5 migliori strumenti per l'ispezione approfondita dei pacchetti nel 2020

Le reti sono difficili da gestire e monitorare. È comprensibile, il traffico di rete si verifica all'interno del cablaggio in rame o delle fibre ottiche e non può essere visto. Questo rende un po 'complicato per qualsiasi amministratore avere un quadro chiaro e definito di ciò che sta succedendo con le reti che gestiscono. È qui che entra in gioco il monitoraggio della rete. E quando si tratta di monitoraggio della rete, sono disponibili diversi livelli, ognuno dei quali fornisce maggiori informazioni sul traffico. L'ispezione approfondita dei pacchetti è il massimo livello di monitoraggio che fornisce la maggior parte delle informazioni sul traffico di rete. Per eseguire l'ispezione approfondita dei pacchetti, sono necessari strumenti adeguati e oggi stiamo esaminando alcuni dei migliori strumenti per l'ispezione approfondita dei pacchetti.

Prima di iniziare, proveremo a spiegare l'ispezione approfondita dei pacchetti. Sembra che tutti abbiano un'idea contrastante di cosa sia e cosa dovrebbe essere. L'ispezione approfondita dei pacchetti che ci interessa oggi ha a che fare con il monitoraggio della rete, un altro termine vago. Per cercare di far luce sull'argomento, discuteremo del monitoraggio in generale e dell'analisi del flusso in particolare in quanto costituisce una forma di ispezione approfondita dei pacchetti. E da allora

Tecnologia NetFlow di Cisco sembra essere il più diffuso, lo vedremo più da vicino. Solo allora saremo pronti a rivelare quali sono i migliori strumenti per l'ispezione approfondita dei pacchetti e offrirvi una breve revisione di ciascuno.

Spiegazione dell'ispezione dei pacchetti profondi

L'ispezione approfondita dei pacchetti è definita come l'atto, per un componente di infrastruttura di rete, dell'analisi del contenuto dei dati pacchetti oltre la semplice visualizzazione dell'intestazione del pacchetto per raccogliere statistiche sul traffico di rete o per filtrare, definizione delle priorità o scopi di rilevamento delle intrusioni. Mentre questa definizione è relativamente accurata, è un po 'generica. Inoltre, ciò che è l'ispezione approfondita dei pacchetti può variare in base a ciò che si sta tentando di realizzare. L'ispezione approfondita dei pacchetti effettuata a fini di raccolta di statistiche, ad esempio, è diversa dall'ispezione approfondita dei pacchetti eseguita per filtrare un po 'di traffico. Nel contesto di questo articolo, ciò che ci interessa è principalmente la raccolta di statistiche. Gli strumenti che esamineremo momentaneamente sono essenzialmente strumenti di monitoraggio avanzati.

Informazioni sugli strumenti di monitoraggio

Il monitoraggio della rete, proprio come l'ispezione approfondita dei pacchetti, non è un termine chiaramente definito. La forma più semplice di monitoraggio della rete è il monitoraggio della larghezza di banda. In genere viene eseguito utilizzando il protocollo di gestione della rete semplice. Questo tipo di monitoraggio è molto utile per avere un quadro chiaro dell'utilizzo della rete ma presenta dei limiti. Sebbene fornisca l'utilizzo medio della larghezza di banda in un punto specifico della rete, non fornirà dettagli su ciò che sta utilizzando la larghezza di banda.

Per un quadro più chiaro del traffico trasportato su una rete, è necessario utilizzare l'analisi del flusso. L'analisi del flusso va molto più in profondità del monitoraggio della larghezza di banda e può fornire informazioni dettagliate. Si affida ai dispositivi di rete stessi per inviare informazioni sul traffico a sistemi di monitoraggio chiamati collettori e / o analizzatori che possono interpretare i dati di flusso e presentarli in modo significativo. L'analisi del flusso, ad esempio, ti permetterà di vedere come il traffico di rete è distribuito tra tutte le fonti e destinazione. Ti dirà su quali protocolli e quali tipi di traffico vengono utilizzati.

L'analisi del flusso può essere considerata come un'ispezione approfondita dei pacchetti in quanto va oltre la semplice osservazione l'intestazione per trovare informazioni qualitative sui dati reali che vengono trasportati su a Rete. La più comune di tutte le tecnologie di analisi del flusso è sicuramente NetFlow di Cisco. Diamo un'occhiata più da vicino.

