6 legjobb nyílt forráskódú NetFlow szoftver (INGYENES)

Különböző típusú hálózati megfigyelés érhető el. Az egyik, talán a leggyakoribb, a SNMP monitorozás. Használható ahhoz, hogy a rendszergazdák meglehetősen világos képet kapjanak arról, mennyi adatot szállítanak az általuk kezelt hálózatokon keresztül. De amikor részletesebb képet akarnak - például megtanulják, hogy mi a forgalom, nem csupán az, hogy HOGYAN SOK van -, akkor más technológiára kell fordulniuk.

A NetFlow, a Cisco által kifejlesztett és a gyártó eszközén egy ideje bevezetett megfigyelési technológia ténylegesen standardvá vált a minőségi hálózati megfigyelés szempontjából. A NetFlow megfigyelő eszközök drágák lehetnek, és sok kisebb vállalkozás számára elérhetők lehetnek. Szerencsére számos nyílt forráskódú NetFlow szoftvercsomag érhető el, és ezeket áttekintjük.

Utazásunkat azzal kezdjük, hogy áttekintjük a hálózati megfigyelést. Követjük a megfigyelés különféle típusainak megvitatását, különös tekintettel azokra sávszélesség-figyelés és forgalom elemzése. Ezután, anélkül, hogy túl technikai lenne, alaposan áttekintjük a NetFlow technológiát, mi ez és hogyan működik.

Megbeszéljük néhány hasonló technológiát, amelyek szintén rendelkezésre állnak, mielőtt eljutnánk a témához, a ténylegesen rendelkezésre álló nyílt forrású NetFlow eszközökhöz. Míg az eszközök némelyike ​​viszonylag korlátozott abban, hogy mit tud elérni, vagy amelyek nehezebben konfigurálhatók, mint néhány fizetett csomag, mindegyik valóban érdekes funkciókat kínál.

A hálózati megfigyelésről

Hálózati forgalom nagyon hasonló a közúti forgalomhoz. Csakúgy, mint a hálózati áramkörök autópályáknak tekinthetők, a hálózatokon továbbított adatok olyanok, mint az ezen az autópályán haladó járművek. A járműforgalommal ellentétben, ahol csak azt kell megnéznie, hogy megnézze-e és mi a baj, a hálózaton zajló események látása trükkös lehet. A kezdők számára minden nagyon gyorsan megy és a hálózaton továbbított adatok láthatatlan a szabad szemmel.

A hálózati megfigyelő eszközök lehetővé teszik, hogy pontosan megnézze, mi folyik a hálózatában. Velük mérni tudja az egyes áramkörök felhasználását, elemezni, hogy ki és mit fogyaszt sávszélességet, és alaposan mélyítsen bele a hálózati „beszélgetésekbe” annak ellenőrzésére, hogy minden működik-e normális esetben.

Különböző típusú felügyeleti eszközök

Alapvetően három fő típusú hálózati megfigyelő eszköz létezik. Mindegyik egy kicsit mélyebbre megy, mint az előző, és további részleteket nyújt a forgalomról. Először is vannak sávszélesség-figyelő monitorok. Ezek az eszközök megmutatják, hogy mennyi adatot szállítanak a hálózatán, de erről szól.

Ahhoz, hogy további információkat kapjon a hálózatról, szüksége van egy másik típusú eszközre, a hálózati elemzőkre. Ezek olyan eszközök, amelyek adhatnak némi információt arról, hogy mi folyik pontosan. Nem csak azt fogják mondani, hogy mekkora a forgalom. Azt is megmondhatják neked, mit a forgalom típusa és a házigazda között mozog.

És a leg részletesebben, van csomag szippantók. Mélyreható elemzést végeznek a forgalom rögzítésével és dekódolásával. Az általuk nyújtott információk lehetővé teszik, hogy pontosan megnézze, mi folyik, és a lehető legpontosabban meghatározza a kérdéseket. Bármennyire is hasznosak, túlmutatnak e postán.

