6 Beste Open-Source NetFlow-software (GRATIS)

Er zijn verschillende soorten netwerkbewaking beschikbaar. Een van hen, misschien wel de meest voorkomende, is SNMP-bewaking. Het kan worden gebruikt om beheerders een vrij duidelijk beeld te geven van hoeveel gegevens worden overgedragen via de netwerken die ze beheren. Maar als ze een meer gedetailleerd beeld willen - zoals leren WAT het verkeer is in plaats van gewoon HOEVEEL dat er is - moeten ze een andere technologie gebruiken.

NetFlow, een door Cisco ontwikkelde bewakingstechnologie die een tijdje geleden op de apparaten van de fabrikant is geïntroduceerd, is de de facto standaard geworden als het gaat om kwalitatieve netwerkbewaking. NetFlow-monitoringtools kunnen duur zijn en buiten het bereik van veel kleinere bedrijven. Gelukkig zijn er verschillende open-source NetFlow-softwarepakketten beschikbaar en we staan ​​op het punt deze te herzien.

We beginnen onze reis door te kijken naar netwerkmonitoring in het algemeen. We zullen volgen met een discussie over de verschillende soorten monitoring, met specifieke aandacht voor

bandbreedtebewaking en verkeersanalyse. Vervolgens gaan we, zonder al te technisch te worden, dieper in op de NetFlow-technologie, wat het is en hoe het werkt.

We bespreken enkele vergelijkbare technologieën die ook beschikbaar zijn voordat we tot de kern van ons onderwerp komen, de daadwerkelijke open-source NetFlow-tools die beschikbaar zijn. Hoewel sommige tools relatief beperkt zijn in termen van wat ze kunnen bereiken of moeilijker te configureren zijn dan sommige betaalde pakketten, bieden ze allemaal een echt interessante functionaliteit.

Over netwerkbewaking

Netwerk verkeer lijkt veel op het wegverkeer. Net zoals netwerkcircuits kunnen worden beschouwd als snelwegen, zijn gegevens die via netwerken worden getransporteerd, als voertuigen die over die snelweg rijden. Maar in tegenstelling tot autoverkeer, waar u gewoon moet kijken of en wat er aan de hand is, kan het lastig zijn om te zien wat er op een netwerk gebeurt. Om te beginnen gaat alles heel snel en data getransporteerd op een netwerk is onzichtbaar voor het blote oog.

Met tools voor netwerkbewaking kunt u precies 'zien' wat er in uw netwerk gebeurt. Hiermee kunt u het gebruik van elk circuit meten en analyseren wie en wat er wordt verbruikt bandbreedte en verdiep u diep in netwerkgesprekken om te controleren of alles werkt normaal gesproken.

Verschillende soorten monitoringtools

Er zijn in feite drie hoofdtypen netwerkbewakingstools. Elk gaat iets dieper dan de vorige en geeft meer details over het verkeer. Ten eerste zijn er bandbreedtegebruiksmonitors. Deze tools zullen u vertellen hoeveel gegevens worden vervoerd op uw netwerk, maar dat is het dan ook.

Om meer informatie over het netwerk te krijgen, hebt u een ander type tool nodig, netwerkanalysatoren. Dat zijn tools die je wat informatie kunnen geven over wat er precies aan de hand is. Ze vertellen je niet alleen hoeveel verkeer er langs komt. Ze kunnen je ook vertellen wat type verkeer en tussen welke hosts het beweegt.

En voor het meeste detail heb je packet sniffers. Ze doen een diepgaande analyse door het vastleggen en decoderen van verkeer. Met de informatie die ze verstrekken, kunt u precies zien wat er aan de hand is en kunt u problemen met de grootste nauwkeurigheid vaststellen. Hoe nuttig ze ook zijn, ze vallen buiten het bestek van dit bericht.

Bandbreedtegebruikstools

De meeste monitoren voor bandbreedtegebruik zijn afhankelijk van het Simple Network Management Protocol, of SNMP, om apparaten te pollen en de hoeveelheid verkeer op alle of een deel van hun interfaces te krijgen. Met die gegevens maken ze vaak grafieken die het bandbreedtegebruik in de tijd weergeven. Doorgaans kunnen ze inzoomen op een smallere tijdsspanne waar de grafische resolutie hoog is en bijvoorbeeld wordt weergegeven Gemiddeld verkeer van 1 minuut of uitzoomen op een langere tijdsperiode - vaak tot een maand of zelfs een jaar - waar het dagelijks of wekelijks wordt weergegeven gemiddelden.

