5 bedste værktøjer til Deep Packet Inspection i 2018

Netværk er en vanskelig ting at styre og overvåge. Det er forståeligt, at netværkstrafik sker indenfor kobberkabling eller optiske fibre, og det kan ikke ses. Dette gør det lidt kompliceret for enhver administrator at have et klart og klart billede af, hvad der sker med de netværk, de administrerer. Det er her, hvor netværksovervågningen kommer ind. Og når det kommer til netværksovervågning, er der flere niveauer til rådighed, der hver giver mere information om trafikken. Deep packet inspektion er det øverste niveau af overvågning, der giver mest information om netværkstrafik. For at udføre dyb pakkekontrol har du brug for rigtige værktøjer - og i dag gennemgår vi nogle af de bedste værktøjer til dyb pakkeinspektion.

Før vi begynder, forsøger vi at forklare dyb pakkeinspektion. Det lader til, at alle har en modstridende ide om, hvad det er og hvad det skal være. Den dybe pakkeinspektion af interesse for os i dag har at gøre med netværksovervågning, en anden vag term. For at forsøge at kaste lys over emnet diskuterer vi generelt overvågning og flowanalyse, da det udgør en form for dyb pakkeinspektion. Og siden Ciscos NetFlow-teknologi synes at være den mest udbredte, vi får et dybere kig på det. Først da vil vi være klar til at afsløre, hvad de bedste værktøjer til dyb pakkeinspektion er, og at tilbyde dig en kort gennemgang af hver.

Deep Packet Inspection Forklaret

Deep packet inspektion er defineret som en handling for en netværksinfrastruktur komponent at analysere indholdet af datapakker ud over blot at se pakkeoverskriften for at indsamle statistikker om netværkstrafik eller til filtrering, prioritering eller intrusion detektion formål. Mens denne definition er relativt nøjagtig, er den lidt generisk. Endvidere kan den dybe pakkeinspektion variere afhængigt af det, du forsøger at opnå. Den dybe pakkeinspektion, der er udført til statistikindsamling, er f.eks. Forskellig fra dyb pakkeinspektion, der er lavet til at filtrere ud noget trafik. I forbindelse med denne artikel er det, vi er interesseret i, mest for statistikindsamling. Værktøjerne, vi gennemgår kort tid, er i det væsentlige avancerede overvågningsværktøjer.

Om overvågningsværktøjer

Netværksovervågning, ligesom dyb pakkeinspektion, er ikke en klart defineret term. Den mest grundlæggende form for netværksovervågning er båndbreddeovervågning. Det gøres typisk ved hjælp af Simple Network Management Protocol. Denne type overvågning er meget nyttig for at få et klart billede af dit netværks udnyttelse, men det har begrænsninger. Mens det vil give dig den gennemsnitlige båndbreddeudnyttelse på et bestemt punkt i netværket, vil det ikke give detaljer om, hvad der bruger op på båndbredden.

For et klarere billede af, hvilken trafik der transporteres på et netværk, skal du bruge flowanalyse. Flow analyse går langt dybere end båndbredde overvågning og kan give detaljerede oplysninger. Det er afhængig af netværksenhederne selv at sende trafikoplysninger til overvågningssystemer kaldet samlere og / eller analysatorer, der kan fortolke flowdata og præsentere det på meningsfulde måder. Flowanalyse vil for eksempel vise dig, hvordan netværkstrafik fordeles mellem alle kilder og destinationer. Det vil fortælle dig om hvilke protokoller og hvilke typer trafik der bruges.

Flow analyse kan betragtes som en dyb pakke inspektion, fordi det går ud over bare at se på overskriften for at finde kvalitative oplysninger om de faktiske data, der transporteres på et netværk. Den mest almindelige af alle flowanalyse teknologier er helt sikkert Cisco NetFlow. Lad os få et dybere kig på det.

Mere om NetFlow

NetFlow blev oprindeligt udviklet af Cisco Systems og introduceret på deres routere med det formål at give mulighed for at indsamle IP-netværkstrafikoplysninger, da det går ind eller ud af en grænseflade. Den oprindelige hensigt skulle bruges til at opbygge bedre adgangskontrollister (ACL). Det er siden blevet udvidet til en ægte overvågningsordning, og de flowdata, der indsamles af enheder, eksporteres nu dia.

