6 najlepších open-source NetFlow softvér (zadarmo)

K dispozícii je niekoľko typov sieťového monitorovania. Jeden z nich, možno najbežnejší, je Monitorovanie SNMP. Môže sa použiť na to, aby správcom poskytol pomerne jasný obraz o tom, koľko údajov sa prenáša v sieťach, ktoré spravujú. Ale keď chcú podrobnejší obraz - napríklad učenie ČO JE prevádzka skôr ako AKO JE MOHOL, musia sa obrátiť na inú technológiu.

NetFlow, monitorovacia technológia vyvinutá spoločnosťou Cisco a uvedená naspäť na zariadenia výrobcu, sa stala de facto štandardom kvalitatívneho monitorovania siete. Monitorovacie nástroje NetFlow môžu byť drahé a mimo dosahu mnohých menších firiem. Našťastie je k dispozícii niekoľko open-source softvérových balíkov NetFlow a chystáme sa ich skontrolovať.

Našou cestou sa začneme zaoberať monitorovaním siete všeobecne. Budeme nasledovať diskusiou o rôznych druhoch monitorovania, konkrétne sa sústredíme na Monitorovanie šírky pásma a analýza dopravy. Ďalej, bez toho, aby sme boli príliš technický, sa podrobne pozrieme na technológiu NetFlow, čo to je a ako to funguje.

Predtým, ako sa dostaneme k jadru nášho predmetu, budeme diskutovať o niektorých podobných technológiách, ktoré sú k dispozícii aj o aktuálnych otvorených zdrojových nástrojoch NetFlow, ktoré sú k dispozícii. Zatiaľ čo niektoré nástroje sú relatívne obmedzené, pokiaľ ide o to, čo môžu dosiahnuť alebo je ich ťažšie konfigurovať ako niektoré platené balíčky, všetky poskytujú skutočne skutočne zaujímavé funkcie.

Informácie o monitorovaní siete

Sieťový prenos je veľmi podobný cestnej premávke. Rovnako ako sieťové obvody možno považovať za diaľnice, aj údaje prenášané v sieťach sú ako vozidlá cestujúce po tejto diaľnici. Ale na rozdiel od automobilovej premávky, kde musíte len hľadať, či a čo je zlé, pozorovanie toho, čo sa deje v sieti, môže byť zložité. Pre začiatočníkov sa všetko deje veľmi rýchlo a údaje prenášané v sieti je voľným okom neviditeľné.

Nástroje na monitorovanie siete vám umožňujú „presne“ vidieť, čo sa vo vašej sieti deje. S nimi budete môcť merať využitie každého okruhu, analyzovať, kto a čo je náročné šírku pásma a hĺbku hlboko do sieťových „konverzácií“, aby ste si overili, či všetko funguje normálne.

Rôzne typy monitorovacích nástrojov

V zásade existujú tri hlavné typy nástrojov na monitorovanie siete. Každý z nich ide trochu hlbšie ako predchádzajúci a poskytuje viac podrobností o premávke. Po prvé, existujú Monitory využitia šírky pásma. Tieto nástroje vám povedia, koľko údajov sa vo vašej sieti prenáša, ale o tom ide.

Ak chcete získať viac informácií o sieti, potrebujete iný typ nástroja, sieťové analyzátory. Toto sú nástroje, ktoré vám môžu poskytnúť informácie o tom, čo sa presne deje. Nebudú vám len hovoriť, koľko premávky prechádza. Môžu vám tiež povedať čo druh dopravy a medzi tým, ktorého hostiteľa sa pohybuje.

A pre najpodrobnejšie detaily máte chrápanie paketov. Robia hĺbkovú analýzu zachytením a dekódovaním prenosu. Informácie, ktoré poskytujú, vám umožnia presne zistiť, čo sa deje, a určiť problémy s najväčšou presnosťou. Aj keď sú užitočné, presahujú rámec tohto príspevku.

