6 Beste Open Source NetFlow-programvare (GRATIS)

Det er flere typer nettverksovervåking tilgjengelig. En av dem, muligens den vanligste, er SNMP overvåking. Det kan brukes til å gi administratorer et ganske tydelig bilde av hvor mye data som blir ført over nettverkene de administrerer. Men når de vil ha et mer detaljert bilde - for eksempel å lære hva trafikken er snarere enn bare hvor mye det er - må de henvende seg til en annen teknologi.

NetFlow, en overvåkningsteknologi utviklet av Cisco og introduserte en stund tilbake på produsentens enheter har blitt de facto standard når det gjelder kvalitativ nettverksovervåking. NetFlow overvåkningsverktøy kan være dyre og utenfor rekkevidden for mange mindre virksomheter. Heldigvis er flere open-source NetFlow-programvarepakker tilgjengelige, og vi er i ferd med å gjennomgå dem.

Vi begynner reisen vår med å se på nettverksovervåking generelt. Vi vil følge med på en diskusjon om de forskjellige overvåkningstypene, spesielt konsentrere oss om båndbreddeovervåking og trafikkanalyse. Deretter, uten å gå for teknisk, får vi en grundig titt på NetFlow-teknologien, hva den er og hvordan den fungerer.

Vi vil diskutere noen lignende teknologier som også er tilgjengelige før vi kommer til kjernen i faget vårt, de faktiske open-source NetFlow-verktøyene som er tilgjengelige. Selv om noen av verktøyene er relativt begrensede når det gjelder hva de kan oppnå eller kan være vanskeligere å konfigurere enn noen betalte pakker, gir alle noen virkelig interessant funksjonalitet.

Om nettverksovervåking

Nettverkstrafikk ligner veldig på veitrafikk. Akkurat som nettverkskretser kan betraktes som motorveier, er data som transporteres på nettverk som kjøretøy som kjører på motorveien. Men i motsetning til biltrafikk der du bare må se for å se om og hva som er galt, kan det være vanskelig å se hva som skjer på et nettverk. For det første skjer alt veldig raskt og data transportert i et nettverk er usynlig for det blotte øye.

Verktøy for overvåking av nettverk lar deg "se" nøyaktig hva som skjer i nettverket. Med dem vil du kunne måle bruken av hver krets, analysere hvem og hva som bruker båndbredde og bor dypt ned i nettverkets "samtaler" for å bekrefte at alt fungerer normalt.

Ulike typer overvåkningsverktøy

Det er i utgangspunktet tre hovedtyper av nettverksovervåkningsverktøy. Hver og en går litt dypere enn den forrige og gir mer detaljer om trafikken. Først er det båndbredde utnyttelse skjermer. Disse verktøyene vil fortelle deg hvor mye data som blir transportert i nettverket ditt, men det handler om det.

For å få mer informasjon om nettverket, trenger du en annen type verktøy, nettverksanalysatorer. Dette er verktøy som kan gi deg litt informasjon om hva som skjer. De vil ikke bare fortelle deg hvor mye trafikk som går forbi. De kan også fortelle deg hva type trafikk og mellom det som vert det beveger seg.

Og for det meste, har du pakkesniffere. De gjør en grundig analyse ved å fange og avkode trafikk. Informasjonen de gir, lar deg se nøyaktig hva som skjer og kartlegge problemer med størst nøyaktighet. Så nyttige som de er, er de utenfor omfanget av dette innlegget.

Verktøy for overvåking av båndbredde

De fleste båndbreddebrukskontroller er avhengige av Simple Network Management Protocol, eller SNMP, for å avspørge enheter og få trafikkmengde på alle - eller noen - av grensesnittene. Ved å bruke disse dataene vil de ofte bygge grafer som skildrer båndbreddebruk over tid. Vanligvis vil de tillate en å zoome inn i et smalere tidsrom der grafoppløsningen er høy og viser for eksempel, 1 minutters gjennomsnittlig trafikk eller zoome ut til et lengre tidsrom - ofte opp til en måned eller til og med et år - der det vises daglig eller ukentlig gjennomsnitt.

