5 лучших инструментов для глубокой проверки пакетов в 2021 году

Сетями сложно управлять и контролировать. Это понятно, сетевой трафик происходит внутри медных кабелей или оптоволоконных кабелей и его не видно. Это усложняет любому администратору четкую и определенную картину того, что происходит с сетями, которыми он управляет. Здесь на помощь приходит мониторинг сети. А когда дело доходит до мониторинга сети, доступно несколько уровней, каждый из которых предоставляет дополнительную информацию о трафике. Глубокая проверка пакетов - это высший уровень мониторинга, который предоставляет наибольшую информацию о сетевом трафике. Для выполнения глубокой проверки пакетов вам потребуются соответствующие инструменты - и сегодня мы рассматриваем некоторые из лучших инструментов для глубокой проверки пакетов.

Прежде чем мы начнем, мы попытаемся объяснить глубокую проверку пакетов. Кажется, что у всех есть противоречивые представления о том, что это такое и каким должно быть. Интересующая нас сегодня глубокая проверка пакетов связана с мониторингом сети - еще одним расплывчатым термином. Чтобы попытаться пролить свет на эту тему, мы обсудим мониторинг в целом и анализ потока в частности, поскольку он представляет собой форму глубокой проверки пакетов. А поскольку технология Cisco NetFlow кажется наиболее распространенной, мы рассмотрим ее подробнее. Только тогда мы будем готовы раскрыть, какие инструменты для глубокой проверки пакетов являются лучшими, и предложить вам краткий обзор каждого из них.

Объяснение глубокой проверки пакетов

Глубокая проверка пакетов определяется как действие для компонента сетевой инфраструктуры по анализу содержимого пакетов данных помимо простого просмотра заголовка пакета для сбора статистики о сетевом трафике или для целей фильтрации, определения приоритетов или обнаружения вторжений . Хотя это определение относительно точное, оно является немного общим. Кроме того, то, что такое глубокая проверка пакетов, может варьироваться в зависимости от того, что вы пытаетесь выполнить. Например, глубокая проверка пакетов, выполняемая для сбора статистики, отличается от глубокой проверки пакетов, выполняемой для фильтрации некоторого трафика. В контексте этой статьи нас интересует в основном сбор статистики. Инструменты, которые мы сейчас рассмотрим, по сути, являются продвинутыми инструментами мониторинга.

О средствах мониторинга

Мониторинг сети, как и глубокая проверка пакетов, не является четко определенным термином. Самая основная форма мониторинга сети - это мониторинг пропускной способности. Обычно это делается с использованием простого протокола управления сетью. Этот тип мониторинга очень полезен для получения четкого представления об использовании вашей сети, но он имеет ограничения. Хотя он дает вам среднее значение использования полосы пропускания в определенной точке сети, он не предоставляет подробных сведений о том, что использует полосу пропускания.

Чтобы получить более четкое представление о том, какой трафик передается по сети, вам необходимо использовать анализ потока. Анализ потока идет намного глубже, чем мониторинг полосы пропускания, и может предоставить подробную информацию. Он полагается на сами сетевые устройства для отправки информации о трафике в системы мониторинга, называемые сборщиками и / или анализаторами, которые могут интерпретировать данные потока и представлять их значимым образом. Например, анализ потока позволит вам увидеть, как сетевой трафик распределяется между всеми источниками и получателями. Он расскажет вам, какие протоколы и какие типы трафика используются.

Анализ потока можно рассматривать как глубокую проверку пакетов, поскольку он выходит за рамки простого просмотра заголовка, чтобы найти качественную информацию о фактических данных, которые транспортируются по сети. Самой распространенной из всех технологий анализа потоков, безусловно, является NetFlow от Cisco. Давайте посмотрим на это глубже.

Подробнее о NetFlow

NetFlow был первоначально разработан Cisco Systems и представлен на их маршрутизаторах с целью предоставления возможности сбора информации о сетевом IP-трафике при входе или выходе из интерфейса. Его первоначальная цель заключалась в том, чтобы использовать для создания более совершенных списков контроля доступа (ACL). С тех пор она превратилась в настоящую схему мониторинга, и данные о потоках, собираемые устройствами, теперь экспортируются в формате d ia.