Nástroje na monitorovanie využitia šírky pásma

Väčšina monitorov na využitie šírky pásma sa spolieha na protokol Simple Network Management Protocol alebo SNMP, ktorý zisťuje, či sú zariadenia dotazované a získajú objem prenosu na všetkých alebo niektorých rozhraniach. Na základe týchto údajov často vytvárajú grafy, ktoré zobrazujú využitie šírky pásma v priebehu času. Zvyčajne umožňujú jedno priblíženie do užšieho časového úseku, v ktorom je vysoké rozlíšenie grafu, a napríklad ukazuje, 1 minúta priemernej premávky alebo oddialenie na dlhšie časové obdobie - často až mesiac alebo dokonca rok - kde sa zobrazuje denne alebo týždenne priemery.

Nástroje na analýzu sieťovej prevádzky

Ak potrebujete vedieť viac, ako je objem premávky okolo, potrebujete pokročilejší monitorovací systém. Potrebujete to, čo nazývame systém na analýzu siete. Tieto systémy sa spoliehajú na softvér, ktorý je zabudovaný do sieťových zariadení, aby im posielali podrobné údaje o používaní. Tieto systémy môžu zvyčajne zobrazovať špičkových hovoriacich a poslucháčov, použitie podľa zdroja alebo cieľovej adresy, použitie pomocou protokolu alebo aplikácie a niekoľko ďalších užitočných informácií o tom, čo sa deje.

Zatiaľ čo niektoré systémy používajú softvérových agentov, ktoré musíte nainštalovať do cieľových systémov, väčšina z nich sa namiesto toho spolieha na štandardné protokoly, ako NetFlow, IPFIX alebo sFlow. Zvyčajne sú zabudované do zariadenia a pripravené na použitie ihneď po ich konfigurácii.

NetFlow v skratke

NetFlow bol vyvinutý spoločnosťou Cisco Systems a bol zavedený na svojich smerovačoch, aby poskytoval schopnosť zhromažďovať sieťovú prevádzku IP pri vstupe alebo výstupe z rozhrania. Zhromaždené údaje je potom analyzovaná správcami siete, aby pomohla určiť zdroj a cieľ prenosu, triedu služieb a príčiny preťaženia. Technológia NetFlow má tri hlavné komponenty:

• Vývozca tokov agreguje pakety do tokov a exportuje záznamy tokov smerom k jednému alebo viacerým kolektorom tokov. Toto je komponent, ktorý beží na monitorovaných zariadeniach.
• Pokiaľ ide o kolektor prietoku, zodpovedá za príjem, uchovávanie a predbežné spracovanie údajov o tokoch prijatých od vývozcu tokov.
• V neposlednom rade je analyzátor prietoku aplikácia, ktorá sa používa na analýzu prijatých údajov o toku. Analýzu je možné použiť na profilovanie premávky alebo na riešenie problémov so sieťou.

Ako to funguje

Smerovače, prepínače a akékoľvek iné zariadenie, ktoré podporuje NetFlow, môže byť nakonfigurované tak, aby vydalo tokové dáta vo forme záznamov toku a poslalo ich do kolektora NetFlow. Tok je úplná konverzácia v zmysle IP. Zariadenie, ktoré pripravuje záznamy toku, ich zvyčajne odosiela do kolektora, keď zistí, že tok je ukončený buď starnutím - počas určitého časového limitu nedošlo k žiadnej premávke - alebo keď vidí reláciu TCP zánik.

Záznam toku obsahuje veľa informácií o toku. Zahŕňa vstupné a výstupné rozhranie, začiatočné a cieľové časové značky toku, počet bajtov a paketov. obsahuje hlavičky vrstvy 3, zdrojovú a cieľovú adresu IP a číslo portu, protokol IP a TOS hodnota. Záznamy toku neobsahujú skutočné údaje, ktoré tvoria tok. Jediné obsahujú informácie o toku. Z hľadiska bezpečnosti je to dôležité.

