5 beste verktøy for trafikkmønsteranalyse og hvordan det hjelper din virksomhet

Trafikkmønsteranalyse er en prosess som lar nettverksadministratorer og ledere få en utmerket skildring av ikke bare hvor mye et nettverk blir brukt, men enda viktigere, HVORDAN det brukes. Det er en ting å vite at et gitt nettverkssegment lider av overbelastning, men det er en annen - og mye mer nyttig - en for å lære hva som forårsaker den overbelastningen. Og uten den informasjonen, er det eneste alternativet for å fikse overbelastningen å kaste mer båndbredde på den. Men båndbredde er dyrt, og det er absolutt bedre måter å ta tak i denne typen problemer. Trafikkmønsteranalyse kan inneholde svaret, og i dag vurderer vi de beste verktøyene du kan bruke.

Vi begynner reisen vår til trafikkmønsteranalyse med noen nyttige teorier. Vi skal først se nærmere på hva trafikkmønsteranalyse er. Dette er viktig, da det er det som vil bidra til å definere hva som utgjør et verktøy for trafikkmønsteranalyse. Vi vil deretter diskutere NetFlow og andre flytrapporteringssystemer og protokoller da de er kjernen i de fleste verktøy for trafikkmønsteranalyse. Vi skal først se på Ciscos NetFlow-protokoll og dens flere varianter, før vi ser på S-Flow, en konkurrerende protokoll som er noe annerledes i hvordan den fungerer. Bevæpnet med all denne informasjonen, er vi klare til å gjennomgå de beste verktøyene for trafikkanalyse vi kan finne.

Trafikkmønsteranalyse i et nøtteskall

I sitt enkleste uttrykk er nettverkstrafikkmønsteranalyse prosessen med å registrere, gjennomgå og / eller analysere nettverkstrafikk med tanke på ytelse, sikkerhet og / eller generell nettverksdrift og ledelse. Mer spesifikt er det prosessen med å bruke manuelle og automatiserte teknikker for å gjennomgå detaljer og statistikk på kornivånivå innen nettverkstrafikk.

Det er hovedsakelig to typer nettverkstrafikkovervåking. Den første er overvåkning av båndbreddeutnyttelse som kan gi kvantitative data. Denne typen overvåking lar deg se hvor mye trafikk som går på et bestemt punkt i et nettverk, men det vil ikke gi noen data om arten av denne trafikken. Den andre typen overvåking, den som vi diskuterer i dag, og som omtales som nettverkstrafikkmønsteranalyse eller bare nettverkstrafikk analyse, går dypere og det primære målet er å tilby en dyptgående innsikt i hvilken type trafikk, nettverkspakker eller data som strømmer gjennom en Nettverk.

Selv om analyse av nettverkstrafikkmønster kan gjøres manuelt, gjøres det ofte ved hjelp av et nettverksovervåkningsverktøy. Å gjøre det manuelt vil ganske enkelt kreve for mange anstrengelser. Trafikkstatistikken hentet fra nettverkstrafikkanalyse kan hjelpe deg med å forstå og evaluere nettverksutnyttelsen. Det vil avdekke viktige data om datapakkenes type, størrelse, opprinnelse og destinasjon. Den kan til og med inneholde noe informasjon om innholdet i datapakker.

Nettverkssikkerhetsteam kan bruke nettverkstrafikkanalyse for å identifisere ondsinnede eller mistenkelige pakker i trafikken. På samme måte søker nettverksadministrasjoner å overvåke nedlastings- og opplastningshastigheter, gjennomstrømning, innhold osv. Vil bruke den for å forstå nettverksbruk bedre.

På nedsiden kan nettverkstrafikkanalyse også brukes av angripere og / eller inntrengere til analysere nettverkstrafikkmønstre og identifisere sårbarheter eller midler til å bryte inn eller hente sensitive data. Dette er et tveegget sverd.

NetFlow og andre flyterapporteringssystemer

NetFlow er en funksjon som ble introdusert på Cisco-rutere tilbake i 1996 - gi eller ta et år eller to - som gir muligheten til å samle IP-nettverkstrafikk når den kommer inn eller går ut fra et grensesnitt. Dette er forskjellig fra båndbreddeovervåking der data telles men ikke samles inn. Ved å analysere de innsamlede dataene, kan man bestemme ting som kilden og destinasjonen til trafikk, klasse og type tjeneste, og til slutt bruke denne informasjonen til å identifisere årsakene til opphopning.

