6 nejlepších nástrojů pro analýzu síťového provozu (NTA).

Analýza síťového provozu zahrnuje zkoumání paketů procházejících sítí. Historicky byla tato strategie určena k prozkoumání zdrojů veškerého provozu a objemů propustnosti kapacitní analýza .

V poslední době se analýza síťového provozu rozšířila o hloubková kontrola paketů používané firewally a analýza dopravních anomálií používané systémy detekce narušení.

Rozmanitost účelů analýzy provozu lze vidět v seznamu nejlepších nástrojů pro analýzu síťového provozu:

1. SolarWinds NetFlow Traffic Analyzer VOLBA REDAKCE Přední analyzátor síťového provozu. Pro zachycení paketů spolupracuje s NetFlow, J-Flow, sFlow, NetStream a IPFIX.
2. ManageEngine OpManager Plus (ZKOUŠKA ZDARMA)Rozšíření standardního monitoru výkonu sítě OpManager, který zahrnuje analýzu provozu.
3. Noction Flow AnalyzerJedná se o balíček nástrojů pro monitorování sítě, který zahrnuje analyzátor plánování kapacity, který vyvolává uložená data o provozu. Běží na Linuxu.
4. Elastický zásobník Sada nástrojů pro sběr dat a analýzu obsahující Elasticsearch a Kibana.
5. Plixer Scrutinizer Analyzátor provozu používaný pro zabezpečení sítě, který vzorkuje provoz z více síťových umístění současně.
6. Otevřete WIPS-NG Systém ochrany bezdrátové sítě, který zahrnuje analýzu provozu.

Co hledat v nástroji pro analýzu síťového provozu

Na jednodušším konci trhu najdete sniffery paketů které kopírují procházející provoz do souborů. Tyto informace je pak třeba zpracovat, abychom je získali smysluplné poznatky do dopravních vzorců. Na druhém konci škály najdete komplexní systémy, které vzorkují provoz z několika bodů sítě současně. Mohou také konsolidovat tento zdrojový materiál, aby odhalili neobvyklé chování uživatelů.

Přestože síť nabízí živé zdroje dat, nástroje pro analýzu síťového provozu zřídka fungují v reálném čase . Hlavičky paketů jsou hlavním zdrojem informací pro analýzu, ale analyzátory provozu čekají, dokud nebude zachycena a uložena řada paketů. Lze tedy říci, že NTA fungují na aplikační vrstvě a ne na síťové vrstvě.

Analýza na aplikační vrstvě poskytuje nástroj NTA lepší přehled o síťové aktivitě . Informace dostupné na síťové vrstvě jsou nedostatečné k odhalení celkových vzorců provozu a postrádají škodlivý provoz, který je záměrně rozšířen mezi četné pakety nebo kombinuje akce z různých zdrojů.

Analýza síťového provozu může poskytnout rychlou zpětnou vazbu, ale nejrychleji je to pouze „ skoro žít .“ Bezpečnostní aplikace nemohou detekovat hrozby, dokud nemají proudy dat, se kterými mohou pracovat. S plánování a analýzy kapacit , je zde menší naléhavost – přesnost projekcí je důležitější než bezprostřednost.

Související příspěvek: Nástroje pro plánování kapacity sítě

Nejlepší nástroje pro analýzu síťového provozu

Nástroj NTA, který vás bude nejvíce zajímat, závisí na důvodu, pro který potřebujete analyzovat vaši síť.

Naše metodika pro výběr nástrojů NTA pro tento seznam

Prozkoumali jsme trh se softwarem pro analýzu síťového provozu a posoudili možnosti na základě následujících kritérií:

• Monitor, který je schopen používat protokoly toku provozu, jako jsou NetFlow, J-Flow a sFlow ke komunikaci s přepínači a směrovači
• Možnosti pro zachycení paketů nebo vzorkování paketů
• Analyzátor protokolu pro segmentaci statistik provozu podle aplikace
• Schopnost identifikovat objemy provozu na odkaz a end-to-end na dané cestě
• Živá dopravní data zobrazená v grafickém formátu
• Bezplatná zkušební verze na bezplatné období hodnocení nebo zcela bezplatný nástroj
• Bezplatné nástroje, které se vyplatí nainstalovat, nebo placené nástroje, které nabízejí hodnotu za peníze

Popisy jednotlivých nástrojů v následujících částech by vám měly pomoci při rozhodování.