Maggiori informazioni su NetFlow

NetFlow è stato originariamente sviluppato da Cisco Systems e introdotto sui loro router con l'obiettivo di fornire la capacità di raccogliere informazioni sul traffico della rete IP quando entra o esce da un'interfaccia. Il suo intento originale doveva essere utilizzato per creare elenchi di controllo di accesso (ACL) migliori. Da allora si è espanso in un vero schema di monitoraggio e i dati di flusso raccolti dai dispositivi vengono ora esportati dia.

La tecnologia NetFlow è composta essenzialmente da tre componenti. Il primo è l'esportatore di flusso che aggrega i pacchetti in flussi ed esporta i record di flusso verso uno o più raccoglitori di flusso. Il componente successivo, il raccoglitore di flusso, è responsabile della ricezione, archiviazione e pre-elaborazione dei dati di flusso ricevuti dal componente precedente. Infine, l'analizzatore di flusso viene utilizzato per analizzare i dati di flusso ricevuti. Questa analisi può essere utilizzata per la profilazione del traffico o per la risoluzione dei problemi di rete, tra gli altri usi. Molte configurazioni moderne combinano il collettore di flusso e l'analizzatore in un unico componente integrato.

Come funziona NetFlow

Qualsiasi altro dispositivo che supporti NetFlow può essere configurato per emettere dati di flusso sotto forma di record di flusso e inviarli a un raccoglitore NetFlow. Un flusso è una conversazione completa in senso IP. E potrebbero esserci molti flussi che attraversano un'interfaccia in un dato momento. Il dispositivo di rete che prepara i record di flusso li invia al raccoglitore quando determina, tramite l'invecchiamento o la visualizzazione di una chiusura della sessione TCP, che il flusso è terminato.

Un tipico record di flusso contiene molte informazioni. Ciò include le interfacce di input e output, i timestamp di inizio e fine del flusso, il numero di byte e i pacchetti contiene, le intestazioni di livello 3, l'indirizzo IP di origine e destinazione e il numero di porta, il protocollo IP e il TOS (Tipo di servizio) valore. I record di flusso non contengono i dati effettivi che hanno costituito il flusso. Contengono solo informazioni sul flusso. Questo è importante dal punto di vista della sicurezza.

Nella maggior parte degli ambienti, i collettori di flusso a cui vengono inviati i record sono spesso anche gli analizzatori di flusso. Solo reti molto grandi e multi-sito trarranno vantaggio dalla distribuzione di collettori separati nei vari siti. I raccoglitori e gli analizzatori utilizzano le informazioni contenute nei record di flusso per presentare i dati sul traffico di rete in modo utile per gli amministratori di rete. In effetti, i principali fattori distintivi tra i diversi strumenti è il modo in cui possono dare un senso e presentare i dati in modo significativo.

I migliori strumenti per l'ispezione profonda dei pacchetti

Dal punto di vista del monitoraggio, l'analisi del flusso è un'ispezione approfondita dei pacchetti, quindi gli strumenti che stiamo esaminando oggi sono in effetti gli analizzatori NetFlow. Molti di loro faranno di più, anche se alcuni fanno parte di una soluzione di monitoraggio completa.

SolarWinds, nel caso improbabile che tu non abbia mai sentito parlare dell'azienda, produce alcuni dei migliori software per l'amministrazione di reti e sistemi. Uno dei suoi prodotti di punta, SolarWinds Network Performance Monitor, è considerato da molti uno dei migliori strumento di monitoraggio della larghezza di banda della rete. E SolarWinds offre anche alcuni eccellenti strumenti gratuiti, ciascuno indirizzato a un compito specifico degli amministratori di rete. Due esempi di quegli strumenti gratuiti sono un avanzato gratuito calcolatrice di sottorete e un libero server syslog. E quando si tratta di analisi del traffico NetFlow, il SolarWinds NetFlow Traffic Analyzer (NTA) è sicuramente uno dei migliori raccoglitori e analizzatori NetFlow che puoi trovare.

Tra le migliori caratteristiche del prodotto, il Analizzatore del traffico NetFlow di SolarWinds può monitorare l'utilizzo della larghezza di banda per applicazione, protocollo e gruppo di indirizzi IP. Può monitorare non solo Cisco NetFlow ma anche Juniper J-Flow, sFlow, Huawei NetStream e IPFIX, alcuni altri flussi tecnologie di analisi basate su NetFlow — per identificare quali applicazioni e protocolli sono la larghezza di banda massima consumatori. Lo strumento raccoglie i dati sul traffico, li mette in correlazione in un formato utilizzabile e li presenta all'utente su una dashboard basata sul Web. Il prodotto supporta Cisco NBAR2 per identificare quali applicazioni e categorie consumano più larghezza di banda, offrendo una visibilità del traffico di rete ancora migliore.