Et typisk NetFlow-overvåkingsoppsett består av tre hovedkomponenter:

• De flav eksportør samler pakker i strømmer og eksporterer strømningsregistreringer til en eller flere strømningssamlere. Dette er komponenten som ligger i nettverksenheten.
• De flav samler er ansvarlig for mottak, lagring og forbehandling av strømningsdata mottatt fra en flyteksportør.
• De flytanalysator analyserer for eksempel mottatte strømningsdata i sammenheng med inntrengingsdeteksjon eller trafikkprofilering.

En flyt, i NetFlows parlance, er en ensrettet sekvens av pakker som deler et visst antall attributter, for eksempel deres inntrenging grensesnitt, kilde- og destinasjons-IP-adresser, IP-protokoll (TCP / UDP / ICMP, etc.), kilde- og destinasjons-IP-porter, og IP-type service. Detaljerte data om hver enkelt strøm blir samlet av strømningseksportøren før de eksporteres til strømningssamleren. I de fleste tilfeller i dag er flytkollektoren og analysatoren to komponenter i det samme systemet, og vi ser sjelden at de er atskilt.

NetFlow, som en gang var Cisco-eksklusivt, er nå tilgjengelig på utstyr fra mange leverandører, inkludert Juniper, Alcatel-Lucent og Nortel, for bare å nevne noen. Noen leverandører kaller det et annet navn, for eksempel J-flow for Juniper. Det er til og med en relativt nylig IETF-standardisert versjon kalt IPFIX som står for Internet Protocol Flow Information eXport.

sFlow er en noe likeverdig, men allikevel ulik teknologi. sFlow bruker lignende metoder for å samle strømningsinformasjon, men legger til dataprøver - derav S - for enda mer detaljert informasjon. Svært få NetFlow-analysatorer og samlere kan håndtere sFlow-data da de to er for forskjellige.

De beste verktøyene for analyse av trafikkmønster

Det er ganske mange verktøy der ute som tilbyr nettverkstrafikkanalyse. De fleste av dem vil samle inn NetFlow-data og vise dem på en meningsfull grafisk måte, mens noen bruker forskjellige teknikker for å oppnå lignende mål.

Først på listen vår er SolarWinds NetFlow Traffic Analyzer eller NTA. Hvis du ikke kjenner SolarWinds, har selskapet skåret seg et solid rykte for å lage noen av de beste verktøyene for nettverksadministrasjon. Flaggskipets produkt, Network Performance Monitor, er en av de beste båndbreddeovervåking verktøy tilgjengelig. Og SolarWinds er også kjent for sitt flotte gratis verktøy som adresserer spesifikke nettverksadministrasjonsbehov, for eksempel et av de beste subnettkalkulatorer eller TFTP-server.

Som navnet tilsier, SolarWinds NetFlow Traffic Analyzer bruker NetFlow-protokollen for å gi detaljert informasjon om hva den observerte trafikken er. Den kan for eksempel rapportere om hvilken type trafikk som er hyppigere eller hvilken bruker som bruker mest båndbredde. Flere forskjellige visninger er tilgjengelige på verktøyets instrumentbord, for eksempel toppprogrammer, toppprotokoller eller topppratere. Verktøyet vil støtte de fleste NetFlow-varianter fra forskjellige leverandører

GRATIS PRØVEPERIODE: Solarwinds NETFLOW TRAFIC ANALYZER

Her er noen av produktets beste funksjoner.

• Den kan brukes til å overvåke nettverksbruk etter applikasjon, protokoll og IP-adressegruppe.
• Den vil overvåke strømføringsdata for Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream og IPFIX for å identifisere hvilke applikasjoner og protokoller som er den største båndbreddeforbrukeren.
• Den vil samle trafikkdata, korrelere dem til et brukbart format og presentere dem på sitt nettbaserte brukergrensesnitt
• Det kan hjelpe deg med å identifisere hvilke applikasjoner og kategorier som bruker mest båndbredde for bedre synlighet av nettverkstrafikken, og den har støtte for Cisco NBAR2.

De SolarWinds NetFlow Traffic Analyzer er tilgjengelig som et tillegg til Network Performance Monitor (NPM). Prisene starter på $ 1 915 for 100 noder. Antall noder du kjøper, må samsvare med NPM-lisensen din. Hvis du ikke allerede eier NPM-programvaren, vil det koste $ 2.995 for det samme 100 nodenivået. Og hvis du vil prøve det før du kjøper det, kan du laste ned en fullt funksjonell evaluering versjon av 30 dager av begge eller begge produktene,