Технология NetFlow состоит по существу из трех компонентов. Первый - экспортер потока, который объединяет пакеты в потоки и экспортирует записи потоков в один или несколько сборщиков потоков. Следующий компонент, сборщик потока, отвечает за прием, хранение и предварительную обработку данных потока, полученных от предыдущего компонента. Наконец, анализатор потока используется для анализа полученных данных потока. Этот анализ может использоваться, среди прочего, для профилирования трафика или устранения неполадок в сети. Многие современные установки объединяют коллектор и анализатор потока в один интегрированный компонент.

Как работает NetFlow

Любое другое устройство, поддерживающее NetFlow, можно настроить для вывода данных потока в форме записей потока и отправки их сборщику NetFlow. Поток - это законченный диалог в смысле IP. И может быть много потоков, проходящих через один интерфейс в любой момент времени. Сетевое устройство, готовящее записи потока, отправляет их сборщику, когда оно определяет, либо по устареванию, либо по завершении сеанса TCP, что поток завершен.

Типичная запись потока содержит довольно много информации. Сюда входят интерфейсы ввода и вывода, отметки времени начала и окончания потока, количество байтов и пакетов, которые он содержит, заголовки уровня 3, IP-адрес источника и назначения и номер порта, IP-протокол и TOS ( Тип услуги) значение. Записи потока не содержат фактических данных, составляющих поток. Они содержат только информацию о потоке. Это важно с точки зрения безопасности.

В большинстве сред коллекторы потоков, в которые отправляются записи, часто также являются анализаторами потоков. Только очень большие многосайтовые сети выиграют от наличия отдельных коллекторов, распределенных по разным сайтам. Сборщики и анализаторы используют информацию, содержащуюся в записях потоков, для представления данных о сетевом трафике таким образом, чтобы это было полезно для сетевых администраторов. Фактически, основные отличительные факторы между различными инструментами - это то, как они могут анализировать и представлять данные значимым образом.

Лучшие инструменты для глубокой проверки пакетов

С точки зрения мониторинга, анализ потока - это форма глубокой проверки пакетов, поэтому инструменты, которые мы рассматриваем сегодня, действительно являются анализаторами NetFlow. Многие из них могут делать больше, а некоторые являются частью полного решения для мониторинга.

1. SolarWinds NetFlow Traffic Analyzer (БЕСПЛАТНАЯ пробная версия)

SolarWinds, в том невероятном случае, о котором вы никогда не слышали о компании, делает одни из лучших программ для сетевого и системного администрирования. Один из его флагманских продуктов, SolarWinds Network Performance Monitor, многими считается одним из лучших инструментов мониторинга пропускной способности сети . SolarWinds также предлагает отличные бесплатные инструменты, каждый из которых решает конкретную задачу сетевых администраторов. Двумя примерами этих бесплатных инструментов являются бесплатный расширенный калькулятор подсети и бесплатный сервер системного журнала . А когда дело доходит до анализа трафика NetFlow, SolarWinds NetFlow Traffic Analyzer (NTA) определенно является одним из лучших сборщиков и анализаторов NetFlow, которые вы можете найти.

Среди лучших функций продукта SolarWinds NetFlow Traffic Analyzer может отслеживать использование полосы пропускания по приложениям, протоколам и группам IP-адресов. Он может отслеживать не только Cisco NetFlow, но и Juniper J-Flow, sFlow, Huawei NetStream и IPFIX - несколько других технологий анализа потоков, основанных на NetFlow, - чтобы определить, какие приложения и протоколы являются основными потребителями полосы пропускания. Инструмент собирает данные о трафике, сопоставляет их в пригодный для использования формат и представляет их пользователю на веб-панели управления. Продукт поддерживает Cisco NBAR2 для определения приложений и категорий, потребляющих наибольшую полосу пропускания, что дает вам еще лучшую видимость сетевого трафика.

Traffic Analyzer SolarWinds NetFlow является дополнением к сети Performance Monitor (NPM). Если у вас еще нет лицензии NPM, вам придется учесть ее в этой стоимости. Они начинаются с 2 955 долларов за до 100 элементов. Что касается надстройки NTA, ее лицензия должна соответствовать количеству узлов вашей лицензии NPN, а цены начинаются с 1 915 долларов. Если вы предпочитаете опробовать продукт перед тем, как совершить покупку, SolarWinds предлагает бесплатную пробную версию.

