Net Admin

6 bedste værktøjer til netværkstrafikanalyse (NTA).

Værktøjer til netværkstrafikanalyse

Netværkstrafikanalyse involverer undersøgelse af pakker, der passerer langs et netværk. Historisk set var denne strategi beregnet til at undersøge kilderne til al trafik og mængder af gennemstrømning af hensyn til kapacitetsanalyse .

For nylig er netværkstrafikanalyse udvidet til at omfatte dyb pakkeinspektion bruges af firewalls og analyse af trafikuregelmæssigheder bruges af indbrudsdetektionssystemer.

Mangfoldigheden af ​​trafikanalyseformål kan ses på listen over de bedste netværkstrafikanalyseværktøjer:

  1. SolarWinds NetFlow Traffic Analyzer REDAKTØRS VALG Den førende netværkstrafikanalysator. Det fungerer med NetFlow, J-Flow, sFlow, NetStream og IPFIX til pakkefangst.
  2. ManageEngine OpManager Plus (GRATIS PRØVE)En udvidelse af standard OpManager netværks ydeevnemonitor, der inkluderer trafikanalyse.
  3. Noction Flow AnalyzerDette er en pakke med netværksovervågningsværktøjer, der inkluderer en kapacitetsplanlægningsanalysator, der genkalder lagrede trafikdata. Kører på Linux.
  4. Elastisk stak En suite af datafangst- og analyseværktøjer med Elasticsearch og Kibana.
  5. Plixer Scrutinizer En trafikanalysator, der bruges til netværkssikkerhed, der sampler trafik fra flere netværksplaceringer samtidigt.
  6. Åbn WIPS-NG Et trådløst netværksbeskyttelsessystem, der inkluderer trafikanalyse.

Hvad skal du kigge efter i et netværkstrafikanalyseværktøj

I den mere simple ende af markedet finder du pakkesniffer der kopierer passerende trafik ind i filer. Disse oplysninger skal så behandles for at opnå meningsfuld indsigt ind i trafikmønstre. I den anden ende af skalaen finder du komplekse systemer, der sampler trafik fra flere punkter på netværket samtidigt. De kan også konsolidere kildematerialet for at opdage usædvanlig brugeradfærd.

Selvom netværket tilbyder live kildedata, værktøjer til analyse af netværkstrafik fungerer sjældent i realtid . Pakkeoverskrifter er hovedkilden til information til analyse, men trafikanalysatorer venter, indtil en række pakker er blevet fanget og gemt. Så NTA'er kan siges at operere på Application Layer og ikke Network Layer.

At analysere på Application Layer giver NTA-værktøjet et bedre overblik over netværksaktivitet . Den information, der er tilgængelig på netværkslaget, er utilstrækkelig til at se overordnede trafikmønstre, og den går glip af ondsindet trafik, der med vilje er spredt over adskillige pakker eller kombinerer handlinger fra forskellige kilder.

Netværkstrafikanalyse kan give hurtig feedback, men når det er hurtigst, er det kun ' næsten levende .' Sikkerhedsapplikationer kan ikke registrere trusler, før de har datastrømme at arbejde på. Med kapacitetsplanlægning og analyse , der haster mindre – nøjagtigheden af ​​fremskrivninger er vigtigere end umiddelbarhed.

Relateret indlæg: Værktøjer til planlægning af netværkskapacitet

De bedste værktøjer til netværkstrafikanalyse

Det NTA-værktøj, der vil interessere dig mest, afhænger af grunden til, at du skal analysere dit netværk.

Vores metode til at vælge NTA-værktøjer til denne liste

Vi gennemgik markedet for netværkstrafikanalysesoftware og vurderede mulighederne ud fra følgende kriterier:

  • En skærm, der er i stand til at bruge trafikflowprotokoller, såsom NetFlow, J-Flow og sFlow til at kommunikere med switche og routere
  • Muligheder for pakkefangst eller pakkesampling
  • En protokolanalysator til at segmentere trafikstatistik efter applikation
  • Evnen til at identificere trafikmængder pr. link og ende til ende på en given sti
  • Live trafikdata vises i grafisk format
  • En gratis prøveperiode i en gratis vurderingsperiode eller et helt gratis værktøj
  • Gratis værktøjer, der er værd at installere eller betalte værktøjer, der giver værdi for pengene

Beskrivelserne af hvert værktøj i de følgende afsnit skal hjælpe dig med at beslutte.

