5 най-добри инструменти за проверка на дълбоки пакети през 2020 г.

Мрежите са трудно нещо за управление и наблюдение. Разбираемо е, мрежовият трафик се случва в медно окабеляване или оптични влакна и не може да се види. Това прави малко сложно всеки администратор да има ясна и определена картина за това какво става с мрежите, които управляват. Тук идва мониторингът на мрежата. А що се отнася до мрежовия мониторинг, на разположение са няколко нива от него, всяко от които предоставя повече информация за трафика. Дълбоката проверка на пакетите е най-високото ниво на мониторинг, което предоставя най-много информация за мрежовия трафик. За да извършите дълбока проверка на пакетите, се нуждаете от подходящи инструменти - и днес ние преглеждаме някои от най-добрите инструменти за дълбока проверка на пакетите.

Преди да започнем, ще се опитаме да обясним дълбоката проверка на пакетите. Изглежда, че всеки има противоречива представа какво е и какво трябва да бъде. Дълбоката проверка на пакетите, която ни интересува днес, е свързана с мониторинга на мрежата, още един неясен термин. За да се опитаме да хвърлим малко светлина по темата, ще обсъдим наблюдението като цяло и анализа на потока в частност, тъй като представлява форма на задълбочена проверка на пакети. И оттогава

Технологията на NetFlow на Cisco изглежда е най-разпространеният, ще разгледаме по-задълбочено. Едва тогава ще бъдем готови да разкрием какви са най-добрите инструменти за дълбока проверка на пакетите и да ви предложим кратък преглед на всеки.

Обяснена е задълбочена проверка на пакети

Дълбоката проверка на пакетите се определя като акт за анализ на съдържанието на данните за компонент на мрежовата инфраструктура пакети освен просто да погледнете заглавката на пакета, за да съберете статистически данни за мрежовия трафик или за филтриране, приоритизиране или цели за откриване на проникване. Въпреки че това определение е сравнително точно, то е малко общо. Освен това, какво е дълбоката проверка на пакетите, може да варира в зависимост от това, което се опитвате да постигнете. Проверката на дълбоки пакети, направена например за целите на събиране на статистически данни, е различна от инспекцията на дълбоки пакети, извършена за филтриране на някакъв трафик. В контекста на тази статия това, което ни интересува, е най-вече събиране на статистика. Инструментите, които ще преглеждаме моментално, са по същество модерни инструменти за мониторинг.

За инструментите за мониторинг

Мрежовият мониторинг, точно както инспекцията на дълбоки пакети, не е ясно определен термин. Най-основната форма на мрежов мониторинг е мониторинг на честотната лента. Обикновено се прави с помощта на Простата протокол за управление на мрежата. Този тип мониторинг е много полезен за получаване на ясна представа за използването на вашата мрежа, но има ограничения. Въпреки че ще ви даде средното използване на честотната лента в конкретна точка на мрежата, тя няма да предостави подробности за това, което използва честотната лента.

За по-ясна картина на това какъв трафик се транспортира в мрежа, трябва да използвате анализ на потока. Анализът на потока отива много по-дълбоко от мониторинга на честотната лента и може да предостави подробна информация. Той разчита на самите мрежови устройства да изпращат информация за трафика към системи за наблюдение, наречени колектори и / или анализатори, които могат да интерпретират данните от потока и да ги представят по смислен начин. Анализът на потока например ще ви позволи да видите как се разпределя мрежовият трафик между всички източници и местоназначение. Той ще ви каже за какви протоколи и какви видове трафик се използват.

Анализът на потока може да се разглежда като задълбочена проверка на пакети, тъй като надхвърля само разглеждането заглавката, за да намерите качествена информация за действителните данни, които се транспортират на мрежа. Най-разпространеният от всички технологии за анализ на потока със сигурност е NetFlow на Cisco. Нека да го разгледаме по-задълбочено.

Повече за NetFlow

NetFlow първоначално е разработен от Cisco Systems и е въведен на техните маршрутизатори с цел осигуряване на възможност за събиране на информация за трафик на IP мрежа, когато влиза или излиза от интерфейс. Първоначалното му намерение беше да се използва за създаване на по-добри списъци за контрол на достъпа (ACL). Оттогава тя се разшири в истинска схема за мониторинг и данните за потока, събирани от устройства, вече се изнасят диа.