NetFlow-teknologien består af i det væsentlige tre komponenter. Den første er strømningseksportøren, som aggregerer pakker i strømme og eksportstrømningsoptegnelser mod en eller flere flowsamlere. Den næste komponent, flowsamleren, er ansvarlig for modtagelse, opbevaring og forbehandling af strømdata hentet fra den foregående komponent. Endelig bruges flowanalysatoren til at analysere de modtagne strømningsdata. Denne analyse kan bruges til trafikprofilering eller netværksfejlfinding, blandt andre anvendelser. Mange moderne opsætninger kombinerer flowsamleren og analysatoren til en enkelt integreret komponent.

Hvordan fungerer NetFlow

Enhver anden enhed, der understøtter NetFlow, kan konfigureres til at udstille flowdata i form af flowregistre og sende dem til en NetFlow-samler. En strøm er en komplet samtale i IP-forstanden. Og der kunne være mange strømme, der går igennem en grænseflade til enhver tid. Netværksenheden, der forbereder strømningsoptegnelser, sender dem til opsamleren, når den bestemmer, enten gennem ældning eller at se en TCP-sessionstop, at strømmen er færdig.

NetFlow Architecture

En typisk flow rekordpakker ret lidt information. Dette omfatter indgangs- og udgangsgrænsefladerne, strømmenes start- og sluttidstemmer, antallet af byte og pakker, den indeholder, 3-overskrifterne, kilde- og destinations-IP-adressen og portnummeret, IP-protokollen og TOS'en (TOS) Type Service) værdi. Flow records indeholder ikke de faktiske data, der udgjorde strømmen. De indeholder kun oplysninger om strømmen. Dette er vigtigt ud fra et sikkerhedssynspunkt.

I de fleste miljøer er strømningssamlerne, hvor posterne sendes, ofte også flowanalysatorer. Kun meget store multi-site netværk vil have gavn af at have separate samlere fordelt på de forskellige steder. Samlerne og analysatorerne anvender oplysningerne i flowregistre til at præsentere data om netværkstrafik på en måde, der er nyttig for netværksadministratorer. Faktisk er de vigtigste forskelle mellem de forskellige værktøjer den måde, hvorpå de kan give mening og nuværende data på en meningsfuld måde.

De bedste værktøjer til Deep Packet Inspection

Fra et overvågnings synspunkt er flowanalyse en form for dyb pakkeinspektion, så de værktøjer, vi gennemgår i dag, er faktisk NetFlow analysatorer. Mange af dem vil gøre mere end det, selvom nogle er en del af en komplet overvågningsløsning.

1. SolarWinds NetFlow Traffic Analyzer (GRATIS prøve)

SolarWinds, i det usandsynlige tilfælde, som du aldrig har hørt om virksomheden, gør nogle af de bedste software til netværks- og systemadministration. Et af sine flagskibsprodukter, SolarWinds Network Performance Monitor, anses af mange for at være en af ​​de bedste netværk båndbredde overvågning værktøj. Og SolarWinds gør også nogle gode gratis værktøjer, der hver især adresserer en specifik opgave for netværksadministratorer. To eksempler på disse gratis værktøjer er en gratis avanceret subnet-regnemaskine og en gratis syslog server. Og når det kommer til NetFlow-trafikanalyse, er SolarWinds NetFlow Traffic Analyzer (NTA) en af ​​de bedste NetFlow-samlere og analysatorer, du kan finde.

SolarWinds NTA Dashboard Sammenfatning

Blandt produktets bedste funktioner, den SolarWinds NetFlow Traffic Analyzer kan overvåge båndbreddebrug ved hjælp af applikation, protokol og IP-adressegruppe. Det kan ikke kun overvåge Cisco NetFlow, men også Juniper J-Flow, sFlow, Huawei NetStream og IPFIX - nogle andre flowanalyseteknologier baseret på NetFlow for at identificere hvilke applikationer og protokoller der er forbrugerne med den bedste båndbredde. Værktøjet indsamler trafikdata, korrelerer det til et brugbart format og præsenterer det til brugeren på et webbaseret dashboard. Produktet understøtter Cisco NBAR2 for at identificere, hvilke applikationer og kategorier der bruger mest båndbredde, hvilket giver dig en endnu bedre netværkstrafiksynlighed.