Okrem obrovských prostredí viacerých pracovísk sú kolektory toku, do ktorých sa zasielajú záznamy, často aj analyzátory toku. Informácie obsiahnuté v záznamoch toku používajú na prezentáciu údajov o sieťovej prevádzke spôsobom, ktorý je užitočný pre správcov sietí. Rôzni zberače a analyzátory NetFlow budú mať rôzne spôsoby prezentácie údajov. Tu sa hodí náš zoznam najlepších zberačov a analyzátorov NetFlow.

Ďalšie podobné technológie

Existujú rôzne verzie a úpravy systému NetFlow a niektoré sú známe pod iným názvom. V skutočnosti sa mnoho z nich používa na základe licencie od spoločnosti Cisco. Existujú tiež skutočné alternatívy k NetFlow, dva najznámejšie sú sFlow a IPFIX. Posledne menovaná je vo veľkej miere založená na najnovšej verzii NetFlow okrem toho, že ide o štandard IETF. V skutočnosti existuje veľa dôvodov domnievať sa, že spoločnosť Cisco by mohla prípadne nahradiť NetFlow protokolom IPFIX. Pokiaľ ide o sFlow, ide o odlišný konkurenčný systém. Jeho cieľ a všeobecné zásady fungovania sú podobné, ale odlišné. Niektoré analyzátory NetFlow budú tiež pracovať s sFlow, ale všeobecne povedané, používatelia jedného nepoužívajú druhého.

Špičkový softvér s otvoreným zdrojom NetFlow

SolarWinds je jedným z najznámejších hráčov v oblasti nástrojov na správu siete. Spoločnosť existuje už asi 20 rokov, prinášať nám niektoré z najlepších nástrojov na správu siete. to má tiež nadobudnutý dobrá povesť výroby vynikajúcich bezplatných nástrojov, ktoré sú síce niekedy obmedzené funkciami, ale stále sú vynikajúcimi nástrojmi. Jedným takýmto nástrojom je zadarmo Analyzátor NetFlow v reálnom čase. Aj keď nejde o nástroj s otvoreným zdrojom, je to nástroj je úplne zadarmo a stojí za to sa na to pozrieť. Tento nástroj nemusí byť úplne dokončené a plnohodnotný ako jeho veľký brat, SolarWinds Analyzátor prevádzky NetFlow, tento produkt poskytuje rovnakú základnú funkčnosť.

• STIAHNUTIE ZDARMA: SolarWinds NetFlow Analyzer v reálnom čase
• Odkaz na stiahnutie: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer/registration

Nástroj dokáže zachytávať a analyzovať údaje aplikácií Appflow, NetFlow, JFlow a sFlow v reálnom čase. A ukáže vám presne tie druhy prenosu vo vašej sieti, odkiaľ pochádza a kam smeruje. Môžete ho tiež použiť na diagnostiku dopravných špičiek a riešenie problémov so šírkou pásma.

Tu sú niektorí z Analyzátor NetFlow v reálnom časeHlavné funkcie:

• Zistite, ktorí používatelia, zariadenia a aplikácie využívajú najväčšiu šírku pásma
• Izolujte sieťový prenos konverzáciou, aplikáciou, doménou, koncovým bodom a protokolom
• Zobrazenie sieťovej prevádzky podľa typu a zadaných časových období

Nástroj, rovnako ako väčšina ostatných SolarWinds nástrojov, inštalácia ľahko pomocou štandardu Wvyvolá sprievodcu nastavením. Akonáhle je nainštalovaný, je zahrnutý konfigurátor NetFlow na pomôcť ti s konfiguráciou zariadenia, ktoré podporujú rôzne varianty NetFlow.

