6 най-добри инструмента за анализ на мрежовия трафик (NTA).
Анализът на мрежовия трафик включва изследване на пакети, преминаващи през мрежата. В исторически план тази стратегия е имала за цел да проучи източниците на целия трафик и обемите на пропускателна способност в името на анализ на капацитета .
Съвсем наскоро анализът на мрежовия трафик се разшири, за да включва дълбока проверка на пакети използвани от защитни стени и анализ на аномалиите на трафика използвани от системи за откриване на проникване.
Разнообразието от цели за анализ на трафика може да се види в списъка с най-добрите инструменти за анализ на мрежовия трафик:
- SolarWinds NetFlow Traffic Analyzer ИЗБОР НА РЕДАКТОРА Водещият анализатор на мрежов трафик. Работи с NetFlow, J-Flow, sFlow, NetStream и IPFIX за улавяне на пакети.
- ManageEngine OpManager Plus (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)Разширение на стандартния монитор за мрежова производителност OpManager, което включва анализ на трафика.
- Noction Flow AnalyzerТова е пакет от инструменти за наблюдение на мрежата, които включват анализатор за планиране на капацитет, който извиква съхранени данни за трафика. Работи на Linux.
- Еластичен стек Пакет от инструменти за събиране и анализ на данни, включващи Elasticsearch и Kibana.
- Plixer Scrutinizer Анализатор на трафик, използван за мрежова сигурност, който взема проби от трафик от множество мрежови местоположения едновременно.
- Отворете WIPS-NG Система за защита на безжична мрежа, която включва анализ на трафика.
Какво да търсите в инструмента за анализ на мрежовия трафик
В по-простия край на пазара ще намерите снифери на пакети които копират предаване на трафик във файлове. След това тази информация трябва да бъде обработена, за да спечели смислени прозрения в моделите на трафика. В другия край на скалата ще намерите сложни системи, които вземат проби от трафик от няколко точки на мрежата едновременно. Те могат също така да консолидират този изходен материал, за да открият необичайно потребителско поведение.
Въпреки че мрежата предлага живи източници на данни, инструменти за анализ на мрежовия трафик рядко работят в реално време . Заглавките на пакетите са основният източник на информация за анализ, но анализаторите на трафика изчакват, докато серия от пакети бъде уловена и съхранена. Така че може да се каже, че NTA работят на приложния слой, а не на мрежовия слой.
Анализирането на приложния слой дава инструмента NTA по-добър преглед на мрежовата активност . Информацията, налична на мрежовия слой, е недостатъчна за откриване на цялостни модели на трафик и пропуска злонамерен трафик, който умишлено се разпространява в множество пакети или комбинира действия от различни източници.
Анализът на мрежовия трафик може да даде бърза обратна връзка, но най-бързо е само „ почти на живо .” Приложенията за сигурност не могат да откриват заплахи, докато нямат потоци от данни, върху които да работят. с планиране и анализ на капацитета , има по-малко спешност – точността на прогнозите е по-важна от незабавността.
Свързана публикация: Инструменти за планиране на капацитета на мрежата
Най-добрите инструменти за анализ на мрежовия трафик
Помощната програма NTA, която ще ви заинтересува най-много, зависи от причината, поради която трябва да анализирате вашата мрежа.
Нашата методология за избор на NTA инструменти за този списък
Прегледахме пазара за софтуер за анализ на мрежов трафик и оценихме опциите въз основа на следните критерии:
- Монитор, който може да използва протоколи за поток на трафик, като NetFlow, J-Flow и sFlow, за да комуникира с комутатори и рутери
- Опции за улавяне на пакети или вземане на проби от пакети
- Анализатор на протоколи за сегментиране на статистика за трафика по приложение
- Възможност за идентифициране на обемите на трафик за връзка и от край до край по даден път
- Данни за трафика на живо, показани в графичен формат
- Безплатен пробен период за период на оценка без разходи или напълно безплатен инструмент
- Безплатни инструменти, които си заслужава да бъдат инсталирани, или платени инструменти, които предлагат стойност за парите
Описанията на всеки инструмент в следващите раздели трябва да ви помогнат да решите.