Il Analizzatore del traffico NetFlow di SolarWinds è un componente aggiuntivo di Network Performance Monitor (NPM). Se non possiedi già una licenza NPM, dovrai tenerne conto. Iniziano a $ 2 955 per un massimo di 100 elementi. Per quanto riguarda il componente aggiuntivo NTA, la sua licenza deve corrispondere al numero di nodi della licenza NPN e i prezzi partono da $ 1 915. Se preferisci provare il prodotto prima di impegnarti in un acquisto, è disponibile una versione di prova gratuita di SolarWinds.

• PROVA GRATUITA: Analizzatore del traffico NetFlow di SolarWinds
• Link per il download ufficiale: https://www.solarwinds.com/netflow-traffic-analyzer

Se hai bisogno di una soluzione su scala ridotta, il Analizzatore NetFlow in tempo reale di SolarWinds potrebbe essere proprio quello di cui hai bisogno. Questo è uno dei famosi strumenti gratuiti di SolarWind e, sebbene non sia così completo come NetFlow Traffic Analyzer, offre alcune delle stesse funzionalità di base.

Può acquisire e analizzare i dati di flusso in tempo reale. E ti mostrerà il tipo di traffico trasportato sulla tua rete, da dove proviene e dove sta andando. Puoi anche utilizzarlo, in una certa misura, per diagnosticare picchi di traffico e risolvere i problemi di larghezza di banda.

Il prodotto ti permetterà di identificare quali utenti, dispositivi e applicazioni stanno consumando più larghezza di banda; isolare il traffico di rete mediante conversazione, app, dominio, endpoint e protocollo; e visualizzare il traffico di rete per tipo e periodi di tempo specificati

Ovviamente, non puoi aspettarti che questo software gratuito faccia tutto ciò che fa il suo fratello maggiore. Presenta alcune gravi limitazioni e il suo obiettivo principale è lo stato attuale e molto recente della rete. Raccoglierà dati solo da un'interfaccia NetFlow e manterrà e analizzerà solo gli ultimi 60 minuti di dati.

Se hai bisogno di una visione veloce e sporca dell'utilizzo della larghezza di banda, l'analizzatore NetFlow in tempo reale gratuito di SolarWinds lo fornirà, ma non molto di più.

• Download gratuito: Analizzatore NetFlow in tempo reale di SolarWinds
• Link per il download ufficiale: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. ManageEngine NetFlow Analyzer

ManageEngine è un altro nome ben noto nel campo degli strumenti di gestione della rete. Suo ManageEngine NetFlow Analyzer offre agli amministratori di rete una visione dettagliata dell'utilizzo della larghezza di banda della rete e dei modelli di traffico. Il prodotto è controllato da un'interfaccia basata sul Web e offre un numero impressionante di diverse visualizzazioni sulla rete.

Ad esempio, il prodotto ti consentirà di visualizzare il traffico per applicazione, conversazione, protocollo e molte altre opzioni. Hai anche la possibilità di impostare avvisi per avvisarti di potenziali problemi. Ad esempio, è possibile impostare una soglia di traffico su un'interfaccia specifica ed essere avvisato ogni volta che viene superato.

Ma i maggiori punti di forza di questo strumento sono i suoi report e dashboard. Viene fornito con numerosi report predefiniti molto utili personalizzati per scopi specifici come risoluzione dei problemi, pianificazione della capacità o fatturazione. E buono come i suoi report integrati, lo strumento consente anche agli amministratori di creare report personalizzati a loro piacimento.

La dashboard del prodotto è impressionante quanto i suoi rapporti. Include diversi grafici a torta con elementi quali le migliori applicazioni, i principali protocolli o le migliori conversazioni. Può anche visualizzare una sorta di mappa di calore con lo stato delle interfacce monitorate. E proprio come i report, la dashboard può anche essere personalizzata per includere solo le informazioni che ritieni utili. Il dashboard è anche il punto in cui gli avvisi vengono visualizzati sotto forma di popup. L'amministratore di rete in movimento non si sentirà escluso poiché è disponibile un'app per smartphone e ti darà accesso sia alla dashboard che ai rapporti.

Il ManageEngine NetFlow Analyzer supporta la maggior parte delle tecnologie di flusso tra cui NetFlow, IPFIX, J-flow, NetStream e alcune altre. Questo strumento vanta anche un'eccellente integrazione con i dispositivi Cisco, con la possibilità di regolare le politiche di traffic shaping e / o QoS direttamente dallo strumento.