1. SolarWinds NetFlow Traffic Analyzer (ZKUŠEBNÍ ZKOUŠKA ZDARMA)

TheSolarWinds NetFlow Traffic Analyzerje k dispozici jako samostatný monitor nebo jako součástSada Network Bandwidth Analyzer Pack, který také zahrnujeMonitor výkonu sítě. NetFlow Traffic Analyzer využívá nástroje pro analýzu paketů zabudované do síťového zařízení k získání vzorků paketů a metrik propustnosti. Mezi tyto systémy patří Cisco Síťový tok , J-Flow od Juniper Networks a Huawei's NetStream , plus sFlow a IPFIX systémy. Nástroj také interpretuje NBAR2 data ze zařízení Cisco.

Klíčové vlastnosti:

• Používá NetFlow, J-Flow, sFlow, NetStream a IPFIX
• NBAR2 pro klasifikaci provozu
• QoS analýza
• Dobré pro VoIP
• Řeší úzká místa

Tato shromážděná data je možné sledovat živě na obrazovce. Skutečná analýza však probíhá pouze na uložených datech. Nástroj je schopen identifikovat sítě VLAN, například simultánní hlasový provoz na síti. Funkce živých dat zahrnují prahové hodnoty propustnosti, které vás upozorní pokud provoz začne tlačit na hranici kapacity sítě.

Zobrazí se obrazovky analýzy dat nejlepší aplikace generující provoz a může také segmentovat data podle zdroje a protokolu/portu. Časové grafy zobrazují vrcholy a poklesy v objemech provozu za hodiny, dny nebo měsíce. To vám umožní vyhodnotit doby špičkové poptávky, abyste mohli přesunout dávkové úlohy a stahování na méně kritické hodiny.

Nástroje nápravy v obslužném programu zahrnují opatření pro formování dopravy , že můžete implementovat a spravovat opatření pro tvarování provozu založená na frontách, jako je například kvalita služeb podle třídy.

Klady:

• Umožňuje sledovat provoz z bodu do bodu
• Zobrazuje přetížená zařízení
• Identifikuje velké generátory provozu
• Poskytuje analýzu protokolu
• Pomáhá s implementací formování provozu

Nevýhody:

• Ne verze SaaS

Oba Monitor výkonu sítě a NetFlow Traffic Analyzer bude pokrývat LAN, bezdrátové sítě, WAN a připojení ke cloudovým službám. Oba tyto nástroje se instalují na Windows Server a jsou napsány na společné platformě, takže mohou vzájemně spolupracovat. Tato výměna dat umožňuje řadu běžných modulů, vč PerfStack , která zobrazuje základní zdroje podporující každou aplikaci a její aktuální stavy. Můžete získat 30denní bezplatnou zkušební verzi NetFlow Traffic Analyzer.

SolarWinds také nabízí 30denní bezplatnou zkušební verzi sady Network Bandwidth Analyzer Pack.

Související příspěvek: Recenze SolarWinds NetFlow Traffic Analyzer

VÝBĚR REDAKCE

Skvělé pro zachycení nepřetržitých proudů dat o síťovém provozu a prezentaci nezpracovaných čísel do snadno čitelných grafů a tabulek. Poskytuje kvalitní pohled z ptačí perspektivy na to, jaký je provoz v síti a jaké aplikace jsou na ní používány.

Získejte 30denní bezplatnou zkušební verzi:www.solarwinds.com/netflow-traffic-analyzer

VY:Microsoft Windows Server 2016 a 2019

2. ManageEngine OpManager Plus (ZKOUŠKA ZDARMA)

ManageEngine OpManager Plusobsahuje téměř všechny možnosti monitorování, které potřebujete pro provoz své IT infrastruktury. To zahrnuje monitorování stavu síťového zařízení a analýza dopravního proudu utility.

