5 beste tools voor diepe pakketinspectie in 2020

Netwerken zijn moeilijk te beheren en te bewaken. Het is begrijpelijk, netwerkverkeer vindt plaats binnen koperen bekabeling of optische vezels en is niet zichtbaar. Dit maakt het voor elke beheerder een beetje ingewikkeld om een ​​duidelijk en duidelijk beeld te hebben van wat er aan de hand is met de netwerken die ze beheren. Dit is waar netwerkbewaking binnenkomt. En als het gaat om netwerkbewaking, zijn er verschillende niveaus beschikbaar, die elk meer informatie over het verkeer bieden. Diepe pakketinspectie is het hoogste monitoringniveau dat de meeste informatie over netwerkverkeer biedt. Om diepgaande pakketinspectie uit te voeren, hebt u de juiste tools nodig - en vandaag bekijken we enkele van de beste tools voor diepe pakketinspectie.

Voordat we beginnen, zullen we proberen diepgaande pakketinspectie uit te leggen. Het lijkt erop dat iedereen een tegenstrijdig idee heeft van wat het is en wat het zou moeten zijn. De diepgaande pakketinspectie die ons vandaag interesseert, heeft te maken met netwerkmonitoring, een andere vage term. Om te proberen enig licht te werpen op dit onderwerp, bespreken we monitoring in het algemeen en flowanalyse in het bijzonder, aangezien dit een vorm van deep packet-inspectie vormt. En sindsdien

Cisco's NetFlow-technologie lijkt de meest voorkomende te zijn, we zullen er dieper op ingaan. Alleen dan zijn we klaar om te onthullen wat de beste tools zijn voor diepgaande pakketinspectie en om u een kort overzicht van elk te bieden.

Diepe pakketinspectie uitgelegd

Diepe pakketinspectie wordt gedefinieerd als de handeling, voor een netwerkinfrastructuurcomponent, van het analyseren van de inhoud van gegevens pakketten die verder gaan dan alleen naar de pakketkop kijken om statistieken te verzamelen over netwerkverkeer of om te filteren, prioritering of indringingsdetectie doeleinden. Hoewel deze definitie relatief nauwkeurig is, is deze een beetje algemeen. Bovendien kan wat diepgaande pakketinspectie is, variëren op basis van wat u probeert te bereiken. De diepgaande pakketinspectie die wordt gedaan voor het verzamelen van statistische gegevens, verschilt bijvoorbeeld van de diepe pakketinspectie die wordt uitgevoerd om wat verkeer uit te filteren. In de context van dit artikel zijn we vooral geïnteresseerd in het verzamelen van statistieken. De tools die we momenteel zullen beoordelen, zijn in wezen geavanceerde monitoringtools.

Over monitoringtools

Netwerkbewaking is, net als deep packet-inspectie, geen duidelijk gedefinieerde term. De meest elementaire vorm van netwerkbewaking is bandbreedtebewaking. Het wordt meestal gedaan met behulp van het Simple Network Management Protocol. Dit type bewaking is erg handig om een ​​duidelijk beeld te krijgen van het gebruik van uw netwerk, maar het heeft beperkingen. Hoewel het u het gemiddelde bandbreedtegebruik op een specifiek punt van het netwerk geeft, geeft het geen details over wat de bandbreedte verbruikt.

Om een ​​duidelijker beeld te krijgen van welk verkeer wordt vervoerd op een netwerk, moet je flow-analyse gebruiken. Flowanalyse gaat veel dieper dan bandbreedtebewaking en kan gedetailleerde informatie opleveren. Het vertrouwt op de netwerkapparaten zelf om verkeersinformatie te sturen naar bewakingssystemen, collectors en / of analysers genaamd, die stroomgegevens kunnen interpreteren en op zinvolle manieren kunnen presenteren. Met flowanalyse kunt u bijvoorbeeld zien hoe netwerkverkeer wordt verdeeld over alle bronnen en bestemming. Het zal u vertellen over welke protocollen en welke soorten verkeer worden gebruikt.

Flowanalyse kan worden beschouwd als een diepgaande pakketinspectie omdat het verder gaat dan alleen maar kijken de koptekst om kwalitatieve informatie te vinden over de feitelijke gegevens die worden vervoerd op een netwerk. De meest voorkomende van alle stroomanalysetechnologieën is ongetwijfeld Cisco's NetFlow. Laten we er dieper naar kijken.

Meer over NetFlow

NetFlow is oorspronkelijk ontwikkeld door Cisco Systems en geïntroduceerd op hun routers met als doel de mogelijkheid te bieden IP-netwerkverkeersinformatie te verzamelen wanneer deze een interface binnenkomt of verlaat. De oorspronkelijke bedoeling was om te worden gebruikt om betere toegangscontrolelijsten (ACL) op te bouwen. Het is sindsdien uitgegroeid tot een echt bewakingsschema en de stroomgegevens die door apparaten worden verzameld, worden nu geëxporteerd dIA.