1. SolarWinds NetFlow Traffic Analyzer (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
TheSolarWinds NetFlow Traffic Analyzerсе предлага като самостоятелен монитор или като част отПакет за анализатор на честотната лента на мрежата, което също включваМонитор на производителността на мрежата. NetFlow Traffic Analyzer използва помощните програми за анализ на пакети, вградени в мрежовото оборудване, за да получи проби от пакети и показатели за пропускателна способност. Тези системи включват Cisco NetFlow , J-Flow от Juniper Networks и Huawei NetStream , плюс sFlow и IPFIX системи. Инструментът също интерпретира NBAR2 данни от устройства на Cisco.
Основни функции:
- Използва NetFlow, J-Flow, sFlow, NetStream и IPFIX
- NBAR2 за класификация на трафика
- QoS анализ
- Добър за VoIP
- Разрешава тесните места
Възможно е да гледате тези събрани данни на живо на екрана. Истинският анализ обаче се извършва само върху съхранени данни. Помощната програма е в състояние да идентифицира VLAN, като едновременни гласов трафик в мрежата. Функциите за данни на живо включват прагове за пропускателна способност, които ще ви предупреди ако трафикът започне да достига до границата на капацитета на мрежата.
Ще се покажат екраните за анализ на данни най-добрите генериращи трафик приложения и може също да сегментира данни по източник и протокол/порт. Базираните на времето диаграми показват пиковете и спадовете в обемите на трафика за часове, дни или месеци. Това ще ви позволи да оцените моментите на пиково търсене, така че да можете да преместите партидни задачи и изтегляния към по-малко критични часове.
Инструментите за възстановяване в помощната програма включват мерки за оформяне на трафика , че можете да прилагате и управлявате базирани на опашка мерки за оформяне на трафика, като например базирано на клас качество на услугата.
Професионалисти:
- Позволява ви да проследявате трафика от точка до точка
- Показва претоварени устройства
- Идентифицира големи генератори на трафик
- Осигурява анализ на протокола
- Подпомага внедряването на оформяне на трафика
Минуси:
- Не SaaS версия
И двете Монитор на производителността на мрежата и на Анализатор на трафика NetFlow ще обхваща LAN, безжични мрежи, WAN и връзки към облачни услуги. И двата инструмента се инсталират на Windows Server и са написани на обща платформа, така че могат да си взаимодействат. Този обмен на данни позволява редица общи модули, включително PerfStack , което показва основните ресурси, поддържащи всяко приложение и техните състояния на живо. Можете да получите 30-дневна безплатна пробна версия на NetFlow Traffic Analyzer.
SolarWinds също така предлага 30-дневен безплатен пробен период на Network Bandwidth Analyzer Pack.
Свързана публикация: Преглед на анализатора на трафика SolarWinds NetFlow
ИЗБОР НА РЕДАКТОРИТЕ
Чудесно за улавяне на непрекъснати потоци от данни за мрежов трафик и представяне на необработени числа в лесни за четене диаграми и таблици. Дава качествен изглед от птичи поглед за това колко трафик има в мрежата и приложенията, които се използват в нея.
Вземете 30-дневен безплатен пробен период:www.solarwinds.com/netflow-traffic-analyzer
ВИЕ:Microsoft Windows Server 2016 и 2019
2. ManageEngine OpManager Plus (БЕЗПЛАТНА ПРОБНА ВЕРСИЯ)
ManageEngine OpManager Plusвключва почти всички възможности за наблюдение, от които се нуждаете, за да управлявате вашата ИТ инфраструктура. Това включва мониторинг на здравето на мрежовото устройство и анализ на трафик потока комунални услуги.