Network Traffic Analysis Tools

Als u meer wilt weten dan de hoeveelheid voorbijgaand verkeer, dan heeft u dat nodig een meer geavanceerd bewakingssysteem. Wat u nodig heeft, is wat we een netwerkanalysesysteem noemen. Deze systemen vertrouwen op software die is ingebouwd in netwerkapparatuur om ze gedetailleerde gebruiksgegevens te sturen. Deze systemen kunnen doorgaans de beste sprekers en luisteraars weergeven, gebruik per bron- of bestemmingsadres, gebruik per protocol of per applicatie en diverse andere nuttige informatie over wat er gaande is.

Sommige systemen gebruiken softwareagents die u op doelsystemen moet installeren, maar de meeste vertrouwen in plaats daarvan op standaardprotocollen zoals NetFlow, IPFIX of sFlow. Deze zijn meestal ingebouwd in apparatuur en klaar voor gebruik zodra ze zijn geconfigureerd.

NetFlow in een notendop

NetFlow is ontwikkeld door Cisco Systems en werd geïntroduceerd op hun routers om IP-netwerkverkeer te verzamelen wanneer het een interface binnenkomt of verlaat. De verzamelde gegevens wordt vervolgens geanalyseerd door netwerkbeheerders om de bron en bestemming van het verkeer, de serviceklasse en de oorzaken van congestie te helpen bepalen. De NetFlow-technologie bestaat uit drie hoofdcomponenten:

• De stroomexporteur voegt pakketten samen tot stromen en exporteert stroomrecords naar een of meer stroomverzamelaars. Dit is het onderdeel dat wordt uitgevoerd op de bewaakte apparaten.
• Wat betreft de stroomcollector, is het verantwoordelijk voor de ontvangst, opslag en voorverwerking van stroomgegevens ontvangen van een stroomexporteur.
• Last but not least is de flow analyser een applicatie die wordt gebruikt om ontvangen flow data te analyseren. Analyse kan worden gebruikt voor verkeersprofilering of voor het oplossen van netwerkproblemen.

Hoe het werkt

Routers, schakelaars en elk ander apparaat dat NetFlow ondersteunt, kan worden geconfigureerd om stroomgegevens uit te voeren in de vorm van stroomrecords en deze naar een NetFlow-verzamelaar te sturen. Een flow is een compleet gesprek in IP-zin. Het apparaat dat stroomrecords voorbereidt, stuurt deze normaal gesproken naar de verzamelaar wanneer wordt vastgesteld dat de stroom is voltooid ofwel door veroudering - er is geen verkeer binnen een specifieke time-out - of wanneer het een TCP-sessie ziet beëindiging.

Het stroomrecord bevat veel informatie over de stroom. Het bevat de invoer- en uitvoerinterfaces, de start- en eindtijdstempels van de stroom, het aantal bytes en pakketten het bevat, de headers van laag 3, het IP-adres van de bron en de bestemming en het poortnummer, het IP-protocol en de TOS waarde. Stroomrecords bevatten niet de feitelijke gegevens waaruit de stroom bestond. De enige bevatten informatie over de stroom. Dit is belangrijk vanuit veiligheidsoogpunt.

Behalve in enorme omgevingen met meerdere locaties, zijn de stroomcollectoren waar de records naartoe worden gestuurd vaak ook de stroomanalysatoren. Ze gebruiken de informatie in stroomrecords om gegevens over netwerkverkeer te presenteren op een manier die handig is voor netwerkbeheerders. Verschillende NetFlow-verzamelaars en -analysatoren kunnen op verschillende manieren gegevens presenteren. Dit is waar onze lijst met de beste NetFlow-verzamelaars en -analysatoren van pas zal komen.

Andere vergelijkbare technologieën

Er bestaan ​​verschillende versies en aanpassingen van NetFlow en sommige zijn bekend onder een andere naam. Veel daarvan worden zelfs gebruikt onder licentie van Cisco. Er zijn ook echte alternatieven voor NetFlow, de twee bekendste zijn sFlow en IPFIX. De laatste is sterk gebaseerd op de nieuwste versie van NetFlow, behalve dat het een IETF-standaard is. Er zijn zelfs veel redenen om aan te nemen dat Cisco uiteindelijk zelfs NetFlow kan vervangen door IPFIX. Wat sFlow betreft, het is een ander, concurrerend systeem. Het doel en de algemene werkingsprincipes zijn vergelijkbaar maar verschillend. Sommige NetFlow-analysers werken ook met sFlow, maar in het algemeen gebruikers van de een gebruiken de ander niet.