De NetFlow-technologie bestaat uit in wezen drie componenten. De eerste is de stroomexporteur die pakketten samenvoegt tot stromen en stroomrecords exporteert naar een of meer stroomverzamelaars. Het volgende onderdeel, de stroomcollector, is verantwoordelijk voor de ontvangst, opslag en voorverwerking van de stroomgegevens die van het vorige onderdeel zijn ontvangen. Ten slotte wordt de stroomanalysator gebruikt om de ontvangen stroomgegevens te analyseren. Deze analyse kan onder andere worden gebruikt voor verkeersprofilering of het oplossen van netwerkproblemen. Veel moderne opstellingen combineren de stroomcollector en analyser tot één geïntegreerd onderdeel.

Hoe NetFlow werkt

Elk ander apparaat dat NetFlow ondersteunt, kan worden geconfigureerd om stroomgegevens uit te voeren in de vorm van stroomrecords en deze naar een NetFlow-verzamelaar te sturen. Een flow is een compleet gesprek in IP-zin. En er kunnen op elk moment veel stromen door één interface gaan. Het netwerkapparaat dat stroomrecords voorbereidt, verzendt deze naar de verzamelaar wanneer wordt vastgesteld dat de stroom is beëindigd, hetzij door veroudering of na beëindiging van een TCP-sessie.

Een typisch stroomrecord bevat behoorlijk wat informatie. Dit omvat de invoer- en uitvoerinterfaces, de start- en eindtijdstempels van de stroom, het aantal bytes en pakketten bevat, de headers van laag 3, het IP-adres van de bron en bestemming en het poortnummer, het IP-protocol en de TOS (Type Of Service) waarde. Stroomrecords bevatten niet de feitelijke gegevens waaruit de stroom bestond. Ze bevatten alleen informatie over de stroom. Dit is belangrijk vanuit veiligheidsoogpunt.

In de meeste omgevingen zijn de stroomcollectoren waar de records naartoe worden gestuurd vaak ook de stroomanalysatoren. Alleen zeer grote netwerken met meerdere sites zullen baat hebben bij het hebben van afzonderlijke verzamelaars over de verschillende sites. De verzamelaars en analysatoren gebruiken de informatie in stroomrecords om gegevens over netwerkverkeer te presenteren op een manier die nuttig is voor netwerkbeheerders. In feite zijn de belangrijkste onderscheidende factoren tussen de verschillende tools de manier waarop ze gegevens op een zinvolle manier kunnen begrijpen en presenteren.

De beste tools voor diepe pakketinspectie

Vanuit het oogpunt van monitoring is stroomanalyse een vorm van diepgaande pakketinspectie, dus de tools die we vandaag beoordelen, zijn inderdaad NetFlow-analysers. Velen van hen zullen meer doen dan dat, en sommige maken deel uit van een complete monitoringoplossing.

SolarWinds, in het onwaarschijnlijke geval dat u nog nooit van het bedrijf heeft gehoord, maakt enkele van de beste software voor netwerk- en systeembeheer. Een van de paradepaardjes van het product, de SolarWinds Network Performance Monitor, wordt door velen beschouwd als een van de beste netwerkbandbreedte monitoring tool. En SolarWinds maakt ook een aantal uitstekende gratis tools, die elk een specifieke taak van netwerkbeheerders aanpakken. Twee voorbeelden van die gratis tools zijn gratis geavanceerde subnet rekenmachine en een gratis syslog-server. En als het gaat om NetFlow-verkeersanalyse, is de SolarWinds NetFlow Traffic Analyzer (NTA) absoluut een van de beste NetFlow-verzamelaars en Analysers die u kunt vinden.

Een van de beste eigenschappen van het product is de SolarWinds NetFlow Traffic Analyzer kan het bandbreedtegebruik bewaken per toepassing, protocol en IP-adresgroep. Het kan niet alleen Cisco NetFlow controleren, maar ook Juniper J-Flow, sFlow, Huawei NetStream en IPFIX - een paar andere stromen analysetechnologieën op basis van NetFlow - om te bepalen welke applicaties en protocollen de hoogste bandbreedte zijn consumenten. De tool verzamelt verkeersgegevens, correleert deze in een bruikbaar formaat en presenteert ze aan de gebruiker op een webgebaseerd dashboard. Het product ondersteunt Cisco NBAR2 om te bepalen welke applicaties en categorieën de meeste bandbreedte verbruiken, waardoor u een nog betere zichtbaarheid van het netwerkverkeer krijgt.