Verktøy for nettverkstrafikkanalyse

Hvis du trenger å vite mer enn mengden trafikk som går forbi, trenger du det et mer avansert overvåkingssystem. Det du trenger er det vi omtaler som et nettverksanalysesystem. Disse systemene er avhengige av programvare som er innebygd i nettverksutstyr for å sende dem detaljerte bruksdata. Disse systemene kan vanligvis vise topppratører og lyttere, bruk etter kilde- eller destinasjonsadresse, bruk etter protokoll eller etter applikasjon og flere andre nyttige opplysninger om hva som skjer.

Mens noen systemer bruker programvareagenter som du må installere på målsystemer, er de fleste av dem i stedet for standardprotokoller som NetFlow, IPFIX eller sFlow. Disse er vanligvis innebygd i utstyr og er klare til bruk så snart de er konfigurert.

NetFlow In A Nutshell

NetFlow ble utviklet av Cisco Systems og ble introdusert på deres rutere for å gi muligheten til å samle IP-nettverkstrafikk når den kommer inn eller går ut fra et grensesnitt. De innsamlede dataene blir deretter analysert av nettverksadministratorer for å hjelpe med å bestemme kilden og destinasjonen for trafikken, tjenesteklassen og årsakene til overbelastning. Det er tre hovedkomponenter til NetFlow-teknologien:

• Flyteksportøren samler pakker i strømmer og eksporterer strømningsregistreringer mot en eller flere strømningssamlere. Dette er komponenten som kjører på de overvåkede enhetene.
• Når det gjelder flytkollektor, er det ansvarlig for mottak, lagring og forbehandling av strømningsdata mottatt fra en flyteksportør.
• Sist, men ikke minst, er flowanalysatoren en applikasjon som brukes til å analysere mottatte strømningsdata. Analyse kan brukes til profilering av trafikk, eller til feilsøking av nettverk.

Hvordan det fungerer

Rutere, brytere og alle andre enheter som støtter NetFlow, kan konfigureres til å sende ut strømningsdata i form av strømposter og sende dem til en NetFlow-samler. En flyt er en fullstendig samtale i IP-forstand. Enheten som utarbeider strømningsregistreringer sender dem normalt til samleren når den bestemmer at strømmen er ferdig enten gjennom aldring - det har ikke vært noen trafikk innen en bestemt tidsavbrudd - eller når den ser en TCP-økt avslutning.

Flowposten inneholder mye informasjon om flyten. Det inkluderer inngangs- og utgangsgrensesnitt, start- og sluttidstemplene for strømmen, antall byte og pakker den inneholder topp 3-overskrifter, kilde- og destinasjons-IP-adresse og portnummer, IP-protokollen og TOS verdi. Flytoppføringer inneholder ikke de faktiske dataene som utgjorde strømmen. Den eneste inneholder informasjon om flyten. Dette er viktig fra et sikkerhetsmessig synspunkt.

Bortsett fra i enorme miljøer med flere nettsteder, er flytsamlerne der postene sendes ofte også strømningsanalysatorene. De bruker informasjonen i strømningsregistrene for å presentere data om nettverkstrafikk på en måte som er nyttig for nettverksadministratorer. Ulike NetFlow-samlere og analysatorer vil ha forskjellige måter å presentere data på. Det er her listen over de beste NetFlow-samlerne og analysatorene vil komme til nytte.

Andre lignende teknologier

Ulike versjoner og tilpasninger av NetFlow eksisterer, og noen er kjent under et annet navn. Faktisk er mange av disse brukt på lisens fra Cisco. Det er også sanne alternativer til NetFlow, de to mest kjente er sFlow og IPFIX. Sistnevnte er sterkt basert på den nyeste versjonen av NetFlow bortsett fra at det er en IETF-standard. Det er faktisk mange grunner til å tro at Cisco til slutt til slutt kan erstatte NetFlow med IPFIX. Når det gjelder sFlow, er det et annerledes, konkurrerende system. Målet og de generelle driftsprinsippene er like, men forskjellige. Noen NetFlow-analysatorer vil også jobbe med sFlow, men generelt sett brukere av det ene bruker ikke det andre.