Tento bezplatný softvér má určité obmedzenia v porovnaní s väčším bratom, predsa. Napríklad iPrimárne zameranie je aktuálny a nedávny stav vašej siete. Môže teda zhromažďovať údaje iba z jedného rozhrania NetFlow a bude uchovávať a analyzovať iba posledných 60 minút údajov.

2. FlowScan

FlowScan je akýmkoľvek vizualizačným nástrojom, ktorý zvyčajne používate na analýzu údajov NetFlow a podávanie správ o nich. Môže vytvárať vizuálne grafy, ktoré sa generujú takmer v reálnom čase a zobrazujú aktuálny stav vašej siete. FlowScan je možné nasadiť na väčšinu systémov GNU / Linux alebo BSD. Na správne zhromažďovanie a spracovanie tokov sa spolieha na niekoľko ďalších balíkov. Napríklad Cflowd sa používa ako kolektor toku. FlowScan pozostáva hlavne zo skriptu Perl, ktorý tvorí väčšinu softvérového balíka. Táto súčasť je zodpovedná za načítanie a vykonávanie správ. Ďalším dôležitým komponentom softvéru je RRDtool, obľúbený nástroj používaný na ukladanie údajov do databáz s kruhovým spracovaním a vykreslenie týchto údajov do grafov. FlowSanc ich používa na ukladanie informácií o tokoch a vytváranie užitočných grafov.

Správcovia siete si často uvedomujú, že zhromaždili príliš málo alebo príliš veľa údajov. Profilovanie toku, ako je dostupné v FlowScan, ponúka zaujímavý kompromis medzi týmito extrémami pri zhromažďovaní údajov. Pretože toky agregovaných údajov zozbierané ako pakety putujú cez daný port alebo rozhranie, môžu sa použiť ako druh zhrnutia pre sériu paketov putujúcich medzi cieľovými bodmi záujmu. Táto funkcia však sama osebe nestačí na spoľahlivé nepretržité používanie. Na definovanie, analýzu a analýzu týchto tokov sú potrebné ďalšie softvérové ​​nástroje. Tieto ďalšie nástroje sú súčasťou FlowScan.

3. nProbe a ntopng

nProbe a ntopng sú trochu pokročilé - a preto trochu komplikované - nástroje s otvoreným zdrojovým kódom. Ntopng je webový nástroj na analýzu prenosu údajov určený na monitorovanie sietí založených na údajoch toku nProbe je exportérom a zberateľom NetFlow a IPFIX. Spoločne vytvárajú veľmi flexibilný analytický balík. Ak ste už spravovali siete Linux, možno už ste už boli oboznámení s programom ntop. V takom prípade budete vedieť, že ntopng je ďalšou generáciou GUI verzie tohto nestarnutého nástroja.

K dispozícii je bezplatná komunitná verzia ntopng Môžete si však kúpiť aj podnikovú verziu produktu. Môže to byť drahé, ale je bezplatné pre vzdelávacie a neziskové organizácie. Ako pre nProbe, môžete si ju vyskúšať zadarmo, ale je obmedzená na celkom 25 000 exportovaných tokov. Aby ste to presiahli, musíte si kúpiť licenciu.

Rovnako ako najmodernejšie nástroje na analýzu siete, ntopng obsahuje webové používateľské rozhranie, ktoré môže prezentovať údaje podľa premávky, napríklad špičkových hovorcov, tokov, hostiteľov, zariadení a rozhraní. Má kombináciu grafov, tabuliek a grafov, z ktorých väčšina obsahuje možnosti rozbalenia, vďaka ktorým ich budete môcť podrobnejšie preskúmať. Používateľské rozhranie je veľmi flexibilné a umožňuje veľa úprav.