De SolarWinds NetFlow Traffic Analyzer is een add-on voor de Network Performance Monitor (NPM). Als u nog geen NPM-licentie heeft, moet u daar rekening mee houden. Ze beginnen bij $ 2 955 voor maximaal 100 elementen. Wat de NTA-add-on betreft, de licentie moet overeenkomen met het aantal knooppunten van uw NPN-licentie en de prijzen beginnen bij $ 1915. Als u het product liever probeert voordat u een aankoop doet, is er een gratis proefversie verkrijgbaar bij SolarWinds.

• GRATIS PROEF: SolarWinds NetFlow Traffic Analyzer
• Officiële downloadlink: https://www.solarwinds.com/netflow-traffic-analyzer

Als u een oplossing op kleinere schaal nodig heeft, de SolarWinds Real-Time NetFlow Analyzer is misschien precies wat u nodig heeft. Dit is een van de beroemde gratis tools van SolarWind en hoewel het niet zo compleet is als de NetFlow Traffic Analyzer, biedt het u dezelfde basisfunctionaliteit.

Het kan stroomgegevens in realtime vastleggen en analyseren. En het laat u zien welk type verkeer op uw netwerk wordt vervoerd, waar het vandaan komt en waar het naartoe gaat. U kunt het ook - tot op zekere hoogte - gebruiken om verkeerspieken te diagnosticeren en bandbreedteproblemen op te lossen.

Het product laat u zien welke gebruikers, apparaten en applicaties de meeste bandbreedte verbruiken; isoleer netwerkverkeer door conversatie, app, domein, eindpunt en protocol; en bekijk netwerkverkeer op type en gespecificeerde tijdsperiodes

Je kunt natuurlijk niet verwachten dat deze gratis software alles doet wat zijn grote broer doet. Het heeft een aantal ernstige beperkingen en de primaire focus is de huidige en zeer recente staat van uw netwerk. Het verzamelt alleen gegevens van één NetFlow-interface en bewaart en analyseert alleen de laatste 60 minuten aan gegevens.

Als u een snel en vies beeld van uw bandbreedtegebruik nodig heeft, biedt de SolarWinds gratis Real-Time NetFlow Analyzer dit, maar niet veel meer.

• Gratis download: SolarWinds Real-Time NetFlow Analyzer
• Officiële downloadlink: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. ManageEngine NetFlow Analyzer

ManageEngine is een andere bekende naam op het gebied van netwerkbeheertools. Haar ManageEngine NetFlow Analyzer geeft netwerkbeheerders een gedetailleerd overzicht van het gebruik van netwerkbandbreedte en verkeerspatronen. Het product wordt bestuurd door een webgebaseerde interface en biedt een indrukwekkend aantal verschillende weergaven op uw netwerk.

Met het product kunt u bijvoorbeeld het verkeer bekijken per toepassing, per gesprek, per protocol en nog veel meer opties. Je hebt ook de mogelijkheid om waarschuwingen in te stellen om je te waarschuwen voor mogelijke problemen. U kunt bijvoorbeeld een verkeersdrempel instellen op een specifieke interface en worden gewaarschuwd wanneer deze wordt overschreden.

Maar de grootste troeven van deze tool zijn de rapporten en het dashboard. Het wordt geleverd met een aantal zeer nuttige vooraf gebouwde rapporten die op maat zijn gemaakt voor specifieke doeleinden zoals probleemoplossing, capaciteitsplanning of facturering. En hoe goed de ingebouwde rapporten ook zijn, de tool stelt beheerders ook in staat om aangepaste rapporten naar wens te maken.

Het dashboard van het product is net zo indrukwekkend als de rapporten. Het bevat verschillende cirkeldiagrammen met zaken als toptoepassingen, topprotocollen of topgesprekken. Het kan ook een soort warmtekaart weergeven met de status van de bewaakte interfaces. En net als de rapporten kan het dashboard ook worden aangepast zodat het alleen de informatie bevat die u nuttig vindt. Op het dashboard worden ook waarschuwingen weergegeven in de vorm van pop-ups. Netwerkbeheerders onderweg voelen zich niet buitengesloten omdat er een smartphone-app beschikbaar is en u toegang krijgt tot zowel het dashboard als de rapporten.

De ManageEngine NetFlow Analyzer ondersteunt de meeste stroomtechnologieën, waaronder NetFlow, IPFIX, J-flow, NetStream en enkele andere. Deze tool heeft ook een uitstekende integratie met Cisco-apparaten, met de mogelijkheid om traffic shaping en / of QoS-beleid rechtstreeks vanuit de tool aan te passen.

De ManageEngine NetFlow Analyzer komt in twee versies. Er is een gratis versie die beperkt is tot het bewaken van slechts twee interfaces van stromen. Hoewel dit niet veel is, is het misschien alles wat u nodig heeft. En met die gratis versie kun je de eerste 30 dagen onbeperkt apparaten gebruiken, zodat je een grondige testrun kunt uitvoeren. Zodra de proefperiode voorbij is, zijn licenties verkrijgbaar in verschillende formaten van 100 tot 2500 interfaces of stromen met prijzen vanaf ongeveer $ 600 plus jaarlijkse onderhoudskosten.