Klíčové vlastnosti:

• NBAR pro bodování protokolu
• Používá NetFlow, J-Flow, sFlow, NetStream, Appflow a IPFIX
• CBQoS
• Monitorování bezdrátové sítě

OpManager Plus začíná svou životnost skenováním sítě a vytvářením mapu topologie a inventář zařízení . To vám dává přehled o vaší síti a pak můžete pracovat na testování provozu na každém spoji nebo mezi dvěma uzly v síti. Kdykoli změníte rozložení sítě přesunutím, přidáním nebo odebráním zařízení, mapa topologie a inventář se automaticky aktualizují. Mapa zobrazuje stav každého zařízení a zatížení každého odkazu.

Systém zachycení toku provozu v monitoru může komunikovat se síťovými zařízeními prostřednictvím Síťový tok , IPFIX , J-Flow , NetStream , sFlow , a AppFlow . Metriky síťového provozu se zobrazují živě na obrazovce. Pakety zachycené systémem jsou však ukládány do souborů pro analýzu.

Systém každodenního sledování provozu umožňuje nastavit prahové výstrahy, které varují před možným vyčerpáním zdrojů. Tato upozornění vám mohou být zaslána e-mailem nebo SMS, takže nemusíte neustále docházet na monitorovací obrazovky.

Obrazovky analýzy systému vám pomohou prozkoumat zdroje provozu podle aplikace, IP adresy nebo rozhraní – to implementuje N.B.A.R . Nástroj zahrnuje pomoc s prognózami, abyste mohli provádět plánování kapacity. Systém také obsahuje nástroje pro tvarování provozu, jako je řazení do front a prioritizace pomocí Class-Based QoS, které vám pomohou vymáčknout z vaší síťové infrastruktury další hodnotu.

OpManager Plus může monitorovat bezdrátové sítě stejně jako standardní LAN. Může pokrýt internetová propojení mezi stránkami, pokud provozujete WAN, a je také schopen integrovat odkazy na cloudové servery.

Klady:

• Verze pro Windows Server a Linux
• Pokrývá kabelové i bezdrátové sítě
• Může fungovat přes internet a monitorovat sítě WAN
• Nabízí opatření pro formování dopravy

Nevýhody:

• Nainstaluje se na cloudové platformy, ale nejedná se o balíček SaaS

Software pro OpManager Plus lze nainstalovat na servery Windows Server nebo Linux. ManageEngine nabízí OpManager Plus na a30denní bezplatná zkušební verze.

ManageEngine OpManager Plus Stáhněte si 30denní zkušební verzi ZDARMA

Související příspěvek: ManageEngine OpManager – úplná recenze

3. Noction Flow Analyzer

Noction Flow Analyzerje balíček systémy pro analýzu síťového provozu pro monitorování šířky pásma, plánování kapacity a vyhodnocování dat BGP. Analyzátor se spoléhá na data shromážděná společností monitor síťového provozu . Při interpretaci shromážděných dat a jejich zobrazení v systémovém dashboardu je systém Noction také ukládá. Tato data se shromažďují z přepínačů a směrovačů.

Klíčové vlastnosti:

• Používá NetFlow, J-Flow, sFlow, NetStream a IPFIX
• Analýza internetové trasy
• Monitorování síťového provozu

Sběratel dat používá Síťový tok , IPFIX , sFlow , NetStream , a J-Flow systémy pro komunikaci se síťovými zařízeními. Tento rozsah schopností je nezbytný, protože mnoho výrobců zařízení vytvořilo svůj vlastní statistický dotazovací jazyk, který je předem nahrán na jejich zařízeních. Ostatní výrobci spoléhají na průmyslové standardy sFlow a IPFIX. Zahrnutím možnosti používat všechny tyto systémy umožnila společnost Noction analyzátoru průtoku monitorovat stránky s více dodavateli .

Zobrazí se analyzátor dopravní údaje související s požadovaným obdobím. Tato data lze filtrovat a třídit a zaměřit se na provoz generovaný každým protokolem. Je také možné identifikovat objemy provozu generované každým koncovým bodem a které koncové body přijímají více provozu než ostatní.

Analyzátor provozu vám umožňuje předpovídat budoucnost požadavky na šířku pásma pro síť a odpovídajícím způsobem upravit její architekturu.

V sekci Upozornění lze nastavit různá upozornění.Oznámenímohou být zaslány technikům prostřednictvím e-mailu nebo Slacku. To znamená, že pracovníci IT Operations mohou předpokládat, že síť funguje dobře, pokud nebudou informováni.