Sávszélesség-figyelő eszközök

A legtöbb sávszélesség-figyelő monitor az Simple Network Management Protokollra (SNMP) támaszkodik, hogy lekérdezzék az eszközöket, és megkapják a forgalom mennyiségét az összes interfészükön vagy annak egy részén. Ezen adatok felhasználásával gyakran grafikonokat készítenek, amelyek ábrázolják a sávszélességet az idő múlásával. Általában lehetővé teszik, hogy egy szűkebb időtartományba zoomoljon, ahol a grafikon felbontása magas, és például azt mutatja, 1 perces átlagos forgalom vagy kicsinyítés hosszabb időtartamra - gyakran egy hónapra vagy akár egy évre is -, ahol napi vagy heti mutat átlagok.

Hálózati forgalom elemző eszközök

Ha nem csak az elhaladó forgalom mennyiségéről kell tudnia, akkor erre is szüksége van fejlettebb felügyeleti rendszer. Szüksége van arra, amit hálózati elemző rendszernek nevezünk. Ezek a rendszerek a hálózati berendezésekbe beépített szoftverekre támaszkodnak, hogy részletes használati adatokat küldjenek nekik. Ezek a rendszerek tipikusan megjeleníthetik a legfontosabb beszédeket és hallgatókat, a felhasználást forrás vagy rendeltetési cím alapján, a protokolltól vagy az alkalmazástól és számos egyéb hasznos információt a folyamatról.

Míg egyes rendszerek szoftveres ügynököket használnak, amelyeket telepítenie kell a célrendszerekre, ezek többsége a standard protokollok helyett támaszkodik, mint például a NetFlow, IPFIX vagy sFlow. Ezeket általában beépítik a berendezésekbe és használatra készen állnak, miután konfiguráltak.

NetFlow dióhéjban

A NetFlow-ot a Cisco Systems fejlesztette ki, és útválasztóikon vezették be, hogy képesek legyenek összegyűjteni az IP hálózati forgalmat az interfészbe való belépéskor vagy az onnan való kilépéskor. Az összegyűjtött adatok Ezután a hálózati rendszergazdák elemezték a forgalom forrásának és rendeltetési helyének, a szolgáltatás osztályának és a torlódások okainak meghatározásához. A NetFlow technológiának három fő alkotóeleme van:

• A folyamatáram-exportőr a csomagokat adatfolyamokra egyesíti, és az adatfolyam-nyilvántartásokat egy vagy több adatgyűjtő felé exportálja. Ez az összetevő fut a megfigyelt eszközökön.
• Ami a áramlásgyűjtő, felelős az áramlási exportőrtől kapott áramlási adatok fogadásáért, tárolásáért és előzetes feldolgozásáért.
• Végül, de nem utolsósorban, az áramlás analizátor egy olyan alkalmazás, amelyet a kapott áramlási adatok elemzésére használnak. Az elemzés felhasználható a forgalom profilozására vagy a hálózati hibaelhárításra.

Hogyan működik

Útválasztók, kapcsolók és bármely más olyan eszköz, amely támogatja a NetFlow-ot, konfigurálható úgy, hogy áramlási adatokat továbbítson áramlási rekordok formájában, és elküldje azokat egy NetFlow gyűjtőnek. Az adatfolyam teljes értelemben vett beszélgetés. Az áramlási nyilvántartásokat előkészítő eszköz általában elküldi azokat a gyűjtőnek, amikor megállapítja, hogy az áramlás befejeződött vagy öregedéssel - egy meghatározott időkorláton belül nem volt forgalom -, vagy amikor TCP munkamenetet lát megszűnése.