Технологията на NetFlow се състои от три компонента. Първият е износител на потоци, който агрегира пакети в потоци и експортира записи на потока към един или повече колектори на потоци. Следващият компонент, колекторът на потоци, отговаря за приемането, съхранението и предварителната обработка на данните от потока, получени от предишния компонент. Накрая, анализаторът на потока се използва за анализ на получените данни за потока. Този анализ може да се използва за профилиране на трафика или за отстраняване на проблеми с мрежата, наред с други приложения. Много съвременни инсталации комбинират колектор на потока и анализатор в един интегриран компонент.

Как работи NetFlow

Всяко друго устройство, което поддържа NetFlow, може да бъде конфигурирано да извежда данни от потока под формата на записи на потоци и да ги изпраща в NetFlow колектор. Потокът е пълен разговор в IP смисъла. И може да има много потоци, преминаващи през един интерфейс във всеки даден момент. Мрежовото устройство, подготвящо записи на потоци, ги изпраща в колектора, когато той определи, или чрез стареене, или като види прекратяване на TCP сесията, че потокът е приключил.

Типичният запис на потока съдържа доста малко информация. Това включва интерфейсите за вход и изход, времевите и началните и крайните печати на потока, броя на байтовете и пакетите съдържа заглавките на слой 3, IP адреса на източника и дестинацията и номера на порта, IP протокола и TOS (Тип услуга) стойност. Записите на потока не съдържат действителните данни, съставляващи потока. Те съдържат само информация за потока. Това е важно от гледна точка на сигурността.

В повечето среди колекторните потоци, в които се изпращат записите, често са също и анализатори на потока. Само много големи, многосайтови мрежи ще се възползват от отделни колектори, разпределени в различните сайтове. Колекторите и анализаторите използват информацията, съдържаща се в протоколите на потока, за да представят данни за мрежовия трафик по начин, полезен за мрежовите администратори. Всъщност, основните отличителни фактори между различните инструменти е начинът, по който те могат да осмислят и представят данните по смислен начин.

Най-добрите инструменти за проверка на дълбоки пакети

От гледна точка на мониторинга, анализът на потока е инспекция на дълбоки пакети, така че инструментите, които разглеждаме днес, са наистина NetFlow анализатори. Много от тях ще направят повече от това, въпреки че някои от тях са част от цялостно решение за мониторинг.

SolarWinds, в невероятния случай, за който никога не сте чували за компанията, прави някои от най-добрия софтуер за мрежово и системно администриране. Един от водещите му продукти, SolarWinds Network Monitor Monitor, се счита от мнозина за един от най-добрите мрежов инструмент за наблюдение на честотната лента. SolarWinds също така прави някои отлични безплатни инструменти, всеки от които адресира конкретна задача на мрежовите администратори. Два примера за тези безплатни инструменти са безплатни напреднали подмрежа калкулатор и безплатно syslog сървър. А когато става въпрос за анализ на трафика на NetFlow, SolarWinds NetFlow Traffic Analyzer (NTA) определено е един от най-добрите колектори и анализатори на NetFlow, които можете да намерите.

Сред най-добрите характеристики на продукта, SolarWinds NetFlow анализатор на трафика може да следи използването на честотна лента чрез приложение, протокол и група IP адреси. Той може не само да наблюдава Cisco NetFlow, но и Juniper J-Flow, sFlow, Huawei NetStream и IPFIX - още няколко потока технологии за анализ, базирани на NetFlow - за идентифициране на кои приложения и протоколи са най-горната честотна лента потребителите. Инструментът събира данни за трафика, съпоставя го в използваем формат и го представя на потребителя на уеб-базирано табло. Продуктът поддържа Cisco NBAR2, за да идентифицира кои приложения и категории консумират най-голяма честотна лента, като ви осигурява още по-добра видимост на мрежовия трафик.

Най- SolarWinds NetFlow анализатор на трафика е добавка към мрежовия монитор за ефективност (NPM). Ако вече не притежавате лиценз за NPM, ще трябва да го фактурирате като цена. Те започват от $ 2 955 за до 100 елемента. Що се отнася до добавката за NTA, нейният лиценз трябва да съответства на броя на възлите на вашия лиценз за NPN, а цените започват от $ 1 915. Ако предпочитате да изпробвате продукта, преди да се ангажирате с покупка, от SolarWinds е достъпна безплатна пробна версия.