Klady:

• Identifikuje síťové a internetové trasy
• Sleduje dopravní toky
• Funkce plánování kapacity sítě

Nevýhody:

• Hostujete software sami, ale platíte předplatné

Noction Flow Analyzer se nainstaluje Linux – Ubuntu, CentOS nebo RHEL. Systém je zpoplatněn na základě předplatného sazbou za měsíc a rok. Můžete získat a zkušební verze zdarma abyste si sami vyzkoušeli Noction Flow Analyzer.

4. Elastická sada

Nizozemská společnost Elasticsearch B.V. zasáhla se společností Elastic Stack velmi úspěšný okrajový trh. Mnoho kupujících softwaru se cítí omezeno komplexními balíčky monitorovacích a analytických systémů a raději by to udělali vybrat to nejlepší z plemene pro každou funkci síťové analýzy. Elastic Stack pracuje společně, aby zachytil pakety, analyzoval je a zobrazil výsledky, ale každý prvek může být nasazeny samostatně a používá se ve shodě s nástroji od jiných poskytovatelů.

Klíčové vlastnosti:

• Bezplatná verze
• Možnost hostování
• Modulární a flexibilní

Podnikání začalo s jeho Elastické vyhledávání produkt a stále nese tento název pro společnost. Tento nástroj prohledává protokoly a uložené toky paketů. Z těchto vyhledávání pak odvozuje statistiky. Tento vyhledávač používáte jako analytický nástroj.

Kibana je frontendem Elastic Stack. Toto je hvězda stáje a je široce doporučována mnoha dalšími nástroji pro analýzu sítě. Na trhu existuje mnoho nástrojů pro analýzu síťového provozu s otevřeným zdrojovým kódem, které vyvinuli géniové, kteří se prostě nemohou obtěžovat prezentací. Tyto velmi dobré systémy přeskakují problémy s vytvářením dashboardu a jen řekněte svým uživatelům, aby si nainstalovali Kibana namísto.

Kibana byla postavena tak, aby spolupracovala s mnoha backendovými systémy shromažďování a interpolace dat, jako je např OSSEC . Nicméně byl speciálně napsán pro práci s Elasticsearch. Nástroj má velmi atraktivní vizualizace dat a obrazovky lze přizpůsobit. Interoperabilita s Elasticsearch znamená, že dotazy, které provádíte v Kibaně, implementuje Elasticsearch a výsledky se vrátí do systému pro interpretaci dat Kibana.

Logstash je nejnižší vrstvou Elastic Stack. Toto je log server a může vytvářet úložné soubory pro širokou škálu dat. Pro analýzu návštěvnosti můžete použít bezplatný pcap nástroj pro vkládání do zásobníku přes Logstash.

Klady:

• Skupina užitečných nástrojů pro shromažďování, analýzu a prohlížení dat
• Vytvořte si vlastní aplikaci
• Interpretujte data do grafů a tabulek

Nevýhody:

• Ne předem napsaný analyzátor provozu

Programy Elastic Stack jsou zdarma k použití a jsou k dispozici pro Okna , Linux , a Operační Systém Mac . Elastic Stack je k dispozici také v podporované verzi za poplatek. Existuje cloudová služba pro Elastic Stack, tzv Elastický mrak .

Související příspěvek: Nejlepší nástroje pro monitorování J-Flow

5. Plixer Scrutinizer

Plixer Scrutinizer je samostatný analyzátor provozu který je dostupný jako zařízení, jako virtuální zařízení nebo jako cloudová služba. Tento nástroj se zaměřuje na identifikaci bezpečnostních hrozeb a jeho úplný název je Scrutinizer Incident Response System.

Klíčové vlastnosti:

• Používá NetFlow, J-Flow, sFlow, NetStream a IPFIX
• Možnosti nasazení
• Zpracovává velké objemy dopravních dat

Scrutinizer shromažďuje pakety a metriky Síťový tok , IPFIX , NetStream , J-Flow , a sFlow . Systém komunikuje s přepínači, směrovači, firewally, servery a bezdrátovými přístupovými body. Sběr dat probíhá současně na mnoha místech sítě. Všechna procházející data jsou zobrazena v živých grafech, jak k nim dochází, ale jsou také ukládána pro bezpečnostní analýzu. Více úhlů pohledu může být užitečné pro analýzu provozu i pro bezpečnostní procesy, protože ukazují úzká hrdla v systému.