Основни функции:
- NBAR за точкуване на протокола
- Използва NetFlow, J-Flow, sFlow, NetStream, Appflow и IPFIX
- CBQoS
- Мониторинг на безжична мрежа
OpManager Plus започва своя експлоатационен живот чрез сканиране на мрежата и създаване топологична карта и опис на устройството . Това ви дава общ преглед на вашата мрежа и след това можете да работите върху тестването на трафика на всяка връзка или от край до край между два възела в мрежата. Всеки път, когато промените оформлението на мрежата чрез преместване, добавяне или премахване на оборудване, картата на топологията и инвентарът ще се актуализират автоматично. Картата показва състоянието на всяко устройство и натоварването на всяка връзка.
Системата за улавяне на потока на трафика в монитора може да комуникира с мрежови устройства чрез NetFlow , IPFIX , J-Flow , NetStream , sFlow , и AppFlow . Показателите за мрежовия трафик се показват на живо на екрана. Въпреки това пакетите, уловени от системата, се съхраняват във файлове за анализ.
Системата за ежедневно наблюдение на трафика ви позволява да зададете прагови сигнали, които предупреждават за възможно изчерпване на ресурсите. Тези сигнали могат да ви бъдат изпратени по имейл или SMS, така че да не се налага постоянно да присъствате на екраните за наблюдение.
Екраните за анализ на системата ви помагат да изследвате източниците на трафик по приложения, IP адреси или интерфейси – внедрява N.B.A.R . Инструментът включва помощ при прогнозиране, така че да можете да извършвате планиране на капацитета. Системата също така включва инструменти за оформяне на трафика, като опашка и приоритизиране с QoS, базирано на клас, за да ви помогне да извлечете допълнителна стойност от вашата мрежова инфраструктура.
OpManager Plus може наблюдавайте безжичните мрежи както и стандартни локални мрежи. Той може да покрие интернет връзки между сайтове, ако използвате WAN, и също така може да интегрира връзки към облачни сървъри.
Професионалисти:
- Версии за Windows Server и Linux
- Обхваща както кабелни, така и безжични мрежи
- Може да работи в интернет за наблюдение на WAN
- Предлага мерки за оформяне на трафика
Минуси:
- Ще се инсталира на облачни платформи, но не е SaaS пакет
Софтуерът за OpManager Plus може да се инсталира на Windows Server или Linux сървъри. ManageEngine предлага OpManager Plus на a30-дневен безплатен пробен период.
ManageEngine OpManager Plus Изтеглете 30-дневна БЕЗПЛАТНА пробна версия
Свързана публикация: ManageEngine OpManager – Пълен преглед
3. Noction Flow Analyzer
Noction Flow Analyzerе пакет от системи за анализ на мрежов трафик за мониторинг на честотната лента, планиране на капацитета и оценка на BGP данни. Анализаторът разчита на данни, събрани от монитор на мрежовия трафик . Докато интерпретира събраните данни и ги показва в системното табло, системата Noction също ги съхранява. Тези данни се събират от комутатори и рутери.
Основни функции:
- Използва NetFlow, J-Flow, sFlow, NetStream и IPFIX
- Анализ на интернет маршрута
- Наблюдение на мрежовия трафик
Колекторът на данни използва NetFlow , IPFIX , sFlow , NetStream , и J-Flow системи за комуникация с мрежови устройства. Тази гама от възможности е необходима, тъй като много производители на оборудване са създали свой собствен език за статистически заявки, който е предварително зареден на техните устройства. Други производители разчитат на индустриалните стандарти sFlow и IPFIX. Чрез включването на способността за използване на всички тези системи, Noction направи Flow Analyzer способен да наблюдава сайтове с множество доставчици .
Анализаторът ще се покаже данни за трафика свързани с искан период. Тези данни могат да бъдат филтрирани и сортирани, за да се съсредоточат върху трафика, генериран от всеки протокол. Също така е възможно да се идентифицират обемите на трафик, генерирани от всяка крайна точка и кои крайни точки получават повече трафик от други.
Анализаторът на трафика ви позволява да предвидите бъдещето изисквания за честотна лента за мрежата и съответно да промени нейната архитектура.
