколико других. Као бонус, такође има одличну интеграцију са Цисцо уређајима, са могућношћу прилагођавања обликовања саобраћаја и/или КоС политика директно из алатке.
Тхе МанагеЕнгине НетФлов Анализер долази у две верзије. Бесплатна верзија ограничава вас на надгледање само два интерфејса или извозника тока. За већи капацитет, лиценце су доступне у неколико величина од 100 до 2500 интерфејса или токова по ценама које варирају између око 600 долара до преко 50 хиљада долара плус годишње накнаде за одржавање. Бесплатна пробна верзија од 30 дана доступна је за све плаћене планове.
5. сФловТренд
Док су сви претходни производи одлични, само ПРТГ за сада подржава сФлов протокол. Као што смо објаснили, два протокола су прилично различита и ретко је да један алат подржава оба. Дакле, ако је ваша мрежа првенствено направљена од уређаја који подржавају сФлов, ево једног од најбољих алата које можемо пронаћи.
сФловТренд је алат за праћење сФлов-а из инМон-а, компаније која стоји иза сФлов протокола. То је основно и донекле ограничено, али веома способно средство. Постоји бесплатна верзија која ће вам омогућити да прикупите податке са до пет уређаја са омогућеним сФлов-ом и која ће чувати податке историје у РАМ-у до сат времена. Иако би ово могло бити довољно за решавање неких проблема са умрежавањем, то није оно што вам треба за стално праћење. За потпунију алатку, потребно је да надоградите на про верзију која уклања ограничење броја уређаја и чува податке историје на диску.
Тхе сФловТренд Контролна табла нуди брзи преглед тренутног стања уређаја и мрежа које надгледате. Приказаће прагове највишег нивоа и интерфејсе са потенцијалним грешкама. Кликом на сФЛовТренд Картица Мрежа открива збирну статистику учинка и детаљан саобраћај на нивоу мреже или уређаја. Прагови упозорења се могу користити за примање упозорења када се примећује коришћење пропусног опсега веће од уобичајеног или се деси грешка на мрежи. Софтвер такође садржи картицу Основни узрок на којој можете детаљније анализирати узрок проблема као што је кршење прага.
Тхе сФловТренд Картица Хостс је место где ћете пронаћи детаљније информације о сваком уређају. Може да прикаже податке о перформансама на ЦПУ-у, диску и још много тога, за сервере који подржавају сФлов. Као што сте схватили, сФлов није само за праћење мрежне опреме. Картица Услуге је место где ћете пронаћи податке о перформансама за апликације које извозе податке о протоку. А на картици Догађаји ћете пронаћи евиденцију догађаја као што су прекорачени прагови или откривене грешке. Коначно, картица Извештаји нуди неколико унапред дефинисаних извештаја и такође подржава креирање прилагођених извештаја.
сФловТренд је написан на Јави и долази са корисничким интерфејсом базираним на Јави или веб. Доступан је за Виндовс, Мац и Линук. Софтвер има одличан систем помоћи на мрежи који ће вам помоћи да конфигуришете и користите алатку.
У закључку
Без обзира који алат одаберете, анализа образаца мрежног саобраћаја ће вам дати непроцењив увид у оно што се дешава на вашој мрежи. Сваки од алата које смо прегледали пружа одличну вредност и одабир једног ће највероватније бити ствар личних преференција. Можда постоји одређена карактеристика у једном од алата која вам се посебно допада. Са свим плаћеним алатима који нуде или бесплатну пробну верзију или бесплатну верзију, нема разлога зашто не бисте могли да испробате неколико пре него што донесете одлуку.