Аналіз структури трафіку – це процес, завдяки якому адміністратори та менеджери мереж отримують глибоке розуміння не лише рівня використання мережі, але, що важливіше, *способу* її використання. Знати, що певний сегмент мережі перевантажений – це одне, але набагато корисніше – встановити *причину* цього перевантаження. Без цієї інформації, єдиним способом вирішення проблеми перевантаження є збільшення пропускної здатності. Однак, це коштовний варіант, і зазвичай існують ефективніші підходи. Аналіз структури трафіку може допомогти знайти відповідь, і сьогодні ми розглянемо найкращі інструменти для цього.
Наша подорож у світ аналізу структури трафіку почнеться з корисних теоретичних основ. Спочатку ми детально розглянемо суть аналізу структури трафіку. Це важливо для розуміння того, які інструменти підходять для цього завдання. Потім ми обговоримо NetFlow та інші системи й протоколи звітності потоків, оскільки вони лежать в основі більшості інструментів для аналізу структури трафіку. Ми розглянемо протокол NetFlow від Cisco та його різноманітні варіанти, а також S-Flow, конкуруючий протокол, що працює за дещо іншим принципом. З цією базою знань ми будемо готові розглянути найпопулярніші інструменти для аналізу трафіку.
Суть аналізу структури трафіку
У найпростішому визначенні, аналіз структури мережевого трафіку – це процес фіксації, перегляду та/або аналізу мережевого трафіку з метою покращення продуктивності, безпеки, загальних мережевих операцій та управління. Конкретніше, це використання ручних та автоматизованих методів для аналізу детальних даних та статистики мережевого трафіку.
Існує два основних типи моніторингу мережевого трафіку. Перший – це моніторинг використання пропускної здатності, який надає кількісні дані. Цей тип моніторингу показує, скільки трафіку проходить через певну точку мережі, але не дає інформації про характер цього трафіку. Другий тип моніторингу, який ми обговорюємо сьогодні – аналіз структури мережевого трафіку або просто аналіз мережевого трафіку – заглиблюється в деталі і має на меті надати розуміння типу трафіку, мережевих пакетів або даних, що протікають через мережу.
Хоча аналіз структури мережевого трафіку можна виконати вручну, найчастіше для цього використовуються інструменти моніторингу мережі, оскільки ручний підхід є занадто ресурсозатратним. Статистичні дані, отримані в результаті аналізу мережевого трафіку, допомагають зрозуміти та оцінити використання мережі. Вони надають важливу інформацію про тип, розмір, джерело та призначення пакетів даних, а іноді навіть про вміст цих пакетів.
Команди з безпеки мережі можуть використовувати аналіз структури мережевого трафіку для виявлення шкідливих або підозрілих пакетів у трафіку. Адміністратори мережі, в свою чергу, використовують його для контролю швидкості завантаження, пропускної здатності, вмісту тощо, для кращого розуміння використання мережі.
З іншого боку, зловмисники можуть використовувати аналіз структури мережевого трафіку для виявлення вразливостей або способів проникнення та отримання конфіденційних даних. Це палиця з двома кінцями.
NetFlow та інші системи звітування про потоки
NetFlow – це функція, вперше представлена на маршрутизаторах Cisco в 1996 році, яка дозволяє збирати дані про мережевий IP-трафік при вході або виході з інтерфейсу. Це відрізняється від моніторингу пропускної здатності, де дані підраховуються, але не збираються. Аналізуючи зібрані дані, можна ідентифікувати джерело та призначення трафіку, клас і тип послуги, та використовувати цю інформацію для визначення причин перевантажень.
Типова схема моніторингу NetFlow складається з трьох основних компонентів:
Експортер потоків збирає пакети в потоки та передає записи потоків до одного або кількох колекторів потоків. Цей компонент розташований на мережевому пристрої.
Колектор потоків відповідає за отримання, зберігання та попередню обробку даних про потік, отриманих від експортера потоку.
Аналізатор потоку аналізує отримані дані потоку для виявлення вторгнень або профілювання трафіку.