Az áramlási rekord sok információt tartalmaz az áramlással kapcsolatban. Ez magában foglalja a bemeneti és a kimeneti interfészeket, a folyamat kezdeti és befejezési időbélyegeit, a bájtok és a csomagok számát tartalmazza a 3. réteg fejléceit, a forrás és a cél IP-címet és portszámot, az IP-protokollt és a TOS-ot érték. A folyamatáramrekordok nem tartalmazzák a folyamatot alkotó tényleges adatokat. Az egyetlen információt tartalmaz az áramlásról. Ez biztonsági szempontból fontos.

A hatalmas, több telephelyű környezetet kivéve, az áramlásgyűjtők, ahol a nyilvántartásokat elküldik, gyakran az áramlás elemzői is. Az áramlási rekordokban szereplő információkat felhasználják a hálózati forgalomra vonatkozó adatok bemutatására a hálózati rendszergazdák számára hasznos módon. A különféle NetFlow gyűjtőknek és elemzőknek különféle módja van az adatok bemutatásának. Itt hasznos a legjobb NetFlow gyűjtők és elemzők listája.

Egyéb hasonló technológiák

A NetFlow különféle verziói és adaptációi léteznek, és néhány más néven ismert. Valójában ezek közül sokat a Cisco engedélyével használnak. A NetFlownak valódi alternatívái is vannak, amelyek közül a két legismertebb sFlow és IPFIX. Ez utóbbi erősen a NetFlow legújabb verzióján alapul, azzal a különbséggel, hogy IETF szabvány. Valójában számos oka van annak a feltételezésnek, hogy a Cisco akár a NetFlowot akár IPFIX-rel is felválthatja. Ami a sFlow-t illeti, ez egy másik, versengő rendszer. Célja és általános működési alapelvei hasonlóak, de eltérőek. Néhány NetFlow elemző is működik az sFlow-lal, de általában véve: az egyik felhasználó nem használja a másikot.

A legelső nyílt forráskódú NetFlow szoftver

SolarWinds az egyik legismertebb szereplő a hálózati adminisztrációs eszközök területén. A cég körülbelül 20 éve működik, fűződő a legjobb hálózati adminisztrációs eszközök közül néhány. Azt van is szerzett jó hírnévnek örvend a nagyszerű ingyenes eszközök készítésében, amelyek - bár azok szolgáltatásonként korlátozottak - mégis kiváló eszközök. Az egyik ilyen eszköz a ingyenes Valós idejű NetFlow elemző. Bár ez nem egy nyílt forrású eszköz, mégis teljesen ingyenes és érdemes megvizsgálni. Lehet, hogy nem ez az eszköz egészen teljes és teljes értékű, mint a nagy testvére, a SolarWinds NetFlow forgalmi elemző, ez a termék ugyanazt az alapvető funkciót nyújtja.

• INGYENES LETÖLTÉS: SolarWinds Valós idejű NetFlow elemző
• Hivatalos letöltési link: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration

Az eszköz képes valós időben rögzíteni és elemezni az Appflow, NetFlow, JFlow és sFlow adatokat. És pontosan megmutatja a hálózaton belüli forgalom típusait, honnan jön, és hova megy. Használhatja azt a forgalmi tüskék diagnosztizálására és a sávszélességgel kapcsolatos problémák elhárítására is.

Itt vannak néhány az Valós idejű NetFlow elemzőElsődleges jellemzői:

• Azonosítsa, mely felhasználók, eszközök és alkalmazások fogyasztják a legtöbb sávszélességet
• Izolálja a hálózati forgalmat beszélgetés, alkalmazás, domain, végpont és protokoll alapján
• Tekintse meg a hálózati forgalmat típus és megadott időszakok szerint

Az eszköz, mint a legtöbb más SolarWinds eszközöket, egyszerűen telepíthető egy szabványon keresztül Windows beállítóvarázsló. A telepítés után a NetFlow Configurator is benne van nak nek segíteni neked konfigurációjával eszközök, amelyek támogatják a különféle NetFlow változatokat.