2. Paessler Router Traffic Grapher (PRTG)

De Paessler Router Traffic Grapher, eller PRTG, er en alt-i-ett-løsning hvis hovedformål er å overvåke bruken av båndbredde. Som sådan integreres det SNMP overvåking av båndbredde og NetFlow samling og analyse. Men det stopper ikke der og PRTG vil bruke mange forskjellige teknologier for å overvåke systemer, enheter, trafikk og applikasjoner. Her er en oversikt over støttede overvåkingsprotokoller:

• Flyter (som NetFlow eller sFlow)
• SNMP med klar til bruk og tilpassede alternativer
• WMI og Windows Performance Counters
• SSH for Linux / Unix og MacOS-systemer
• Pakkesniffing
• Ping, SQL og mange flere

installere PRTG det er lett. Faktisk hevder Paessler at du kunne gjort det i løpet av et par minutter. Etter å ha kjørt installasjonsprogrammet, vil auto-discovery prosessen oppdage enheter og sette opp grunnleggende sensorer. Du kan deretter legge til sensorer - for eksempel NetFlow-samlere - manuelt. Hvis du trenger det, er det en detaljert video som viser deg hvordan det gjøres.

PRTG kjører bare på Windows, men brukergrensesnittet er nettbasert og kan nås fra hvilken som helst nettleser på hvilken som helst plattform. Det finnes også mobilapper for Android og iOS som du kan installere på smarttelefonen. Når vi snakker om mobilappene, har dette verktøyet en unik funksjon i form av QR-kodetiketter som du kan skrive ut og feste på enhetene dine. Det er da en enkel sak å skanne koden fra mobilappene for raskt å se enhetens sensordata.

PRTG er tilgjengelig i to versjoner. Det er en gratis versjon som er begrenset til 100 sensorer. Hvert overvåket element teller som en sensor. For å overvåke hver port på en 48-port bryter, trenger du for eksempel 48 sensorer. For innsamling og analyse av NetFlow, trenger du en sensor per flyteksportør. For mer enn 100 sensorer trenger du en betalt lisens. De er tilgjengelige for 500, 1000, 2500, 5000 og ubegrensede noder til priser som varierer fra rundt 1 600 dollar til snaut 15 000 dollar. Merk at gratisversjonen tillater ubegrensede sensorer de første 30 dagene, slik at du kan prøvekjøre produktet grundig.

3. Scrutinizer

Scrutinizer fra Plixer er en utmerket NetFlow Analyzer. Det er faktisk mye mer enn bare det, og det anses av mange for å være et fullverdig hendelsesresponssystem. Og med sin evne til å overvåke forskjellige strømningstyper som NetFlow, J-flow, NetStream og IPFIX, er du ikke begrenset til kun å overvåke Cisco-enheter.

Scrutinizer har en hierarkisk design og tilbyr strømlinjeformet og effektiv datainnsamling som lar en starte små og enkle skalaer opp til millioner av strømmer per sekund. Selv om nettverket ofte får skylden hver gang noe går galt, Scrutinizer vil hjelpe deg raskt å finne den virkelige årsaken til de fleste nettverksproblemer. Produktet kan fungere i både fysiske og virtuelle miljøer, og det kommer med avanserte rapporteringsfunksjoner.

Scrutinizer er tilgjengelig i fire lisensnivåer fra den grunnleggende gratisversjonen til toppnivå SCR-nivået som kan skalere opp til over ti millioner strømmer i sekundet. Gratisversjonen er begrenset til ti tusen strømmer i sekundet, og den vil bare beholde råstrømsdata i 5 timer. Mellom lagene er MDX-nivået som holder data i 25 timer og SSRV som holder det for alltid. Du kan prøve en hvilken som helst lisensnivå i 30 dager, hvoretter den vil gå tilbake til gratisversjonen.

4. ManageEngine NetFlow Analyzer

ManageEngine er enda et husholdningsnavn i arenaen for nettverksadministrasjonsverktøy. I likhet med SolarWinds lager selskapet en håndfull utmerkede verktøy i tillegg til flere gratis verktøy. De ManageEngine NetFlow Analyzer gir en detaljert oversikt over bruken av et nettverk båndbredde samt trafikkmønstre. Produktet kan skryte av et nettbasert brukergrensesnitt som tilbyr et imponerende antall forskjellige visninger på nettverket ditt.

Dette verktøyet lar deg for eksempel se trafikk etter applikasjon, etter samtale, etter protokoll og flere flere alternativer. Du kan også stille varsler for å advare deg om potensielle problemer. Du kan for eksempel sette en trafikkgrense på et bestemt grensesnitt og bli varslet når trafikken overskrider den.

Mesteparten av ManageEngine NetFlow AnalyzerStyrken kommer fra rapportene og oversikten. Produktet har flere nyttige forhåndsbygde rapporter som er skreddersydd for spesifikke formål som feilsøking, kapasitetsplanlegging eller fakturering. Men hvis du heller vil lage tilpassede rapporter, lar verktøyet administratorer lage dem etter deres smak.