Den beste open-source NetFlow-programvaren

Solarwinds er en av de mest kjente aktørene innen verktøyet for nettverksadministrasjon. Selskapet har eksistert i rundt 20 år, bringe oss noen av de beste nettverksadministrasjonsverktøyene. Den har også ervervet et solid rykte for å lage gode gratisverktøy som, selv om de noen ganger er funksjonsbegrenset, fremdeles er utmerkede verktøy. Et slikt verktøy er gratis NetFlow Analyzer i sanntid. Selv om dette ikke er et åpen kildekodeverktøy, er det er helt gratis og er vel verdt å se nærmere på. Dette verktøyet er det kanskje ikke ganske så komplett og fullverdig som storebroren, the Solarwinds NetFlow Traffic Analyzer, dette produktet gir deg den samme grunnleggende funksjonaliteten.

• GRATIS NEDLASTING: SolarWinds NetFlow Analyzer i sanntid
• Offisiell nedlastingslink: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration

Verktøyet kan fange og analysere Appflow-, NetFlow-, JFlow- og sFlow-data i sanntid. Og det vil vise deg nøyaktig hvilken type trafikk i nettverket ditt, hvor den kommer fra, og hvor den skal til. Du kan også bruke den til å diagnostisere trafikkstifter og feilsøke båndbreddeproblemer.

Her er noe av de NetFlow Analyzer i sanntidPrimære funksjoner:

• Identifiser hvilke brukere, enheter og applikasjoner som bruker mest båndbredde
• Isoler nettverkstrafikk etter samtale, app, domene, sluttpunkt og protokoll
• Vis nettverkstrafikk etter type og spesifiserte tidsperioder

Verktøyet, som de fleste andre Solarwinds verktøy, installeres enkelt via en standard Windows veiviseren. Og en gang installert, er en NetFlow Configurator inkludert til hjelpe deg med konfigurasjonen av enheter som støtter forskjellige NetFlow-varianter.

Denne gratis programvaren har noen begrensninger sammenlignet med sin større bror, selv om. For eksempel, f.eksDet primære fokuset er gjeldende og nyere tilstand på nettverket. Som sådan kan den bare samle inn data fra ett NetFlow-grensesnitt og vil bare beholde og analysere de siste 60 minuttene med data.

2. FlowScan

FlowScan er et slags visualiseringsverktøy som du vanligvis bruker til å analysere NetFlow-data og rapportere om dem. Den kan produsere visuelle grafer som blir generert i nær sanntid og som viser deg gjeldende tilstand på nettverket. FlowScan kan distribueres på de fleste GNU / Linux eller BSD-systemer. Den er avhengig av flere andre pakker for å samle inn og behandle flyter riktig. For eksempel brukes Cflowd som strømningssamler. FlowScan er hovedsakelig sammensatt av et Perl-skript som utgjør hoveddelen av programvarepakken. Denne komponenten er ansvarlig for lasting og utføring av rapporter. En annen hovedkomponent av programvaren er RRDtool, et populært verktøy som brukes til å lagre data i runde robin-databaser og plotte data på grafer. FlowSanc bruker den til å lagre flytinformasjon og produsere nyttige grafer.

Nettverksadministratorer innser ofte at de enten har samlet for lite eller for mye data. Flowprofilering, som tilgjengelig i FlowScan, tilbyr et interessant kompromiss mellom disse ytterpunktene i datainnsamling. Fordi strømmer samlede data samlet inn når pakker reiser over en gitt port eller grensesnitt, kan de brukes som en slags sammendrag for serier med pakker som reiser mellom endepunkter av interesse. Denne funksjonen alene er imidlertid utilstrekkelig for pålitelig kontinuerlig bruk. Ytterligere programvareverktøy er nødvendig for å definere, analysere og analysere disse strømningene. Disse tilleggsverktøyene er inkludert i FlowScan.

3. nProbe og ntopng

nProbe og ntopng er noe avanserte - og derfor noe kompliserte - åpen kildekodeverktøy. Ntopng er et nettbasert trafikkanalyseverktøy for å overvåke nettverk basert på strømningsdata mens nProbe er en NetFlow og IPFIX eksportør og samler. Sammen sørger de for en veldig fleksibel analysepakke. Hvis du har administrert Linux-nettverk før, er du kanskje allerede kjent med ntop. I så fall vil du være glad for å vite at ntopng er en neste generasjons GUI-versjon av dette tidløse verktøyet.

Det er en gratis fellesskapsversjon av ntopng Du kan imidlertid også kjøpe en bedriftsversjon av produktet. Det kan være dyrt, men det er gratis for utdanningsorganisasjoner og ideelle organisasjoner. Som for nProbe, kan du prøve det gratis, men det er begrenset til totalt 25 000 eksporterte strømmer. For å gå lenger enn det, må du kjøpe en lisens.