4. Flow-Tools

Flow-tools je sada nástrojov pre prácu s údajmi NetFlow. Presnejšie povedané, je to knižnica kombinovaná so zbierkou programov používaných na zhromažďovanie, odosielanie, spracovanie a generovanie zostáv z údajov NetFlow. Tieto nástroje môžu byť použité spoločne na jednom serveri alebo distribuované na viac serverov pre väčšie nasadenia. Flow-Tools Knižnica tiež poskytuje API pre vývoj vlastných aplikácií pre exportované verzie NetFlow 1, 5, 6 a 14 aktuálne definovaných sub-verzií verzie 8.

Tento projekt je vidličkou starého a väčšinou zaniknutého projektu flow-tools OSU. toto nie je najaktívnejší projekt a jeho najnovšia verzia sa datuje približne pred deviatimi rokmi. Ak však hľadáte jednoduchý nástroj a ste ochotní vynaložiť úsilie potrebné na jeho nastavenie, môže to byť skvelý nástroj na zváženie.

5. NfSen / NFDump

NfSen, čo je skratka pre Netflow Sensor, je webový front-end nástroj pre nfdump. Zvyčajne sa používa na zobrazenie pekného a užívateľsky príjemného grafického obrazu údajov, ktoré nfdump generuje, vrátane údajov NetFlow. Pomocou databázového nástroja RRD máte možnosť generovať správy o vašich údajoch NetFlow so všetkými druhmi informácií vrátane - ale nielen - tokov, paketov a bajtov. Ďalej môžete nastaviť výstrahy a prezerať historické údaje.

NfSen Projekt je stále veľmi aktívny a softvér si môžete stiahnuť z jeho stránky Sourceforge. Bude fungovať na všetkých systémoch Unix / Linux. Budete musieť predtým nastaviť PHP, PERL (spolu s Perl Mail:: Header a Mail:: Internet moduly), RRD Tools modul a NFDump nástroje nainštalované vo vašom systéme, aby ste ich mohli správne používať.

6. pmGraph

pmGraph je ďalším vynikajúcim nástrojom s otvoreným zdrojom pre vytváranie grafov a sledovanie šírky pásma. Je navrhnutý ako doplnok pmacct, nástroj na monitorovanie a audit siete. Oba nástroje sa dodávajú spolu ako balík Debian a pokyny na inštaláciu pmGraph pokrývajú inštaláciu oboch nástrojov. pmacct zhromažďuje a monitoruje prenos pomocou Netflow alebo Sflow na sieťových zariadeniach (vrátane firewally, smerovače a prepínače) do databázy a umožňuje analýzu zozbieraných údajov pomocou pmGraph.

pmGraph bol vyvinutý zamestnancami a dobrovoľníkmi z agentúry Aptivate, digitálnej agentúry pre medzinárodný rozvoj, ktorá má byť flexibilný a výkonný nástroj pre správcov sietí a systémov s pokročilým užívateľsky príjemným grafom schopnosti. Tu je prehľad základných funkcií produktu:

• Užívateľsky prívetivé a jednoduché rozhranie
• Zobrazuje informácie o pripojeniach medzi vzdialenými a miestnymi počítačmi a použitých portoch
• Rozlíšenie názvu hostiteľa pomocou serverov DNS a DHCP
• Ukazuje použitie pre konkrétnu IP adresu alebo port
• Konfigurovateľný počet výsledkov

pmGraph je softvér nezávislý od platformy, ktorý bol vyvinutý v jazyku Java a je navrhnutý na prácu v kontajneri servletov, ako je Tomcat, ktorý je k dispozícii pre všetky bežné platformy. pmGraph je veľmi ľahký a vyžaduje iba 8 MB miesta na disku. Spolieha sa však na externé, objemnejšie programy. Ak ešte nemáte server Tomcat, Java a MySQL, budete ich musieť tiež nainštalovať a zaberajú až asi 300 MB voľného miesta na disku, stále ešte nie je veľa miesta. Tieto komponenty sa nainštalujú za vás, ak použijete inštaláciu balíka a môžete nainštalovať pmGraph bez toho, aby ste sa o nich veľa dozvedeli.