Различни сигнали могат да бъдат настроени в раздела Сигнали.Известиямогат да бъдат изпратени на техници по имейл или Slack. Това означава, че служителите по ИТ операциите могат да приемат, че мрежата работи добре, освен ако не бъдат уведомени.
Професионалисти:
- Идентифицира мрежови и интернет маршрути
- Проследява потоците на трафика
- Функции за планиране на капацитета на мрежата
Минуси:
- Вие сами хоствате софтуера, но плащате абонамент
Noction Flow Analyzer се инсталира на Linux – Ubuntu, CentOS или RHEL. Системата се таксува на база абонамент с тарифа на месец и на година. Можете да получите a безплатен пробен период за да разгледате сами Noction Flow Analyzer.
4. Еластичен стек
Базираната в Холандия Elasticsearch B.V. достигна много успешна пазарна ниша с Elastic Stack. Много купувачи на софтуер се чувстват ограничени от пълните пакети от системи за мониторинг и анализ и биха предпочели изберете най-добрия от породата за всяка функция за анализ на мрежата. Elastic Stack работи заедно, за да улавя пакети, да ги анализира и да показва резултатите, но всеки елемент може да бъде разположени отделно и се използва съвместно с инструменти от други доставчици.
Основни функции:
- Безплатна версия
- Хоствана опция
- Модулен и гъвкав
Бизнесът стартира с него Еластично търсене продукт и все още носи това име за компанията. Този инструмент търси в регистрационни файлове и съхранени потоци от пакети. След това извлича статистика от тези търсения. Вие използвате тази търсачка като аналитичен инструмент.
Кибана е интерфейсът на Elastic Stack. Това е звездата на конюшнята и се препоръчва широко от много други инструменти за мрежов анализ. На пазара има много инструменти за анализ на мрежовия трафик с отворен код, които са разработени от гении, които просто не могат да се занимават с презентация. Тези много добри системи пропускат проблемите със създаването на табло за управление и просто кажете на своите потребители да инсталират Kibana вместо.
Kibana е създаден, за да взаимодейства с много системи за събиране на данни и интерполация в задния край, като напр OSSEC . Въпреки това беше специално написано да работи с Elasticsearch. Инструментът има много атрактивни визуализации на данни и екраните могат да бъдат персонализирани. Оперативната съвместимост с Elasticsearch означава, че заявките, които извършвате в Kibana, се изпълняват от Elasticsearch, като резултатите се връщат към системата за интерпретация на данни на Kibana.
Logstash е най-долният слой на Elastic Stack. Това е лог сървър и може да създава файлове за съхранение на широк набор от данни. За анализ на трафика можете да използвате безплатен pcap инструмент за подаване в стека чрез Logstash.
Професионалисти:
- Група от полезни инструменти за събиране, анализиране и преглеждане на данни
- Създайте свое собствено приложение
- Интерпретирайте данни в графики и диаграми
Минуси:
- Не е предварително написан анализатор на трафика
Програмите Elastic Stack са безплатно за използване и те са достъпни за Windows , Linux , и macOS . Elastic Stack се предлага и в поддържана версия срещу заплащане. Има облачно базирана услуга за Elastic Stack, наречена Еластичен облак .
Свързана публикация: Най-добрите инструменти за мониторинг на J-Flow
5. Plixer Scrutinizer
Plixer Scrutinizer е самостоятелен анализатор на трафика който е наличен като устройство, като виртуално устройство или като облачна услуга. Фокусът на този инструмент е да идентифицира заплахи за сигурността и пълното му име е Scrutinizer Incident Response System.
Основни функции:
- Използва NetFlow, J-Flow, sFlow, NetStream и IPFIX
- Опции за внедряване
- Обработва големи обеми данни за трафика
Scrutinizer събира пакети и показатели с NetFlow , IPFIX , NetStream , J-Flow , и sFlow . Системата комуникира с комутатори, рутери, защитни стени, сървъри и безжични точки за достъп. Събирането на данни се извършва едновременно в много точки на мрежата. Всички предавани данни се показват в живи графики, когато се появяват, но също така се съхраняват за анализ на сигурността. Множеството гледни точки могат да бъдат полезни за анализ на трафика, както и за процеси на сигурност, защото показват тесни места в системата.