De beste open-source NetFlow-software

SolarWinds is een van de bekendste spelers op het gebied van tools voor netwerkbeheer. Het bedrijf bestaat al zo'n 20 jaar, brengen ons enkele van de beste tools voor netwerkbeheer. Het heeft ook verworven een solide reputatie voor het maken van geweldige gratis tools die, hoewel ze soms beperkt zijn in functies, nog steeds uitstekende tools zijn. Een voorbeeld van zo'n tool is de vrij Realtime NetFlow-analysator. Hoewel dit geen open source-tool is, is het dat wel is volledig gratis en is de moeite waard om te bekijken. Deze tool is mogelijk niet net zo compleet en volledig uitgerust als zijn grote broer, de SolarWinds NetFlow Traffic Analyzer, dit product geeft u dezelfde basisfunctionaliteit.

• GRATIS DOWNLOAD: SolarWinds Real-time NetFlow Analyzer
• Officiële downloadlink: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration

Het gereedschap kan Appflow-, NetFlow-, JFlow- en sFlow-gegevens in realtime vastleggen en analyseren. En het laat je precies zien wat voor soort verkeer er op je netwerk is, waar het vandaan komt en waar het naartoe gaat. U kunt het ook gebruiken om verkeerspieken te diagnosticeren en bandbreedteproblemen op te lossen.

Hier zijn enkele van de Realtime NetFlow-analysator’S belangrijkste kenmerken:

• Bepaal welke gebruikers, apparaten en applicaties de meeste bandbreedte verbruiken
• Isoleer netwerkverkeer door conversatie, app, domein, eindpunt en protocol
• Bekijk netwerkverkeer op type en gespecificeerde tijdsperiodes

De tool, zoals de meeste andere SolarWinds gereedschap, eenvoudig te installeren via een standaard Windows installatiewizard. En eenmaal geïnstalleerd, wordt een NetFlow-configurator meegeleverd naar je helpen met de configuratie van apparaten die verschillende NetFlow-varianten ondersteunen.

Deze gratis software heeft enkele beperkingen in vergelijking met zijn grotere broer, hoewel. Bijvoorbeeld its primaire focus is de huidige en recente status van uw netwerk. Als zodanig kan het slechts gegevens verzamelen van één NetFlow-interface en zal het alleen de laatste 60 minuten aan gegevens bewaren en analyseren.

2. FlowScan

FlowScan is een soort visualisatietool die u gewoonlijk gebruikt om NetFlow-gegevens te analyseren en erover te rapporteren. Het kan visuele grafieken produceren die in bijna realtime worden gegenereerd en die u de huidige status van uw netwerk laten zien. FlowScan kan worden ingezet op de meeste GNU / Linux- of BSD-systemen. Het is afhankelijk van verschillende andere pakketten om stromen correct te verzamelen en te verwerken. Cflowd wordt bijvoorbeeld gebruikt als de stroomcollector. FlowScan bestaat voornamelijk uit een Perl-script dat het grootste deel van het softwarepakket uitmaakt. Dit onderdeel is verantwoordelijk voor het laden en uitvoeren van rapporten. Een ander belangrijk onderdeel van de software is RRDtool, een populaire tool die wordt gebruikt voor het opslaan van gegevens in round-robin-databases en het plotten van die gegevens op grafieken. FlowSanc gebruikt het om stroominformatie op te slaan en bruikbare grafieken te produceren.

Netwerkbeheerders realiseren zich vaak dat ze ofwel te weinig of te veel gegevens hebben verzameld. Flowprofilering, zoals beschikbaar in FlowScan, biedt een interessant compromis tussen deze extremen bij het verzamelen van gegevens. Omdat stromen geaggregeerde gegevens verzamelen die worden verzameld als pakketten zich verplaatsen over een bepaalde poort of interface, kunnen ze worden gebruikt als een soort samenvatting voor reeksen pakketten die reizen tussen interessante eindpunten. Deze functie alleen is echter onvoldoende voor betrouwbaar continu gebruik. Er zijn aanvullende softwaretools nodig om deze stromen te definiëren, te ontleden en te analyseren. Die extra tools zijn inbegrepen bij FlowScan.

3. nProbe en ntopng

nProbe en ntopng zijn enigszins geavanceerde - en dus enigszins gecompliceerde - open source tools. Ntopng is een webgebaseerde verkeersanalysetool voor het monitoren van netwerken op basis van stroomgegevens terwijl nProbe is een exporteur en verzamelaar van NetFlow en IPFIX. Samen zorgen ze voor een zeer flexibel analysepakket. Als je eerder Linux-netwerken hebt beheerd, ben je misschien al bekend met ntop. In dat geval zult u blij zijn te weten dat ntopng een GUI-versie van de volgende generatie is van deze tijdloze tool.