• БЕЗПЛАТЕН ПРОБЕН ПЕРИОД: SolarWinds NetFlow анализатор на трафика
• Официална връзка за изтегляне: https://www.solarwinds.com/netflow-traffic-analyzer

Ако имате нужда от решение с по-малък мащаб, SolarWinds NetFlow анализатор в реално време може да е точно това, от което се нуждаете. Това е един от известните безплатни инструменти на SolarWind и макар да не е толкова пълен като NetFlow Traffic Analyzer, той ви дава една и съща основна функционалност.

Той може да улавя и анализира данните от потока в реално време. И ще ви покаже вида на трафика, превозван във вашата мрежа, откъде идва и къде отива. Можете също да го използвате - до известна степен - за диагностициране на шипове на трафика и отстраняване на проблеми с честотната лента.

Продуктът ще ви позволи да определите кои потребители, устройства и приложения консумират най-голяма честотна лента; изолиране на мрежовия трафик чрез разговор, приложение, домейн, крайна точка и протокол; и да преглеждате мрежовия трафик по тип и посочени времеви периоди

Разбира се, не можете да очаквате този безплатен софтуер да направи всичко, което прави големият му брат. Той има някои сериозни ограничения и основният му фокус е текущото и много скорошно състояние на вашата мрежа. Той ще събира данни само от един интерфейс на NetFlow и ще съхранява и анализира само последните 60 минути данни.

Ако имате нужда от бърз и мръсен изглед на използването на вашата честотна лента, безплатният анализатор NetFlow в реално време SolarWinds ще ви го предостави, но не много повече.

• Безплатно сваляне: SolarWinds NetFlow анализатор в реално време
• Официална връзка за изтегляне: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. ManageEngine NetFlow Analyzer

ManageEngine е друго добре познато име в областта на инструментите за управление на мрежата. негов ManageEngine NetFlow Analyzer дава на мрежовите администратори подробен изглед на използването на мрежовата честотна лента, както и моделите на трафик. Продуктът се контролира от уеб-базиран интерфейс и предлага впечатляващ брой различни изгледи във вашата мрежа.

Например продуктът ще ви позволи да видите трафика по приложение, чрез разговор, по протокол и още няколко опции. Освен това имате възможност да зададете сигнали, за да ви предупреждават за потенциални проблеми. Можете например да зададете праг на трафик на конкретен интерфейс и да бъдете известявани при всяко превишаване.

Но най-големите предимства на този инструмент са неговите доклади и табло. Той идва с няколко много полезни предварително изградени отчета, които са персонализирани за конкретни цели, като отстраняване на проблеми, планиране на капацитет или таксуване. И колкото и да са вградените отчети, инструментът също така позволява на администраторите да създават персонализирани отчети по свой вкус.

Таблото за управление на продукта е също толкова впечатляващо, колкото и неговите отчети. Тя включва няколко диаграми на пай с неща като топ приложения, топ протоколи или топ разговори. Той може също така да показва своеобразна топлинна карта със състоянието на наблюдаваните интерфейси. И точно като отчетите, таблото за управление може да бъде персонализирано и да включва само информацията, която намирате за полезна. Таблото за управление също е мястото, където сигналите се показват под формата на изскачащи прозорци. Администраторът на мрежата в движение няма да се почувства изоставен, тъй като приложението за смартфони е достъпно и ще ви даде достъп както до таблото за управление, така и до отчетите.

Най- ManageEngine NetFlow Analyzer поддържа повечето технологии на потока, включително NetFlow, IPFIX, J-flow, NetStream и няколко други. Този инструмент може да се похвали и с отлична интеграция с устройства на Cisco, с възможност за настройване на трафика и / или QoS политики направо от инструмента.