1. SolarWinds NetFlow Traffic Analyzer (GRATIS PRØVE)

SolarWinds NetFlow Traffic Analyzer

DetSolarWinds NetFlow Traffic Analyzerer tilgængelig som en selvstændig skærm eller som en del afNetwork Bandwidth Analyzer Pack, som også omfatterNetværksydelsesmonitor. NetFlow Traffic Analyzer bruger pakkeanalyseværktøjerne, der er indbygget i netværksudstyret, til at få pakkeprøver og gennemløbsmålinger. Disse systemer omfatter Cisco NetFlow , J-Flow fra Juniper Networks og Huaweis NetStream , plus sFlow og IPFIX systemer. Værktøjet tolker også NBAR2 data fra Cisco-enheder.

Nøglefunktioner:

  • Bruger NetFlow, J-Flow, sFlow, NetStream og IPFIX
  • NBAR2 for trafikklassificering
  • QoS analyse
  • God til VoIP
  • Løser flaskehalse

Det er muligt at se disse indsamlede data live på skærmen. Den reelle analyse foregår dog kun på lagrede data. Hjælpeprogrammet er i stand til at identificere VLAN'er, såsom simultane stemmetrafik på netværket. Live data funktioner inkluderer gennemløbstærskler, der vil advare dig hvis trafikken begynder at presse til grænsen af ​​netværkets kapacitet.

Dataanalyseskærmene vises de bedste trafikgenererende applikationer og den kan også segmentere data efter kilde og protokol/port. Tidsbaserede diagrammer viser toppe og lavpunkter i trafikmængder over timer, dage eller måneder. Dette vil gøre dig i stand til at vurdere tidspunkterne for spidsbelastning, så du kan flytte batchjobs og downloads til mindre kritiske timer.

Afhjælpningsværktøjer i værktøjet omfatter trafikformende foranstaltninger , at du kan implementere og administrere købaserede trafikudformningsforanstaltninger, såsom klassebaseret Quality of Service.

Fordele:

  • Lader dig spore trafik fra punkt til punkt
  • Viser overbelastede enheder
  • Identificerer store trafikgeneratorer
  • Giver protokolanalyse
  • Hjælper med at implementere trafikformning

Ulemper:

  • Ikke SaaS-version

Både Netværksydelsesmonitor og NetFlow Traffic Analyzer vil dække LAN'er, trådløse netværk, WAN'er og forbindelser til Cloud-tjenester. Begge disse værktøjer installeres på Windows Server, og de er skrevet på en fælles platform, så de kan interagere. Denne dataudveksling muliggør en række fælles moduler, bl.a PerfStack , som viser de underliggende ressourcer, der understøtter hver applikation og deres livestatusser. Du kan få en 30-dages gratis prøveversion af NetFlow Traffic Analyzer.

SolarWinds tilbyder også en 30-dages gratis prøveversion af Network Bandwidth Analyzer Pack.

Relateret indlæg: Gennemgang af SolarWinds NetFlow Traffic Analyzer

REDAKTØRENS VALG

Fantastisk til at fange kontinuerlige strømme af netværkstrafikdata og præsentere rå tal i letlæselige diagrammer og tabeller. Giver et fugleperspektiv af høj kvalitet over, hvor meget trafik der er på netværket og de applikationer, der bruges på det.

Få 30 dages gratis prøveperiode:www.solarwinds.com/netflow-traffic-analyzer

DU:Microsoft Windows Server 2016 & 2019

2. ManageEngine OpManager Plus (GRATIS PRØVE)

ManageEngine OpManager Plus båndbreddeovervågning

ManageEngine OpManager Plusomfatter stort set alle de overvågningsfunktioner, du har brug for for at drive din it-infrastruktur. Dette inkluderer sundhedsovervågning af netværksenheder og trafikstrømsanalyse forsyningsselskaber.