Veškeré toto shromažďování dat produkuje velmi velké objemy informací – až 10 milionů toků za sekundu . Interpolační engine Scrutinizer je však navržen tak, aby zvládl takový objem. Přestože je systém určen pro práci s uloženými daty, funguje v posuvném okně a začíná včetně nových dat, jakmile vstoupí. blízko živého ” schopnost, která je schopna téměř okamžitě odhalit narušení bezpečnosti. Nemusíte čekat, až o pár dní později zjistíte, že došlo k vážnému problému. Incidenty se objevují jako přepsat výstrahy na obrazovkách sledování výkonu systému.

Klady:

• Nabízeno jako zařízení, virtuální zařízení nebo balíček SaaS
• Analýza bezpečnostních hrozeb
• Řízení dopravy

Nevýhody:

• Žádné možnosti integrace se systémy správy majetku IT

Scrutinizer je nabízen na základě modelu předplatného se třemi úrovněmi služeb: Volný, uvolnit , SSVR , a SCR . Jak byste očekávali, bezplatná verze má omezení datové propustnosti objemové limity a méně nástrojů než placené edice.

Placené plány vám to umožňují naplánovat sběr dat a reportování. Placené plány jsou přístupné zdarma na 30denní zkušební verze .

6. Otevřete WIPS-NG

Open WIPS-NG je systém prevence narušení pro bezdrátové sítě. Toto je a bezplatný nástroj to zahrnuje detekci narušení a automatické reakce. Nástroj je sesterským produktem Aircrack-jazyk , který je dobře známý jako hackerský nástroj.

Klíčové vlastnosti:

• Bezdrátové sítě
• Zachycování paketů
• Zdarma k použití

Analyzátor provozu obsahuje tři prvky: senzor , zpracovatelem dat , a rozhraní . Senzor je obousměrný komunikační kanál, takže funguje jako implementátor zmírňujících strategií, když je zaznamenána jakákoli škodlivá aktivita.

Senzor je bezdrátový paketový sniffer. Neustále shromažďuje pakety a odesílá je do souboru. Soubor je zdrojem pro serverový program, který implementuje pravidla detekce , hledající známky vniknutí. Výsledky bezpečnostních kontrol se zobrazují v rozhraní.

Náprava může být provedena automaticky. Pokud je spatřen narušitel, serverový program odešle příkaz bezdrátovému přístupovému bodu přes senzor, aby tohoto uživatele vykopl ze sítě.

Klady:

• Monitorování bezpečnosti prostřednictvím zachycení provozu
• Možnosti automatických odpovědí
• Agreguje data k identifikaci vzorců škodlivé činnosti

Nevýhody:

• Stárnout
• Bez podpory

Open WIPS-NG je an open-source projekt . Software lze spustit pouze na Linux .

Zkoumání analýzy síťového provozu

Jak tato zpráva objasňuje, existují dva hlavní důvody, proč provádět analýzu síťového provozu: zvýšení výkonu sítě a bezpečnostní kontroly . Cílem tohoto průvodce bylo ohodnotit to nejlepší v obou těchto světech. Pokud máte oblíbený nástroj pro analýzu síťového provozu, který není na tomto seznamu, zanechte zprávu v Komentáře níže a podělte se o své zkušenosti s komunitou.

Časté dotazy týkající se analýzy síťového provozu:

Proč je důležité provést analýzu základní definice síťového provozu?

Základní linie vám poskytuje vzorec normálního chování ve vaší síti. Je užitečné vytvořit pravidelné vzorce provozu pro každou aplikaci. To vám umožní detekovat abnormální aktivitu, pokud provoz pro určitý protokol náhle stoupne.

Co je analýza síťového provozu?

Analýza síťového provozu může být použita pro plánování kapacity a také pro monitorování bezpečnosti. V obou případech vám analýza hlaviček cirkulujících datových paketů může poskytnout průběžný celkový provoz na koncový bod a na protokol. Díky uložené historii vzorců provozu můžete identifikovat neočekávané nárůsty provozu na zdroj a protokol.