Ez az ingyenes szoftver van néhány korlátozása nagyobb testvérehez képest, bár. Például, its az elsődleges hangsúly a hálózat jelenlegi és legutóbbi állapota. Mint ilyen, csak egyetlen NetFlow interfészről gyűjthet adatokat, és csak az elmúlt 60 perc adatokat tárolja és elemzi.

2. FlowScan

FlowScan egyfajta megjelenítő eszköz, amelyet általában a NetFlow adatok elemzésére és azokról történő jelentésre használ. Képes grafikonokat hozhat létre, amelyeket közeli valós időben generálnak, és megmutatják a hálózat aktuális állapotát. A FlowScan a legtöbb GNU / Linux vagy BSD rendszeren telepíthető. Számos másik csomagra támaszkodik az áramlások megfelelő összegyűjtése és feldolgozása érdekében. Például a Cflowd-t használják áramlásgyűjtőként. A FlowScan elsősorban Perl szkriptből áll, amely a szoftvercsomag nagy részét alkotja. Ez az elem felelős a jelentések betöltéséért és végrehajtásáért. A szoftver másik fő alkotóeleme az RRDtool, amely egy népszerű eszköz az adatok tárolására a kör-robin adatbázisokban, és ezeket az adatokat grafikonon ábrázolja. A FlowSanc felhasználja az áramlási információk tárolására és hasznos grafikonok elkészítésére.

A hálózati rendszergazdák gyakran rájönnek, hogy vagy túl kevés vagy túl sok adatot gyűjtöttek össze. A FlowScan-ben elérhető flow-profilozás érdekes kompromisszumot kínál az adatgyűjtés ezen szélsőségei között. Mivel a csomagokkal összegyűjtött összesített adatfolyamok egy adott porton vagy interfészen haladnak át, felhasználhatók valamilyen összefoglalóként az érdekes végpontok között utazó csomagcsomagok számára. Ez a szolgáltatás önmagában azonban nem elegendő a megbízható folyamatos használathoz. További szoftver eszközökre van szükség ezen áramlások meghatározásához, elemzéséhez és elemzéséhez. Ezeket a kiegészítő eszközöket a FlowScan tartalmazza.

3. nProbe és ntopng

nProbe és ntopng kissé fejlett - és ennélfogva kissé bonyolult - nyílt forráskódú eszközök. Ntopng egy web-alapú forgalom elemző eszköz a hálózatok megfigyelésére az áramlási adatok alapján nProbe egy NetFlow és IPFIX exportőr és gyűjtő. Együtt egy nagyon rugalmas elemzési csomagot hoznak létre. Ha korábban már adminisztrált a Linux hálózatokat, akkor már ismeri az ntop-ot. Ebben az esetben örömmel veszi tudomásul, hogy az ntopng a kortalan eszköz következő generációs GUI verziója.

Van egy ingyenes közösségi verzió ntopng megvásárolhatja a termék vállalati verzióját is. Drága lehet, de oktatási és nonprofit szervezetek számára ingyenes. Ami nProbe, ingyenesen kipróbálhatja, de összesen 25 000 exportált áramlásra korlátozódik. Ha túl akarod lépni, akkor licencet kell vásárolnod.

A legtöbb modern hálózati elemző eszközhöz hasonlóan, az ntopng egy web alapú felhasználói felületet is tartalmaz, amely forgalmat képes bemutatni - például felső beszélgetők, adatfolyamok, házigazdák, eszközök és interfészek. Táblázatok, táblázatok és grafikonok keverékével rendelkezik, ezek többsége olyan részletezési lehetőségeket is tartalmaz, amelyek lehetővé teszik, hogy részletesebben felfedezzék őket. A felhasználói felület nagyon rugalmas és sok testreszabást tesz lehetővé.