Den SolarWinds NetFlow Traffic Analyzer er en tilføjelse til Network Performance Monitor (NPM). Hvis du ikke allerede ejer en NPM-licens, skal du faktorere den omkostning. De starter ved $ 2 955 for op til 100 elementer. Hvad angår NTA-tilføjelsen skal dens licens svare til antallet af noder i din NPN-licens, og priserne starter ved $ 1 915. Hvis du hellere vil prøve produktet, inden du forpligter dig til et køb, er der gratis prøveversion fra SolarWinds.

2. SolarWinds Real-Time NetFlow Analyzer (Gratis Download)

Hvis du har brug for en mindre løsning, skal du SolarWinds Real-Time NetFlow Analyzer kan være lige hvad du har brug for. Dette er et af SolarWinds berømte gratis værktøjer, og selvom det ikke er lige så komplet som NetFlow Traffic Analyzer, giver det dig nogle af de samme grundlæggende funktionaliteter.

Det kan registrere og analysere flowdata i realtid. Og det vil vise dig den type trafik, der transporteres på dit netværk, hvor den kommer fra, og hvor den kommer til. Du kan også bruge det - til en vis grad - at diagnosticere trafikspidser og fejlfinding af båndbreddeproblemer.

SolarWinds RTNA Screenshot

Produktet giver dig mulighed for at identificere, hvilke brugere, enheder og applikationer der bruger mest båndbredde; isolere netværkstrafik via samtale, app, domæne, endepunkt og protokol; og se netværkstrafik efter type og angivne tidsperioder

Selvfølgelig kan du ikke forvente, at denne gratis software gør alt, hvad den store bror gør. Det har nogle alvorlige begrænsninger, og dets primære fokus er den aktuelle og meget nyere tilstand af dit netværk. Den samler kun data fra en NetFlow-grænseflade og vil kun holde og analysere de sidste 60-minutter af data.

Hvis du har brug for en hurtig og beskidt visning af din båndbredde, vil SolarWinds gratis Real-Time NetFlow Analyzer give det, men ikke meget mere.

3. ManageEngine NetFlow Analyzer

ManageEngine er et andet kendt navn inden for netværksstyringsværktøjer. dens ManageEngine NetFlow Analyzer giver netværksadministratorer et detaljeret billede af netværksbåndbreddeudnyttelse samt trafikmønstre. Produktet styres af en web-baseret grænseflade og tilbyder et imponerende antal forskellige visninger på dit netværk.

For eksempel vil produktet lade dig se trafik via applikation, samtale, pr. Protokol og flere flere muligheder. Du har også mulighed for at indstille advarsler for at advare dig om mulige problemer. Du kan f.eks. Indstille en trafikgrænse på en bestemt grænseflade og blive advaret, når den overskrides.

ManageEngine Netflow Analyzer

Men det største styrker i dette værktøj er dets rapporter og dashboard. Det kommer med flere meget nyttige præ-bygget rapporter, der er skræddersyet til specifikke formål som fejlfinding, kapacitetsplanlægning eller fakturering. Og lige så godt som de indbyggede rapporter er, tillader værktøjet også administratorer at oprette brugerdefinerede rapporter til deres smag.

Produktets instrumentbræt er lige så imponerende som dets rapporter. Den indeholder flere cirkeldiagrammer med ting som topapplikationer, topprotokoller eller topkonversationer. Det kan også vise en slags varmekort med status for de overvågede grænseflader. Og ligesom rapporterne kan instrumentbrættet også tilpasses, så det kun indeholder de oplysninger, du finder nyttige. Dashboardet er også, hvor advarsler vises i form af pop-ups. On-the-go-netværksadministratoren vil ikke føle sig udeladt, da en smartphone-app er tilgængelig, og det giver dig adgang til både instrumentbrættet og rapporterne.

Den ManageEngine NetFlow Analyzer understøtter mest flow teknologier, herunder NetFlow, IPFIX, J-flow, NetStream og et par andre. Dette værktøj kan også prale af en fremragende integration med Cisco-enheder, med muligheden for at justere trafikdannelse og / eller QoS-politikker lige inden for værktøjet.

Den ManageEngine NetFlow Analyzer kommer i to versioner. Der er en gratis version, der er begrænset til kun at overvåge to grænseflader. Mens dette ikke er meget, kan det være alt, hvad du har brug for. Og den gratis version giver ubegrænsede enheder til de første 30-dage, hvilket giver dig mulighed for at foretage en grundig testkørsel. Når forsøget er forbi, er licenser tilgængelige i flere størrelser fra 100 til 2500-grænseflader eller strømmer med priser, der starter med omkring $ 600 plus årlige vedligeholdelsesafgifter.