У термінології NetFlow, потік – це односпрямована послідовність пакетів із спільними атрибутами, такими як вхідний інтерфейс, IP-адреси джерела та призначення, IP-протокол (TCP/UDP/ICMP тощо), IP-порти джерела та призначення, і тип послуги IP. Детальна інформація про кожен окремий потік збирається експортером потоку перед передачею колектору потоку. Сьогодні колектор і аналізатор потоку найчастіше є частинами однієї системи.
NetFlow, колись ексклюзивна технологія Cisco, тепер доступна на обладнанні багатьох постачальників, включаючи Juniper, Alcatel-Lucent і Nortel. Деякі постачальники використовують інші назви, наприклад, J-flow для Juniper. Існує також стандартизована IETF версія, IPFIX (Internet Protocol Flow Information eXport).
sFlow – це подібна, але дещо інша технологія. sFlow використовує схожі методи для збору інформації про потік, але додає вибірку даних, що дозволяє отримати ще більш детальну інформацію. Дуже мало аналізаторів і колекторів NetFlow можуть обробляти дані sFlow через значні відмінності.
Найкращі інструменти для аналізу трафіку
Існує велика кількість інструментів, що пропонують аналіз структури мережевого трафіку. Більшість з них збирають дані NetFlow і відображають їх у зручній графічній формі, тоді як деякі використовують інші методи для досягнення подібних цілей.
1. SolarWinds NetFlow Traffic Analyzer (БЕЗКОШТОВНА ПРОБНА ВЕРСІЯ)
Першим у нашому списку є SolarWinds NetFlow Traffic Analyzer, або NTA. SolarWinds зарекомендувала себе як компанія, що створює одні з найкращих інструментів для управління мережами. Їхній флагманський продукт, Network Performance Monitor, є одним з лідерів у моніторингу пропускної здатності. SolarWinds також відомі своїми чудовими безкоштовними інструментами, такими як калькулятор підмереж або TFTP-сервер.
Як випливає з назви, SolarWinds NetFlow Traffic Analyzer використовує протокол NetFlow для надання детальної інформації про трафік. Він може, наприклад, повідомити, який тип трафіку є найбільш поширеним або який користувач використовує найбільшу пропускну здатність. На панелі інструментів доступно кілька різних режимів перегляду, наприклад, найпопулярніші програми, протоколи або розмови. Інструмент підтримує більшість варіантів NetFlow від різних виробників.
БЕЗКОШТОВНА ПРОБНА ВЕРСІЯ: СОНЯЧНІ ВІТРИ АНАЛІЗАТОР NETFLOW TRAFFIC ANALYZER
Ось деякі ключові особливості продукту:
- Можливість моніторингу використання мережі за програмою, протоколом та групою IP-адрес.
- Відстеження даних Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream та IPFIX для визначення основних споживачів пропускної здатності.
- Збір та обробка даних трафіку в зручному форматі з відображенням у веб-інтерфейсі користувача.
- Визначення програм та категорій, що споживають найбільше пропускної здатності, для кращого розуміння мережевого трафіку, а також підтримка Cisco NBAR2.
SolarWinds NetFlow Traffic Analyzer доступний як доповнення до Network Performance Monitor (NPM). Ціни починаються від $1915 за 100 вузлів. Кількість придбаних вузлів має відповідати ліцензії NPM. Якщо у вас ще немає програмного забезпечення NPM, це коштуватиме $2995 за той самий рівень в 100 вузлів. Можна завантажити повнофункціональну 30-денну пробну версію будь-якого з продуктів.