• БЕСПЛАТНЫЙ ПРОБНЫЙ ПЕРИОД: SolarWinds NetFlow Traffic Analyzer
• Официальная ссылка для скачивания: https://www.solarwinds.com/netflow-traffic-analyzer

2. SolarWinds Real-Time NetFlow Analyzer (бесплатная загрузка)

Если вам нужно решение меньшего масштаба, SolarWinds Real-Time NetFlow Analyzer может быть именно тем, что вам нужно. Это один из известных бесплатных инструментов SolarWind, который, хотя и не так полон, как NetFlow Traffic Analyzer, дает вам некоторые из тех же основных функций.

Он может собирать и анализировать данные о потоках в реальном времени. И он покажет вам тип трафика, передаваемого в вашей сети, откуда он исходит и куда направляется. Вы также можете использовать его - до определенной степени - для диагностики всплесков трафика и устранения проблем с пропускной способностью.

Продукт позволит вам определить, какие пользователи, устройства и приложения используют наибольшую пропускную способность; изолировать сетевой трафик по разговору, приложению, домену, конечной точке и протоколу; и просматривать сетевой трафик по типу и указанным периодам времени

Конечно, нельзя ожидать, что это бесплатное программное обеспечение будет делать все, что делает его старший брат. Он имеет некоторые серьезные ограничения, и его основное внимание уделяется текущему и совсем недавнему состоянию вашей сети. Он будет собирать данные только с одного интерфейса NetFlow и будет хранить и анализировать данные только за последние 60 минут.

Если вам нужно быстрое и подробное представление об использовании полосы пропускания, бесплатный анализатор NetFlow в реальном времени SolarWinds предоставит его, но не более того.

• Бесплатная загрузка: SolarWinds Real-Time NetFlow Analyzer
• Официальная ссылка для скачивания: https://www.solarwinds.com/free-tools/real-time-netflow-analyzer

3. Анализатор ManageEngine NetFlow

ManageEngine - еще одно известное имя в области инструментов управления сетью. Его ManageEngine NetFlow Analyzer дает сетевым администраторам подробное представление об использовании пропускной способности сети, а также о моделях трафика. Продукт управляется через веб-интерфейс и предлагает впечатляющее количество различных представлений в вашей сети.

Например, продукт позволит вам просматривать трафик по приложениям, разговорам, протоколам и еще нескольким параметрам. У вас также есть возможность настроить оповещения, чтобы предупредить вас о потенциальных проблемах. Вы можете, например, установить порог трафика для определенного интерфейса и получать уведомления при его превышении.

Но самые сильные стороны этого инструмента - его отчеты и панель инструментов. В нем есть несколько очень полезных готовых отчетов, которые настраиваются для конкретных целей, таких как устранение неполадок, планирование емкости или выставление счетов. И хотя его встроенные отчеты хороши, этот инструмент также позволяет администраторам создавать собственные отчеты по своему усмотрению.

Панель инструментов продукта так же впечатляет, как и отчеты. Он включает в себя несколько круговых диаграмм с такими вещами, как основные приложения, основные протоколы или основные разговоры. Он также может отображать своего рода тепловую карту со статусом контролируемых интерфейсов. И так же, как отчеты, панель управления также может быть настроена так, чтобы включать только ту информацию, которую вы считаете полезной. На панели управления также отображаются предупреждения в виде всплывающих окон. Сетевой администратор в дороге не будет чувствовать себя обделенным, поскольку доступно приложение для смартфона, которое предоставит вам доступ как к панели управления, так и к отчетам.

NetFlow Analyzer ManageEngine поддерживает большинство технологий потока , включая NetFlow, IPFIX, J-поток, NetStream, и несколько других. Этот инструмент также может похвастаться отличной интеграцией с устройствами Cisco с возможностью настройки формирования трафика и / или политик QoS прямо из инструмента.