Nøglefunktioner:

  • NBAR for protokolscoring
  • Bruger NetFlow, J-Flow, sFlow, NetStream, Appflow og IPFIX
  • CBQoS
  • Trådløst netværksovervågning

OpManager Plus starter sin levetid ved at scanne netværket og oprette et topologikort og enhedsbeholdning . Det giver dig et overblik over dit netværk, og så kan du arbejde med at teste trafikken på hvert link eller ende til ende mellem to knudepunkter på netværket. Hver gang du ændrer netværkets layout ved at flytte, tilføje eller fjerne udstyr, opdateres topologikortet og inventaret automatisk. Kortet viser status for hver enhed og belastningen på hvert link.

Trafikflowregistreringssystemet i monitoren kan kommunikere med netværksenheder igennem NetFlow , IPFIX , J-Flow , NetStream , sFlow , og AppFlow . Metrics for netværkstrafik vises live på skærmen. Imidlertid gemmes de pakker, der fanges af systemet, i filer til analyse.

Det daglige trafikovervågningssystem giver dig mulighed for at indstille tærskelalarmer, der advarer om mulig ressourceudtømning. Disse advarsler kan sendes til dig via e-mail eller SMS, så du ikke behøver at deltage i overvågningsskærmene konstant.

Systemets analyseskærme hjælper dig med at udforske kilderne til trafik efter applikation, IP-adresse eller grænseflade – det implementerer N.B.A.R . Værktøjet inkluderer prognosehjælp, så du kan udføre kapacitetsplanlægning. Systemet inkluderer også trafikformningsværktøjer, såsom kødannelse og prioritering med klassebaseret QoS for at hjælpe dig med at presse ekstra værdi ud af din netværksinfrastruktur.

OpManager Plus kan overvåge trådløse netværk samt standard LAN'er. Det kan dække internetforbindelser mellem websteder, hvis du kører et WAN, og det er også i stand til at integrere links til Cloud-servere.

Fordele:

  • Versioner til Windows Server og Linux
  • Dækker både kablede og trådløse netværk
  • Kan operere på tværs af internettet for at overvåge WAN'er
  • Tilbyder trafikformende foranstaltninger

Ulemper:

  • Vil installere på cloud-platforme, men det er ikke en SaaS-pakke

Softwaren til OpManager Plus kan installeres på Windows Server eller Linux servere. ManageEngine tilbyder OpManager Plus på en30 dages gratis prøveperiode.

ManageEngine OpManager Plus Download 30-dages GRATIS prøveversion

Relateret indlæg: ManageEngine OpManager – Fuld anmeldelse

3. Noction Flow Analyzer

Noction Flow Analyzer Dashboard

Noction Flow Analyzerer en pakke af systemer til analyse af netværkstrafik til båndbreddeovervågning, kapacitetsplanlægning og BGP-dataevaluering. Analysatoren er afhængig af data indsamlet af netværkstrafikovervågning . Mens Noction-systemet tolker de indsamlede data og viser dem i systemets dashboard, gemmer det også. Disse data indsamles fra switches og routere.

Nøglefunktioner:

  • Bruger NetFlow, J-Flow, sFlow, NetStream og IPFIX
  • Internet rute analyse
  • Netværkstrafikovervågning

Dataindsamleren bruger NetFlow , IPFIX , sFlow , NetStream , og J-Flow systemer til at kommunikere med netværksenheder. Denne række af muligheder er nødvendig, fordi mange udstyrsproducenter har skabt deres eget statistiske forespørgselssprog, som er forudindlæst på deres enheder. Andre producenter stoler på industristandarderne, sFlow og IPFIX. Ved at inkludere muligheden for at bruge alle disse systemer har Noction gjort Flow Analyzer i stand til at overvåge websteder med flere leverandører .

Analysatoren vil vise trafikdata relateret til en anmodet periode. Disse data kan filtreres og sorteres for at fokusere på den trafik, der genereres af hver protokol. Det er også muligt at identificere de trafikmængder, der genereres af hvert endepunkt, og hvilke endepunkter der modtager mere trafik end andre.

Trafikanalysatoren giver dig mulighed for at forudsige fremtiden krav til båndbredde for netværket og ændre dets arkitektur i overensstemmelse hermed.

Forskellige advarsler kan sættes op i sektionen Alerts.Meddelelserkan sendes til teknikere via e-mail eller Slack. Det betyder, at IT-driftspersonalet kan antage, at netværket fungerer godt, medmindre de får besked.