2. Paessler Router Traffic Grapher (PRTG)
Paessler Router Traffic Grapher або PRTG – це універсальне рішення для моніторингу використання пропускної здатності, що інтегрує моніторинг пропускної здатності SNMP, збір та аналіз NetFlow. Крім того, PRTG використовує різні технології для моніторингу систем, пристроїв, трафіку та програм. Ось короткий огляд протоколів моніторингу, які він підтримує:
- Потоки (наприклад, NetFlow або sFlow)
- SNMP з готовими до використання та спеціальними параметрами
- WMI та лічильники продуктивності Windows
- SSH для систем Linux/Unix та MacOS
- Аналіз пакетів
- Ping, SQL та багато іншого
Інсталяція PRTG є досить простою. Paessler стверджує, що це можна зробити за кілька хвилин. Після запуску інсталятора, процес автоматичного виявлення визначить пристрої та налаштує основні датчики. Потім ви можете додати датчики, наприклад, колектори NetFlow, вручну. На сайті є докладне відео з інструкцією, як це робити.
PRTG працює лише на Windows, але його веб-інтерфейс доступний з будь-якого браузера на будь-якій платформі. Також існують мобільні додатки для Android та iOS, які можна встановити на смартфон. До унікальних функцій цього інструменту належать QR-коди, які можна роздрукувати і прикріпити до пристроїв. Достатньо просканувати код з мобільних додатків для швидкого перегляду даних датчика пристрою.
PRTG пропонується у двох версіях. Безкоштовна версія обмежена 100 датчиками. Кожен контрольований елемент вважається одним датчиком. Наприклад, для моніторингу кожного порту 48-портового комутатора потрібно 48 датчиків. Для збору та аналізу NetFlow потрібно один датчик на експортер потоку. Для використання понад 100 датчиків потрібна платна ліцензія, яка доступна для 500, 1000, 2500, 5000 і необмеженої кількості вузлів за ціною від $1600 до $15000. Безкоштовна версія дає змогу використовувати необмежену кількість датчиків протягом перших 30 днів, що дозволить вам ретельно протестувати продукт.
3. Scrutinizer
Scrutinizer від Plixer є чудовим аналізатором NetFlow. Насправді, це набагато більше, ніж аналізатор, і багато хто вважає його повноцінною системою реагування на інциденти. Завдяки можливості відстежувати різні типи потоків, такі як NetFlow, J-flow, NetStream та IPFIX, ви не обмежені моніторингом тільки пристроїв Cisco.
Scrutinizer має ієрархічну структуру та пропонує організований збір даних, що дозволяє розпочати з малого і легко масштабуватися до мільйонів потоків за секунду. Хоча мережу часто звинувачують першою, коли виникає проблема, Scrutinizer допомагає швидко виявити реальну причину більшості проблем з мережею. Продукт може працювати у фізичних та віртуальних середовищах і має розширені функції звітності.
Scrutinizer доступний у чотирьох рівнях ліцензій: від базової безкоштовної версії до рівня SCR, який може масштабуватися до понад десяти мільйонів потоків за секунду. Безкоштовна версія обмежена десятьма тисячами потоків за секунду і зберігає вихідні дані лише протягом 5 годин. Проміжні рівні MDX зберігають дані протягом 25 годин, а SSRV зберігає їх постійно. Будь-який рівень ліцензії можна протестувати протягом 30 днів, після чого він перейде до безкоштовної версії.
4. ManageEngine NetFlow Analyzer
ManageEngine – ще один відомий гравець на ринку інструментів для управління мережею. Подібно до SolarWinds, вони випускають кілька чудових інструментів, а також кілька безкоштовних. ManageEngine NetFlow Analyzer надає детальне уявлення про використання пропускної здатності мережі та структури трафіку. Продукт має веб-інтерфейс користувача з великою кількістю різних режимів перегляду мережі.
Цей інструмент дозволяє переглядати трафік за програмою, розмовою, протоколом та багатьма іншими параметрами. Ви також можете налаштувати сповіщення, щоб отримувати попередження про потенційні проблеми. Наприклад, можна встановити поріг трафіку для певного інтерфейсу та отримувати сповіщення, коли трафік перевищує цей поріг.
Основна сила ManageEngine NetFlow Analyzer полягає у звітах та панелі інструментів. Продукт має кілька корисних попередньо створених звітів для конкретних цілей, таких як усунення несправностей, планування потужності або виставлення рахунків. Також є можливість створювати власні звіти за потреби.