De ManageEngine NetFlow AnalyzerKontrollpanelet er like imponerende som rapportene. Det inkluderer flere kakediagrammer som viser topp applikasjoner, toppprotokoller eller toppsamtaler, for eksempel. Den kan også vise et varmekart som viser status for de overvåkede grensesnittene. Dashboards kan tilpasses slik at de bare inneholder informasjonen du trenger. For de på farten nettverksadministratorene, er det en smarttelefonapp som lar deg få tilgang til dashbordet og rapportene.

De ManageEngine NetFlow Analyzer støtter de fleste flyteknologier inkludert NetFlow, IPFIX, J-flow, NetStream og noen få andre. Som en bonus har også den utmerkede integrasjonen med Cisco-enheter, med mulighet for å justere trafikkforming og / eller QoS-retningslinjer rett fra verktøyet.

De ManageEngine NetFlow Analyzer kommer i to versjoner. Gratisversjonen begrenser deg til å overvåke bare to grensesnitt eller flyteksportører. For større kapasitet er lisenser tilgjengelige i flere størrelser fra 100 til 2500 grensesnitt eller strømmer til priser som varierer mellom $ 600 til over $ 50K pluss årlige vedlikeholdsavgifter. En gratis prøveperiode på 30 dager er tilgjengelig på alle betalte planer.

5. sFlowTrend

Selv om alle de tidligere produktene er utmerket, er det bare PRTG som hittil støtter sFlow-protokollen. Som vi forklarte, er de to protokollene ganske forskjellige, og det er sjelden at ett verktøy støtter begge deler. Så hvis nettverket ditt først og fremst er laget av sFlow-aktiverte enheter, er her et av de beste verktøyene vi kan finne.

sFlowTrend er et sFlow-overvåkingsverktøy fra inMon, selskapet bak sFlow-protokollen. Det er et grunnleggende og noe begrenset, men likevel veldig dyktig verktøy. Det er en gratis versjon som lar deg samle data fra opptil fem sFlow-aktiverte enheter og bare vil lagre historiedata i RAM i opptil en time. Selv om dette kan være nok til å feilsøke noen nettverksproblemer, er det ikke det du trenger for kontinuerlig overvåking. For et mer komplett verktøy, må du oppgradere til pro-versjonen som fjerner antall enhetsgrenser og lagrer historiedata på disk.

De sFlowTrend Dashboard gir en rask oversikt over gjeldende status for overvåkede enheter og nettverk. Det vil vise terskler på toppnivå og grensesnitt mot potensielle feil. Klikk på sFLowTrend Nettverk-fanen viser oppsummerte resultatstatistikker og detaljert trafikk på nettverks- eller enhetsnivå. Varslingsterskler kan brukes til å motta varsler når høyere enn vanlig båndbreddebruk blir observert eller nettverksfeil oppstår. Programvaren har også en Root Årsaks-fane hvor du kan se nærmere på årsaken til et problem, for eksempel en terskelbrudd.

De sFlowTrend Fanen Verter er der du finner mer detaljert informasjon om hver enhet. Den kan vise ytelsesdata på CPU, disk og mer for sFlow-aktiverte servere. Som du vil forstå, er sFlow ikke bare for overvåking av nettverksutstyr. Kategorien Tjenester er der du finner resultatdata for applikasjoner som eksporterer sFlow-data. I kategorien Hendelser finner du en logg over hendelser som overskredet terskler eller oppdagede feil. Til slutt tilbyr Rapporter-kategorien flere forhåndsdefinerte rapporter, og støtter også oppretting av tilpassede rapporter.

sFlowTrend er skrevet i Java og kommer med både et Java-basert eller nettbasert brukergrensesnitt. Det er tilgjengelig for Windows, Mac og Linux. Programvaren har et utmerket online hjelpesystem som hjelper deg med å konfigurere og bruke verktøyet.

For å konkludere

Uansett hvilket verktøy du velger, vil nettverkstrafikkanalyse gi deg en uvurderlig innsikt i hva som skjer på nettverket ditt. Hvert av verktøyene vi har vurdert gir utmerket verdi, og å velge et vil mest sannsynlig være et spørsmål om personlig preferanse. Det kan være en spesifikk funksjon i et av verktøyene som spesielt appellerer til deg. Med alle de betalte verktøyene som tilbyr enten en gratis prøveversjon eller en gratis versjon, er det ingen grunn til at du ikke kunne prøve noen få før du tar en beslutning.