Fordele:

  • Identificerer netværks- og internetruter
  • Sporer trafikstrømme
  • Funktioner til planlægning af netværkskapacitet

Ulemper:

  • Du hoster selv softwaren, men betaler et abonnement

Noction Flow Analyzer installeres på Linux – Ubuntu, CentOS eller RHEL. Systemet opkræves på abonnementsbasis med en takst pr. måned og pr. år. Du kan få en gratis prøveversion at undersøge Noction Flow Analyzer for dig selv.

4. Elastisk stak

Elastic Stack Kibana screenshot

Holland-baserede Elasticsearch B.V. har ramt et meget succesfuldt nichemarked med Elastic Stack. Mange softwarekøbere føler sig begrænset af de altomfattende pakker med overvågnings- og analysesystemer og foretrækker det vælge den bedste i racen for hver netværksanalysefunktion. Elastic Stack arbejder sammen for at fange pakker, analysere dem og vise resultaterne, men hvert element kan være det indsat separat og bruges sammen med værktøjer fra andre udbydere.

Nøglefunktioner:

  • Gratis version
  • Hosted mulighed
  • Modulær og fleksibel

Forretningen startede op med sin Elasticsearch produkt og bærer stadig dette navn for virksomheden. Dette værktøj søger gennem logfiler og lagrede pakkestrømme. Det udleder derefter statistik fra disse søgninger. Du bruger denne søgemaskine som et analytisk værktøj.

Kibana er frontenden af ​​Elastic Stack. Dette er stjernen i stalden og anbefales bredt af mange andre netværksanalyseværktøjer. Der er mange open source-netværkstrafikanalyseværktøjer ude på markedet, som er udviklet af genier, der bare ikke kan blive generet af en præsentation. Disse meget gode systemer springer over besværet med at skabe et dashboard og bare fortælle deres brugere om at installere Kibana i stedet.

Kibana blev bygget til at interagere med mange backend-dataindsamlings- og interpolationssystemer, som f.eks OSSEC . Det blev dog specifikt skrevet til at arbejde med Elasticsearch. Værktøjet har meget attraktive datavisualiseringer og skærmene kan tilpasses. Interoperabiliteten med Elasticsearch betyder, at de forespørgsler, du udfører i Kibana, bliver implementeret af Elasticsearch, hvor resultaterne returneres til Kibanas datafortolkningssystem.

Logstash er det laveste lag af Elastic Stack. Dette er en logserver og kan oprette lagerfiler til en lang række data. Til trafikanalyse kan du bruge en gratis pcap værktøj til at føde ind i stakken via Logstash.

Fordele:

  • En gruppe nyttige værktøjer til at indsamle, analysere og se data
  • Opret din egen applikation
  • Fortolk data til grafer og diagrammer

Ulemper:

  • Ikke en forudskrevet trafikanalysator

Elastic Stack-programmerne er gratis at bruge og de er tilgængelige for Windows , Linux , og macOS . Elastic Stack er også tilgængelig i en understøttet version mod et gebyr. Der er en Cloud-baseret tjeneste til Elastic Stack, kaldet Elastisk sky .

Relateret indlæg: Bedste J-Flow overvågningsværktøjer

5. Plixer Scrutinizer

Plixer Scrutinizer

Plixer Scrutinizer er en selvstændig trafikanalysator der er tilgængelig som en enhed, som en virtuel enhed eller som en cloud-tjeneste. Fokus for dette værktøj er at identificere sikkerhedstrusler, og dets fulde navn er Scrutinizer Incident Response System.

Nøglefunktioner:

  • Bruger NetFlow, J-Flow, sFlow, NetStream og IPFIX
  • Implementeringsmuligheder
  • Behandler store mængder trafikdata

Scrutinizer samler pakker og metrics med NetFlow , IPFIX , NetStream , J-Flow , og sFlow . Systemet kommunikerer med switche, routere, firewalls, servere og trådløse adgangspunkter. Dataindsamling sker samtidigt på mange punkter på netværket. Alle videregivelsesdata vises i live-grafer, efterhånden som de forekommer, men de gemmes også til sikkerhedsanalyse. De mange synspunkter kan være nyttige til trafikanalyse såvel som til sikkerhedsprocesser, fordi de viser flaskehalse i systemet.