Er is een gratis communityversie van ntopng u kunt echter ook een bedrijfsversie van het product kopen. Het kan duur zijn, maar het is gratis voor educatieve en non-profitorganisaties. Wat betreft nProbe, u kunt het gratis proberen, maar het is beperkt tot een totaal van 25.000 geëxporteerde stromen. Om verder te gaan, moet u een licentie kopen.

Zoals de meeste moderne netwerkanalysetools, beschikt ntopng over een webgebaseerde gebruikersinterface die gegevens kan presenteren door verkeer, zoals topsprekers, stromen, hosts, apparaten en interfaces. Het heeft een mix van grafieken, tabellen en grafieken, waarvan de meeste voorzien zijn van drill-down-opties waarmee u ze dieper kunt verkennen. De gebruikersinterface is zeer flexibel en laat veel maatwerk toe.

4. Flow-tools

Flow-tools is een toolset voor het werken met NetFlow-gegevens. Om precies te zijn, het is een bibliotheek gecombineerd met een verzameling programma's die worden gebruikt voor het verzamelen, verzenden, verwerken en genereren van rapporten op basis van NetFlow-gegevens. De tools kunnen samen worden gebruikt op een enkele server of worden gedistribueerd naar meerdere servers voor grotere implementaties. De Flow-tools bibliotheek biedt ook een API voor de ontwikkeling van aangepaste toepassingen voor NetFlow-exportversies 1, 5, 6 en de 14 momenteel gedefinieerde subversies van versie 8.

Dit project is een splitsing van het oude en grotendeels ter ziele gegane OSU flow-tools project. dit is niet het meest actieve project dat er is en de laatste versie dateert van ongeveer negen jaar geleden. Als u echter op zoek bent naar een eenvoudig hulpmiddel en bereid bent de nodige inspanningen te leveren om het in te stellen, kan dit een goed hulpmiddel zijn om te overwegen.

5. NFsen / NFDump

NFsen, wat een afkorting is voor Netflow Sensor, is een webgebaseerde front-end tool voor nfdump. Het wordt meestal gebruikt om een ​​mooie en gebruiksvriendelijke grafische afbeelding weer te geven van de gegevens die nfdump genereert, inclusief NetFlow-gegevens. U hebt de mogelijkheid om rapporten van uw NetFlow-gegevens te genereren met allerlei soorten informatie, inclusief, maar niet beperkt tot, stromen, pakketten en bytes met behulp van de RRD-databasetool. Bovendien kunt u ook waarschuwingen instellen en historische gegevens bekijken.

De NFsen project is nog steeds erg actief en de software kan worden gedownload vanaf de Sourceforge-pagina. Het werkt op alle Unix / Linux-systemen. U moet eerder PHP, PERL (samen met Perl Mail:: Header en Mail:: Internet-modules), RRD Tools-module en NFDump tools die op uw systeem zijn geïnstalleerd om het correct te gebruiken.

6. pmGraph

pmGraph is weer een uitstekende open-source tool voor het in kaart brengen en bewaken van bandbreedte. Het is ontworpen als aanvulling pmacct, een tool voor netwerkbewaking en -controle. De twee tools worden samen geleverd als een Debian-pakket, en instructies voor het installeren van pmGraph hebben betrekking op de installatie van beide tools. pmacct verzamelt en controleert het verkeer met Netflow of Sflow op netwerkapparaten (inclusief firewalls, routers en switches) in een database en maakt analyse van de verzamelde gegevens mogelijk pmGraph.

pmGraph is ontwikkeld door medewerkers en vrijwilligers van Aptivate, het digitale bureau voor internationale ontwikkeling, om een flexibele en krachtige tool voor netwerk- en systeembeheerders, met geavanceerde gebruiksvriendelijke grafieken mogelijkheden. Hier volgt een overzicht van de belangrijkste functies van het product:

• Gebruiksvriendelijke en eenvoudige interface
• Geeft informatie weer over de verbindingen tussen externe en lokale machines en gebruikte poorten
• Hostnaamomzetting met DNS- en DHCP-servers
• Toont het gebruik voor een specifiek IP-adres of poort
• Configureerbaar aantal resultaten

pmGraph is platformonafhankelijke software die is ontwikkeld in Java en is ontworpen om te werken in een servlet-container zoals Tomcat, die beschikbaar is voor alle gangbare platforms. pmGraph is zeer licht van gewicht en vereist slechts 8 MB schijfruimte. Het is echter afhankelijk van externe, omvangrijkere programma's. Als je nog geen Tomcat-, Java- en MySQL-server hebt, zul je ze ook moeten installeren, met tot 300 MB schijfruimte, nog steeds niet veel ruimte. Deze componenten worden voor u geïnstalleerd als u de pakketinstallatie gebruikt en u kunt pmGraph installeren zonder er veel over te leren.