Som de fleste moderne nettverksanalyseverktøy, har ntopng et nettbasert brukergrensesnitt som kan presentere data fra trafikk, for eksempel topppratere, flyter, verter, enheter og grensesnitt. Den har en blanding av diagrammer, tabeller og grafer, de fleste av dem har drill-down-alternativer som lar deg utforske dem i større dybde. Brukergrensesnittet er veldig fleksibelt og gir mulighet for mye tilpasning.

4. Flow-Tools

Flow-verktøy er et verktøysett for å jobbe med NetFlow-data. Mer presist er det et bibliotek kombinert med en samling programmer som brukes til å samle inn, sende, behandle og generere rapporter fra NetFlow-data. Verktøyene kan brukes sammen på en enkelt server eller distribueres til flere servere for større distribusjoner. De Flow-Tools biblioteket gir også et API for utvikling av tilpassede applikasjoner for NetFlow eksportversjoner 1, 5, 6 og de 14 for øyeblikket definerte versjon 8 underversjoner.

Dette prosjektet er en gaffel fra det gamle og for det meste nedlagte OSU flow-tool-prosjektet. dette er ikke det mest aktive prosjektet der ute, og den nyeste versjonen går tilbake til for ni år siden. Imidlertid, hvis du leter etter et enkelt verktøy og er villig til å gjøre en innsats som kreves for å sette den opp, kan dette være et flott verktøy å vurdere.

5. NFsen / NFDump

NFsen, som er en forkortelse for Netflow Sensor, er et nettbasert frontend-verktøy for nfdump. Det brukes vanligvis til å vise et fint og brukervennlig grafisk bilde av dataene som nfdump genererer, inkludert NetFlow-data. Du har muligheten til å generere rapporter om NetFlow-dataene dine med all slags informasjon, inkludert - men ikke begrenset til - strømmer, pakker og byte ved hjelp av RRD-databaseverktøy. Videre kan du også sette opp varsler og vise historiske data.

De NFsen prosjektet er fremdeles veldig aktivt og programvaren kan lastes ned fra Sourceforge-siden. Det vil kjøres på alle Unix / Linux-systemer. Du må tidligere konfigurere PHP, PERL (sammen med Perl Mail:: Header og Mail:: Internett-moduler), RRD Tools-modulen og NFDump verktøy installert på systemet ditt for å bruke det riktig.

6. pmGraph

pmGraph er enda et utmerket open source-verktøy for grafering og overvåking av båndbredde. Den er designet for å utfylle pmacct, et verktøy for overvåking og revisjon av nettverk. De to verktøyene leveres sammen som en Debian-pakke, og instruksjoner for installasjon av pmGraph dekker installasjonen av begge verktøyene. pmacct samler inn og overvåker trafikk ved å bruke Netflow eller Sflow på nettverksenheter (inkludert brannmurer, rutere og brytere) til en database og gir mulighet for analyse av de innsamlede dataene ved hjelp av pmGraph.

pmGraph ble utviklet av ansatte og frivillige fra Aptivate, det digitale byrået for internasjonal utvikling, for å være en fleksibelt og kraftig verktøy for nettverks- og systemadministratorer, med avansert brukervennlig grafering evner. Her er en oversikt over produktets viktigste funksjoner:

• Brukervennlig og enkelt grensesnitt
• Viser informasjon om tilkoblinger mellom eksterne og lokale maskiner og porter som brukes
• Vertsnavnoppløsning ved å bruke DNS- og DHCP-servere
• Viser bruk for en spesifikk IP-adresse eller port
• Konfigurerbart antall resultater

pmGraph er en plattformuavhengig programvare som er utviklet i Java og er designet for å fungere i en servletcontainer som Tomcat, som er tilgjengelig for alle vanlige plattformer. pmGraph er veldig lett og krever bare 8 MB diskplass. Det er imidlertid avhengig av eksterne, bulkere programmer. Hvis du ikke allerede har Tomcat, Java og MySQL-server, må du også installere dem, ta opp til rundt 300 MB diskplass, fremdeles ikke mye plass. Disse komponentene vil bli installert for deg hvis du bruker pakkeinstallasjonen og du kan installere pmGraph uten å lære mye om dem.