Панель приладів ManageEngine NetFlow Analyzer так само вражає, як і його звіти. Вона включає кілька кругових діаграм, що показують найпопулярніші програми, протоколи або розмови. Також є теплова карта, що відображає стан контрольованих інтерфейсів. Інформаційні панелі можна налаштувати для відображення лише необхідної інформації. Для адміністраторів, які працюють віддалено, є додаток для смартфона, що забезпечує доступ до інформаційної панелі та звітів.
ManageEngine NetFlow Analyzer підтримує більшість технологій потоку, включаючи NetFlow, IPFIX, J-flow, NetStream та деякі інші. Додатково є хороша інтеграція з пристроями Cisco, що дозволяє налаштовувати формування трафіку та/або політику QoS безпосередньо з інструменту.
ManageEngine NetFlow Analyzer пропонується у двох версіях. Безкоштовна версія дозволяє моніторинг лише двох інтерфейсів або експортерів потоків. Для більшої ємності ліцензії доступні для від 100 до 2500 інтерфейсів або потоків, за ціною від $600 до $50 000, плюс річна плата за обслуговування. Для всіх платних планів є безкоштовна 30-денна пробна версія.
5. sFlowTrend
Хоча всі попередні інструменти відмінні, тільки PRTG на даний момент підтримує протокол sFlow. Як ми пояснювали раніше, ці два протоколи дуже різні, і рідко один інструмент підтримує їх обидва. Якщо ваша мережа в основному складається з пристроїв з підтримкою sFlow, то ось один з найкращих інструментів, які ми змогли знайти.
sFlowTrend є інструментом моніторингу sFlow від inMon, компанії, що стоїть за протоколом sFlow. Це базовий та дещо обмежений, але дуже ефективний інструмент. Існує безкоштовна версія, яка дозволяє збирати дані з п’яти пристроїв з підтримкою sFlow і зберігати дані історії в RAM до однієї години. Хоча цього може бути достатньо для вирішення деяких проблем з мережею, для постійного моніторингу цього буде недостатньо. Для повного функціоналу потрібна професійна версія, яка знімає обмеження на кількість пристроїв і зберігає дані історії на диску.
Панель інструментів sFlowTrend пропонує швидкий огляд поточного стану пристроїв та мереж, що відстежуються. Він відображає порогові значення верхнього рівня та інтерфейси з потенційними помилками. На вкладці «Мережа» sFlowTrend відображається підсумкова статистика продуктивності та детальний трафік на рівні мережі або пристрою. Пороги попередження можна використовувати для отримання сповіщень, коли використання пропускної спроможності перевищує норму, або виникає помилка мережі. У програмному забезпеченні також є вкладка «Основна причина», де можна детально розглянути причину проблеми.
На вкладці «Хости» sFlowTrend ви знайдете детальну інформацію про кожен пристрій, наприклад дані про продуктивність процесора, диска тощо для серверів з підтримкою sFlow. sFlow призначений не тільки для моніторингу мережевого обладнання. На вкладці «Служби» можна побачити дані про продуктивність програм, що експортують дані sFlow. А на вкладці «Події» ви знайдете журнал подій, наприклад, перевищення порогових значень або виявлені помилки. Вкладка «Звіти» пропонує попередньо визначені звіти та підтримує створення власних.
sFlowTrend написаний на Java та постачається як із користувацьким інтерфейсом на Java, так і з веб-інтерфейсом. Він доступний для Windows, Mac та Linux. Програмне забезпечення має чудову онлайн-довідкову систему, яка допоможе вам налаштувати та використовувати інструмент.
Висновок
Незалежно від того, який інструмент ви оберете, аналіз структури мережевого трафіку надасть безцінну інформацію про те, що відбувається у вашій мережі. Кожен з розглянутих інструментів пропонує чудову цінність, і вибір залежить від ваших особистих переваг. Можливо, якийсь інструмент має потрібну вам конкретну функцію. Оскільки всі платні інструменти пропонують безкоштовну пробну або безкоштовну версію, немає причин не спробувати кілька варіантів перед прийняттям рішення.