4. Paessler Router Traffic Grapher (PRTG)

PRTG fra Paessler er en anden velkendt, alt-i-en-løsning, hvis primære formål er at overvåge båndbreddeudnyttelsen. Det bruges også til at overvåge tilgængeligheden og sundheden af ​​forskellige netværksressourcer. Som sådan er det et andet meget nyttigt værktøj til netværksadministratorer. Men takket være en NetFlow sensor, der er tilgængelig for produktet, PRTG kan også fungere som en NetFlow samler og analysator.

PRTG Screenshot

I virkeligheden, PRTG er ikke kun et båndbreddeovervågningsværktøj eller en NetFlow-samler og analysator. Det bruger flere teknologier til at overvåge systemer, enheder, trafik og applikationer. Blandt dem produktet vil bruge SNMP Med klar til brug og brugerdefinerede indstillinger strømmer WMI og Windows-performance-tællere, SSH til Linux / Unix og MacOS-systemer, såsom NetFlow eller sFlow- og packet sniffing, HTTP-anmodninger, REST API'er, der returnerer XML eller JSON, Ping, SQL og mange mere.

Installation PRTG det er nemt. Du kører bare installationsprogrammet, så vil auto-opdagelsesprocessen opdage enheder og opsætte sensorer. Du er så fri til at tilføje yderligere sensorer, som NetFlow-samlere manuelt. Der er endda en detaljeret video på Paesslers hjemmeside, der viser dig, hvordan det er gjort.

Serveren kører kun på Windows, men brugergrænsefladen er web-baseret og kan fås fra enhver browser. Der er også en mobil klient-app, som du kan installere på din smartphone. Mobil klientappen har en unik funktion i form af QR-etiketter, som du kan udskrive og tilknytte på dine enheder. Derefter åbner en scanning af koden fra mobilappen hurtigt enhedens sensordata.

To versioner af PRTG er ledig. Der er en gratis version, der er begrænset til 100 sensorer. Vær opmærksom på at en sensor i PRTG parlance er ikke en enhed. Det er i stedet det mest grundlæggende element, der kan overvåges. For eksempel kræver overvågning af hver port i en 48-portkontakt, at 48-sensorer og NetFlow-samling og analyse kræver én sensor pr. I det tempo er det indlysende, at 100-sensorer måske ikke er så meget, som det først blev vist. Hvis du har brug for mere end 100 sensorer, skal du købe en licens. De er tilgængelige i 500-, 1000-, 2500- eller 5000-sensorer, og der er også en ubegrænset licens. Priserne varierer fra omkring $ 1 600 til lige under $ 15 000. Den gratis version giver ubegrænsede sensorer til de første 30-dage, så du kan drage fordel af et grundigt testdrev af produktet.

5. Scrutinizer

Sidst på vores liste er Scrutinizer fra Plixer, en anden fremragende NetFlow Analyzer. Det er faktisk meget mere end det, og nogle ser det som et komplet incident response system. Produktet har evnen til at overvåge forskellige strømningstyper som NetFlow, J-flow, NetStream og IPFIX, så du ikke er begrænset til at overvåge kun Cisco-enheder.

Scrutinizer Architecture

Scrutinizer kan prale af et hierarkisk design, der tilbyder strømlinet og effektiv dataindsamling og giver dig mulighed for at starte små og derefter skala op til mange millioner strømme pr. sekund. Netværket er ofte først skylden, når noget går galt. Med dette værktøj kan du hurtigt finde den virkelige årsag til næsten alle netværksproblemer. Produktet virker med både fysiske og virtuelle miljøer og leveres med avancerede rapporteringsfunktioner.

Scrutinizer er tilgængelig i fire licens niveauer. De spænder fra den grundlæggende gratis version til det fuldt udviklede SCR-niveau, som kan skala op til over 10 millioner strømme pr. Sekund. Den frie version er begrænset til 10 tusind strømninger pr. Sekund, og den vil kun holde råstrømdata i 5-timer, men det skal være mere end nok til at fejle netværksproblemer. Du kan også prøve nogen licens niveau for 30 dage, hvorefter den vender tilbage til den gratis version.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.