4. Paessler Router Traffic Grapher (PRTG)

PRTG van Paessler is een andere bekende alles-in-één oplossing met als primair doel het bewaken van het bandbreedtegebruik. Het wordt ook gebruikt om de beschikbaarheid en status van verschillende netwerkbronnen te controleren. Als zodanig is het een andere zeer nuttige tool voor netwerkbeheerders. Maar dankzij een NetFlow-sensor die beschikbaar is voor het product, PRTG kan ook dienen als een NetFlow-verzamelaar en -analysator.

Eigenlijk, PRTG is niet alleen een bandbreedtebewakingstool of een NetFlow-verzamelaar en -analysator. Het maakt gebruik van verschillende technologieën om systemen, apparaten, verkeer en applicaties te monitoren. Onder hen het product zal SNMP gebruiken met kant-en-klare en aangepaste opties, WMI- en Windows-prestatiemeteritems, SSH voor Linux / Unix- en MacOS-systemen, stromen - zoals NetFlow of sFlow - en pakketsnuffelen, HTTP-verzoeken, REST-API's die XML of JSON, Ping, SQL en nog veel meer retourneren meer.

Installeren PRTG is makkelijk. U voert gewoon het installatieprogramma uit, waarna het automatische detectieproces apparaten ontdekt en sensoren instelt. Het staat u dan vrij om handmatig extra sensoren - zoals NetFlow-collectors - toe te voegen. Er is zelfs een gedetailleerde video op de Paessler-website die je laat zien hoe het moet.

De server draait alleen op Windows, maar de gebruikersinterface is webgebaseerd en is toegankelijk vanuit elke browser. Er is ook een mobiele client-app die u op uw smartphone kunt installeren. De mobiele client-app heeft een unieke functie in de vorm van QR-labels die u op uw apparaten kunt afdrukken en aanbrengen. Vervolgens zal een scan van de code van de mobiele app snel de sensorgegevens van dat apparaat openen.

Twee versies van PRTG zijn beschikbaar. Er is een gratis versie die beperkt is tot 100 sensoren. Houd er rekening mee dat er een sensor in zit PRTG spraakgebruik is geen apparaat. Het is daarentegen het meest elementaire element dat kan worden bewaakt. Voor het bewaken van elke poort van een switch met 48 poorten zijn bijvoorbeeld 48 sensoren nodig en voor NetFlow-verzameling en -analyse is één sensor per stroomexporteur vereist. In dat tempo is het duidelijk dat 100 sensoren misschien niet zo veel zijn als ze voor het eerst verschenen. Als je meer dan 100 sensoren nodig hebt, moet je een licentie kopen. Ze zijn verkrijgbaar in 500, 1000, 2500 of 5000 sensoren en er is ook een onbeperkte licentie. De prijzen variëren van ongeveer $ 1600 tot iets minder dan $ 15.000. De gratis versie staat de eerste 30 dagen onbeperkte sensoren toe, zodat u kunt profiteren van een grondige testrit van het product.

5. Onderzoeker

De laatste op onze lijst is Onderzoeker van Plixer, nog een uitstekende NetFlow Analyzer. Het is eigenlijk veel meer dan dat en sommigen beschouwen het als een volledig systeem voor incidentrespons. Het product heeft de mogelijkheid om verschillende stroomtypes zoals NetFlow, J-flow, NetStream en IPFIX te bewaken, dus u bent niet beperkt tot het bewaken van alleen Cisco-apparaten.

Onderzoeker heeft een hiërarchisch ontwerp dat een gestroomlijnde en efficiënte gegevensverzameling biedt en waarmee u klein kunt beginnen en vervolgens kunt opschalen tot vele miljoenen stromen per seconde. Het netwerk krijgt vaak als eerste de schuld als er iets misgaat. Met deze tool kunt u snel de echte oorzaak van bijna elk netwerkprobleem vinden. Het product werkt met zowel fysieke als virtuele omgevingen en wordt geleverd met geavanceerde rapportagefuncties.

Onderzoeker is beschikbaar in vier licentieniveaus. Ze variëren van de standaard gratis versie tot het volwaardige SCR-niveau dat kan oplopen tot meer dan 10 miljoen stromen per seconde. De gratis versie is beperkt tot 10.000 stromen per seconde en het zal slechts ruwe stroomgegevens gedurende 5 uur bewaren, maar het zou meer dan genoeg moeten zijn om netwerkproblemen op te lossen. U kunt ook elke licentielaag 30 dagen proberen, waarna deze terugkeert naar de gratis versie.