Най- ManageEngine NetFlow Analyzer идва в две версии. Има безплатна версия, която е ограничена до наблюдение само на два интерфейса на потоците. Въпреки че това не е много, може да е всичко, от което се нуждаете. И тази безплатна версия ще позволи неограничени устройства за първите 30 дни, като ви дава шанс да извършите задълбочен тест. След като изпитанието приключи, лицензите се предлагат в няколко размера от 100 до 2500 интерфейса или потоци, като цените започват от около $ 600 плюс годишни такси за поддръжка.

4. Paessler Router Grapher Traffic Grapher (PRTG)

PRTG от Paessler е друго добре познато решение „всичко в едно“, чиято основна цел е мониторинг на използването на честотната лента. Използва се и за наблюдение на наличността и здравето на различните мрежови ресурси. Като такъв, това е друг много полезен инструмент за мрежовите администратори. Но благодарение на сензор NetFlow, който е наличен за продукта, PRTG може също да служи като NetFlow колектор и анализатор.

Всъщност, PRTG не е само инструмент за наблюдение на честотната лента или колектор и анализатор на NetFlow. Той използва няколко технологии за наблюдение на системи, устройства, трафик и приложения. Сред тях продуктът ще използва SNMP с готови за използване и персонализирани опции, броячи на производителността на WMI и Windows, SSH за Linux / Unix и MacOS системи, потоци - като NetFlow или sFlow - и пакетиране на пакети, HTTP заявки, REST API, връщащи XML или JSON, Ping, SQL и много Повече ▼.

Инсталиране PRTG лесно е. Просто стартирате инсталатора, след което процесът на автоматично откриване ще открие устройства и ще настрои сензори. След това можете да добавите ръчно допълнителни сензори - например NetFlow колектори. На уебсайта на Paessler дори има подробно видео, което ще ви покаже как е направено.

Сървърът работи само в Windows, но потребителският му интерфейс е базиран на уеб и може да бъде достъпн от всеки браузър. Има и мобилно клиентско приложение, което можете да инсталирате на вашия смартфон. Приложението за мобилни клиенти има уникална функция под формата на QR етикети, които можете да отпечатвате и поставяте на своите устройства. След това сканиране на кода от мобилното приложение бързо ще отвори данните на сензора на това устройство.

Две версии на PRTG са налични. Има безплатна версия, която е ограничена до 100 сензора. Имайте предвид, че сензор в PRTG езикът не е устройство. Вместо това той е най-основният елемент, който може да бъде наблюдаван. Например, мониторингът на всеки порт на превключвател с 48 порта изисква 48 сензора, а за събирането и анализа на NetFlow е необходим един сензор на износител на потока. С това темпо очевидно е, че 100 сензора може да не са толкова, колкото се появиха за пръв път. Ако имате нужда от повече от 100 сензора, ще трябва да закупите лиценз. Те се предлагат в 500, 1000, 2500 или 5000 сензора, като има и неограничен лиценз. Цените варират от около 1 600 долара до малко под 15 000 долара. Безплатната версия ще позволи неограничени сензори за първите 30 дни, така че можете да се възползвате от задълбочено тестване на продукта.

5. Scrutinizer

Последно в нашия списък е Scrutinizer от Plixer, друг отличен анализатор на NetFlow. Всъщност това е много повече от това и някои го разглеждат като система за пълно реагиране на инциденти. Продуктът има възможност да наблюдава различни типове потоци като NetFlow, J-flow, NetStream и IPFIX, така че да не се ограничавате да наблюдавате само устройства Cisco.

Scrutinizer може да се похвали с йерархичен дизайн, който предлага рационално и ефективно събиране на данни и ви позволява да стартирате малък и след това мащабен път до много милиона потока в секунда. Мрежата често се обвинява винаги, когато нещо се обърка. С този инструмент можете бързо да намерите истинската причина за почти всички мрежови проблеми. Продуктът работи както с физическа, така и с виртуална среда и се предлага с разширени функции за отчитане.

Scrutinizer се предлага в четири лицензни нива. Те варират от основната безплатна версия до пълноценното ниво на SCR, което може да мащабира до над 10 милиона потока в секунда. Безплатната версия е ограничена до 10 хиляди потока в секунда и тя ще съхранява само сурови данни за 5 часа, но би трябвало да е повече от достатъчна за отстраняване на проблеми с мрежата. Можете също така да опитате всеки лицензен слой за 30 дни, след което той ще се върне обратно към безплатната версия.