Цялото събиране на данни произвежда много големи обеми информация – до 10 милиона потока в секунда . Механизмът за интерполация на Scrutinizer обаче е създаден да обработва толкова много обем. Въпреки че системата е предназначена да работи със съхранени данни, тя работи с плъзгащ се прозорец и започва да включва нови данни веднага щом постъпи. Това й дава „ близо до живо ” способност, която е в състояние да забележи пробиви в сигурността почти веднага. Не е нужно да чакате, за да разберете няколко дни по-късно, че е имало сериозен проблем. Инцидентите се появяват като отменете сигналите в екраните за наблюдение на производителността на системата.
Професионалисти:
- Предлага се като устройство, виртуално устройство или пакет SaaS
- Анализ на заплахите за сигурността
- Управление на трафика
Минуси:
- Няма опции за интегриране със системи за управление на ИТ активи
Scrutinizer се предлага на пазара на абонаментен модел с три нива на обслужване: Безплатно , SSVR , и SCR . Както бихте очаквали, безплатната версия има ограничения за пропускателна способност на данни ограничения на обема и по-малко помощни програми в сравнение с платените издания.
Платените планове ви позволяват график за събиране на данни и докладване. Платените планове могат да бъдат достъпни безплатно на 30-дневен пробен период .
6. Отворете WIPS-NG
Open WIPS-NG е система за предотвратяване на проникване за безжични мрежи. Това е безплатен инструмент което включва откриване на проникване и автоматизирани отговори. Инструментът е сестрински продукт на Aircrack-език , която е добре известна като помощна програма за хакери.
Основни функции:
- Безжични мрежи
- Улавяне на пакети
- Безплатен за използване
Анализаторът на трафика включва три елемента: сензор , процесор за обработка на данни , и интерфейс . Сензорът е двупосочен комуникационен канал, така че действа като изпълнител на стратегии за смекчаване, когато бъде забелязана злонамерена дейност.
Сензорът е безжичен снифър за пакети. Постоянно събира пакети и ги изпраща във файл. Файлът е източник за сървърната програма, която реализира правила за откриване , търсейки признаци на проникване. Резултатите от проверките за сигурност се показват в интерфейса.
Възстановяването може да се извърши автоматично. Ако бъде забелязан нарушител, програмата на сървъра изпраща команда до безжичната AP чрез сензора, за да изгони този потребител от мрежата.
Професионалисти:
- Мониторинг на сигурността чрез улавяне на трафика
- Опции за автоматични отговори
- Обединява данни за идентифициране на модели на злонамерена дейност
Минуси:
- Остарявам
- Няма поддръжка
Open WIPS-NG е проект с отворен код . Софтуерът може да се изпълнява само на Linux .
Проучване на анализа на мрежовия трафик
Както става ясно от този доклад, има две основни причини за извършване на анализ на мрежовия трафик: подобряване на производителността на мрежата и проверки за сигурност . Това ръководство имаше за цел да оцени най-доброто в двата свята. Ако имате любим инструмент за анализ на мрежов трафик, който не е в този списък, оставете съобщение в Коментари раздел по-долу и споделете опита си с общността.
Често задавани въпроси за анализа на мрежовия трафик:
Защо е важно да се извърши анализ на базовата дефиниция на мрежовия трафик?
Базовата линия ви предоставя модел на нормално поведение във вашата мрежа. Полезно е да се установят редовни модели на трафик за всяко приложение. Това ви позволява да откриете необичайна активност, ако трафикът за определен протокол внезапно се повиши.
Какво е анализ на мрежовия трафик?
Анализът на мрежовия трафик може да се използва за планиране на капацитета, а също и за наблюдение на сигурността. И в двата случая анализът на заглавките на циркулиращите пакети с данни може да ви даде общ общ трафик за крайна точка и за протокол. Със съхранена история на моделите на трафик можете да идентифицирате неочаквани увеличения на трафика по източник и по протокол.