Al den dataindsamling producerer meget store mængder information – op til 10 millioner flows i sekundet . Scrutinizer-interpolationsmotoren er dog bygget til at håndtere så meget volumen. Selvom systemet er beregnet til at arbejde med lagrede data, fungerer det på et glidende vindue og starter med at inkludere nye data, så snart det kommer ind. Dette giver det en ' nær live ”-kapacitet, der er i stand til at opdage sikkerhedsbrud næsten øjeblikkeligt. Du behøver ikke vente med at finde ud af et par dage senere, at der har været et alvorligt problem. Incidenser vises som tilsidesætte advarsler i skærmbillederne til overvågning af systemets ydeevne.

Fordele:

  • Tilbydes som et apparat, et virtuelt apparat eller en SaaS-pakke
  • Analyse af sikkerhedstrusler
  • Trafikstyring

Ulemper:

  • Ingen muligheder for at integrere med IT-aktiveringssystemer

Scrutinizer markedsføres på en abonnementsmodel med tre serviceniveauer: Gratis , SSVR , og SCR . Som man kunne forvente, den gratis version har datagennemstrømningslofter volumengrænser og færre hjælpeprogrammer end de betalte udgaver.

Betalte planer giver dig mulighed for planlægge dataindsamling og rapportering. De betalte planer kan tilgås gratis på en 30-dages prøveperiode .

6. Åbn WIPS-NG

OpenWIPS-skærmbillede Open WIPS-NG er et system til forebyggelse af indtrængen til trådløse netværk. Dette er en gratis værktøj der inkluderer indtrængen detektion og automatiserede svar. Værktøjet er et søsterprodukt til Aircrack-sprog , som er kendt som et hackerværktøj.

Nøglefunktioner:

  • Trådløse netværk
  • Pakkefangst
  • Gratis at bruge

Trafikanalysatoren indeholder tre elementer: en sensor , en databehandler , og en grænseflade . Sensoren er en tovejskommunikationskanal, så den fungerer som en implementering af afhjælpningsstrategier, når der opdages ondsindet aktivitet.

Sensoren er en trådløs pakkesniffer. Den samler konstant pakker og sender dem til en fil. Filen er en kilde til serverprogrammet, som implementerer detektionsregler , på udkig efter tegn på indtrængen. Resultaterne af sikkerhedstjek vises i grænsefladen.

Udbedring kan implementeres automatisk. Hvis en ubuden gæst opdages, sender serverprogrammet en kommando til det trådløse AP via sensoren for at sparke denne bruger ud af netværket.

Fordele:

  • Sikkerhedsovervågning gennem trafikregistrering
  • Muligheder for automatiske svar
  • Aggregerer data for at identificere mønstre af ondsindet aktivitet

Ulemper:

  • At blive gammel
  • Ingen hjælp

Åben WIPS-NG er en open source-projekt . Softwaren kan kun køres på Linux .

Udforskning af netværkstrafikanalyse

Som denne rapport gør det klart, er der to hovedårsager til at udføre netværkstrafikanalyse: forbedring af netværkets ydeevne og sikkerhedstjek . Denne guide havde til formål at bedømme de bedste i begge disse verdener. Hvis du har et yndlingsværktøj til netværkstrafikanalyse, der ikke er på denne liste, skal du efterlade en besked i Kommentarer afsnittet nedenfor og del din oplevelse med fællesskabet.

Ofte stillede spørgsmål om netværkstrafikanalyse:

Hvorfor er det vigtigt at udføre en baseline definitionsanalyse for netværkstrafik?

En baseline giver dig et mønster af normal adfærd på dit netværk. Det er nyttigt at etablere regelmæssige trafikmønstre pr. applikation. Dette giver dig mulighed for at registrere unormal aktivitet, hvis trafikken for en bestemt protokol pludselig stiger.

Hvad er netværkstrafikanalyse?

Netværkstrafikanalyse kan bruges til kapacitetsplanlægning og også til sikkerhedsovervågning. I begge tilfælde kan analyse af overskrifterne på cirkulerende datapakker give dig en løbende total trafik pr. slutpunkt og pr. protokol. Med en lagret historik over trafikmønstre kan du identificere uventede stigninger i trafik pr. kilde og pr. protokol.

^