4. Flow-Tools

Flow-tools egy eszközkészlet a NetFlow adatok kezeléséhez. Pontosabban, ez egy könyvtár, olyan programok gyűjteményével kombinálva, amelyek a NetFlow adatokból jelentések gyűjtésére, küldésére, feldolgozására és generálására szolgálnak. Az eszközöket egy kiszolgálón együtt lehet használni, vagy több kiszolgálóra is el lehet osztani a nagyobb telepítésekhez. Az Flow-Tools A könyvtár API-t is biztosít egyéni alkalmazások fejlesztéséhez a NetFlow 1., 5., 6. és 14. verziójának jelenleg definiált 8. al-verziójára.

Ez a projekt a régi és leginkább elhasználódott OSU flow-tools projekt villája. ez nem a legaktívabb projekt odakint, és a legújabb verzió kb. kilenc évvel ezelőtt nyúlik vissza. Ha azonban egy egyszerű eszközt keres, és hajlandó megtenni a beállításához szükséges erőfeszítéseket, ez nagyszerű eszköz lehet a mérlegeléshez.

5. NFsen / NFDump

NFsen, amely a Netflow Sensor rövidítése, egy web alapú front-end eszköz a nfdump. Általában egy szép és felhasználóbarát grafikus képet jelenít meg az adatokról nfdump generál, beleértve a NetFlow adatokat. Az RRD adatbázis eszközzel képesek jelentéseket készíteni a NetFlow adatairól, mindenféle információval, beleértve - de nem kizárólag - folyamatokat, csomagokat és bájtot. Ezen felül beállíthat riasztásokat és megnézheti a korábbi adatokat is.

Az NFsen A projekt továbbra is nagyon aktív, és a szoftver letölthető a Sourceforge oldaláról. Bármely Unix / Linux rendszeren fut. Korábban be kell állítania a PHP-t, a PERL-t (a Perl Mail:: Header és Mail:: Internet modulokkal együtt), az RRD Tools modult és NFDump a rendszerre telepített eszközök a megfelelő használat érdekében.

6. pmGraph

pmGraph egy újabb kiváló nyílt forráskódú eszköz a sávszélesség ábrázolására és figyelésére. Úgy tervezték, hogy kiegészítse pmacct, egy hálózati megfigyelő és ellenőrző eszköz. A két szerszámot együtt szállítják Debian csomagként, és a pmGraph telepítésére vonatkozó utasítások leírják mindkét eszköz telepítését. A pmacct a Netflow vagy a Sflow segítségével gyűjti és figyeli a hálózati eszközökön (beleértve a tűzfalak, útválasztók és kapcsolók) adatbázisba, és lehetővé teszi a gyűjtött adatok elemzését a pmGraph.

pmGraph az Aptivate, a nemzetközi fejlesztési digitális ügynökség munkatársai és önkéntesei fejlesztették ki, hogy a rugalmas és hatékony eszköz a hálózati és rendszergazdák számára, fejlett felhasználóbarát grafikonokkal képességeit. Itt található a termék elsődleges funkcióinak lebontása:

• Felhasználóbarát és egyszerű felület
• Információkat jelenít meg a távoli és a helyi gépek, valamint a használt portok közötti kapcsolatokról
• Gazdagépnév felbontása DNS és DHCP szerverek segítségével
• Megmutatja egy adott IP-cím vagy port használatát
• Konfigurálható eredmények száma

pmGraph egy platformfüggetlen szoftver, amelyet Java-ban fejlesztettek ki és úgy tervezték, hogy egy olyan szervlet tárolóban működjön, mint például a Tomcat, amely az összes általános platformon elérhető. pmGraph nagyon könnyű, és csak 8 MB lemezterületet igényel. Ugyanakkor támaszkodik külső, tömeges programokra. Ha még nem rendelkezik Tomcat, Java és MySQL szerverrel, akkor ezeket is telepítenie kell, körülbelül 300 MB lemezterületet foglalva el, még mindig nem sok helyet. Ezek az összetevők telepítésre kerülnek, ha a csomagtelepítést használja, és az pmGraph telepíthető anélkül, hogy sokat megtanulna róluk.