Il ManageEngine NetFlow Analyzer è disponibile in due versioni. Esiste una versione gratuita che si limita a monitorare solo due interfacce di flussi. Anche se questo non è molto, potrebbe essere tutto ciò di cui hai bisogno. E quella versione gratuita consentirà dispositivi illimitati per i primi 30 giorni, dandoti la possibilità di eseguire un test completo. Al termine del periodo di prova, le licenze sono disponibili in diverse dimensioni da 100 a 2500 interfacce o flussi con prezzi a partire da circa $ 600 più spese di manutenzione annuali.

4. Paessler Router Traffic Grapher (PRTG)

PRTG di Paessler è un'altra nota soluzione all-in-one il cui scopo principale è il monitoraggio dell'utilizzo della larghezza di banda. Viene anche utilizzato per monitorare la disponibilità e lo stato di diverse risorse di rete. In quanto tale, è un altro strumento molto utile per gli amministratori di rete. Ma grazie a un sensore NetFlow disponibile per il prodotto, PRTG può anche fungere da raccoglitore e analizzatore NetFlow.

Infatti, PRTG non è solo uno strumento di monitoraggio della larghezza di banda o un raccoglitore e analizzatore NetFlow. Utilizza diverse tecnologie per monitorare sistemi, dispositivi, traffico e applicazioni. Tra questi il ​​prodotto utilizzerà SNMP con opzioni pronte all'uso e personalizzate, contatori delle prestazioni WMI e Windows, SSH per sistemi Linux / Unix e MacOS, flussi - come NetFlow o sFlow - e sniffing dei pacchetti, richieste HTTP, API REST che restituiscono XML o JSON, Ping, SQL e molti Di Più.

Installazione PRTG è facile. È sufficiente eseguire il programma di installazione, quindi il processo di rilevamento automatico rileverà i dispositivi e configurerà i sensori. Sei quindi libero di aggiungere altri sensori, come i collezionisti NetFlow, manualmente. C'è anche un video dettagliato sul sito web di Paessler che ti mostrerà come è stato fatto.

Il server funziona solo su Windows, ma la sua interfaccia utente è basata sul web ed è possibile accedervi da qualsiasi browser. Esiste anche un'app client mobile che puoi installare sul tuo smartphone. L'app client mobile ha una funzione unica sotto forma di etichette QR che puoi stampare e apporre sui tuoi dispositivi. Quindi, una scansione del codice dall'app mobile aprirà rapidamente i dati del sensore di quel dispositivo.

Due versioni di PRTG sono disponibili. Esiste una versione gratuita che è limitata a 100 sensori. Essere consapevoli del fatto che un sensore in PRTG parlance non è un dispositivo. È invece l'elemento più basilare che può essere monitorato. Ad esempio, il monitoraggio di ciascuna porta di uno switch a 48 porte richiede 48 sensori e la raccolta e l'analisi NetFlow richiedono un sensore per esportatore di flusso. A quel ritmo, è ovvio che 100 sensori potrebbero non essere così come apparivano per la prima volta. Se hai bisogno di più di 100 sensori, dovrai acquistare una licenza. Sono disponibili in 500, 1000, 2500 o 5000 sensori e c'è anche una licenza illimitata. I prezzi variano da circa $ 1 600 a poco meno di $ 15000. La versione gratuita consentirà sensori illimitati per i primi 30 giorni in modo da poter beneficiare di un test drive completo del prodotto.

5. Scrutinizer

L'ultimo sulla nostra lista è Scrutinizer da Plixer, un altro eccellente analizzatore NetFlow. In realtà è molto più di questo e alcuni lo vedono come un sistema completo di risposta agli incidenti. Il prodotto ha la capacità di monitorare diversi tipi di flusso come NetFlow, J-flow, NetStream e IPFIX in modo da non limitarsi al monitoraggio solo dei dispositivi Cisco.

Scrutinizer vanta un design gerarchico che offre una raccolta di dati semplificata ed efficiente e consente di iniziare in piccolo e quindi scalare fino a molti milioni di flussi al secondo. La rete viene spesso incolpata per la prima volta ogni volta che qualcosa va storto. Con questo strumento puoi trovare rapidamente la vera causa di quasi tutti i problemi di rete. Il prodotto funziona con ambienti sia fisici che virtuali e presenta funzionalità di reporting avanzate.

Scrutinizer è disponibile in quattro livelli di licenza. Esse vanno dalla versione base gratuita al livello SCR a tutti gli effetti che può scalare fino a oltre 10 milioni di flussi al secondo. La versione gratuita è limitata a 10 mila flussi al secondo e manterrà i dati di flusso non elaborati per 5 ore, ma dovrebbe essere più che sufficiente per risolvere i problemi di rete. Puoi anche provare qualsiasi livello di licenza per 30 giorni, dopo di che tornerà alla versione gratuita.