NetFlow Analyzer ManageEngine поставляется в двух версиях. Есть бесплатная версия, которая ограничена мониторингом только двух интерфейсов потоков. Хотя это немного, это может быть все, что вам нужно. И эта бесплатная версия позволит неограниченное количество устройств в течение первых 30 дней, давая вам возможность провести тщательный тестовый запуск. По окончании пробного периода лицензии доступны в нескольких размерах от 100 до 2500 интерфейсов или потоков по ценам, начинающимся примерно от 600 долларов плюс ежегодная плата за обслуживание.

4. Устройство определения трафика маршрутизатора Paessler (PRTG)

PRTG от Paessler - еще одно хорошо известное универсальное решение, основное назначение которого - мониторинг использования полосы пропускания. Он также используется для мониторинга доступности и состояния различных сетевых ресурсов. Таким образом, это еще один очень полезный инструмент для сетевых администраторов. Но благодаря датчику NetFlow, доступному для продукта, PRTG может также служить в качестве сборщика и анализатора NetFlow.

Фактически, PRTG - это не просто инструмент мониторинга пропускной способности или сборщик и анализатор NetFlow. Он использует несколько технологий для мониторинга систем, устройств, трафика и приложений. Среди них продукт будет использовать SNMP с готовыми к использованию и настраиваемыми параметрами, счетчики производительности WMI и Windows, SSH для систем Linux / Unix и MacOS, потоки, такие как NetFlow или sFlow, и анализ пакетов, HTTP-запросы, REST API, возвращающие XML или JSON, Ping, SQL и многие другие.

Установить PRTG очень просто. Вы просто запускаете установщик, а затем процесс автоматического обнаружения обнаружит устройства и настроит датчики. После этого вы можете вручную добавить дополнительные датчики, например коллекторы NetFlow. На сайте Paessler есть даже подробное видео, которое покажет вам, как это делается.

Сервер работает только в Windows, но его пользовательский интерфейс основан на веб-технологиях и доступен из любого браузера. Также есть мобильное клиентское приложение, которое вы можете установить на свой смартфон. Мобильное клиентское приложение имеет уникальную функцию в виде QR-этикеток, которые вы можете распечатать и наклеить на свои устройства. Затем сканирование кода из мобильного приложения быстро откроет данные датчика этого устройства.

Доступны две версии PRTG . Есть бесплатная версия, которая ограничена 100 датчиками. Имейте в виду, что датчик на языке PRTG - это не устройство. Напротив, это самый простой элемент, который можно отслеживать. Например, для мониторинга каждого порта коммутатора с 48 портами требуется 48 датчиков, а для сбора и анализа NetFlow требуется один датчик на каждый экспортер потока. При таких темпах очевидно, что 100 датчиков может быть не так много, как казалось на первый взгляд. Если вам нужно более 100 датчиков, вам необходимо приобрести лицензию. Они доступны с датчиками на 500, 1000, 2500 или 5000, а также есть неограниченная лицензия. Цены варьируются от 1 600 до 15 000 долларов. Бесплатная версия позволяет использовать неограниченное количество датчиков в течение первых 30 дней, так что вы можете воспользоваться преимуществами тщательного тест-драйва продукта.

5. Scrutinizer

Последним в нашем списке стоит Scrutinizer от Plixer, еще один отличный анализатор NetFlow. На самом деле это намного больше, и некоторые рассматривают это как полноценную систему реагирования на инциденты. Продукт имеет возможность отслеживать различные типы потоков, такие как NetFlow, J-flow, NetStream и IPFIX, поэтому вы не ограничены мониторингом только устройств Cisco.

Scrutinizer может похвастаться иерархической структурой, которая предлагает оптимизированный и эффективный сбор данных и позволяет вам начать с малого, а затем масштабировать до многих миллионов потоков в секунду. Когда что-то идет не так, часто сначала обвиняют сеть. С помощью этого инструмента вы можете быстро найти настоящую причину почти каждой сетевой проблемы. Продукт работает как с физическими, так и с виртуальными средами и имеет расширенные функции отчетности.

Scrutinizer  доступен с четырьмя уровнями лицензий. Они варьируются от базовой бесплатной версии до полноценного уровня SCR, который может масштабироваться до более чем 10 миллионов потоков в секунду. Бесплатная версия ограничена 10 тысячами потоков в секунду, и в ней будут храниться только необработанные данные потоков в течение 5 часов, но этого должно быть более чем достаточно для устранения проблем с сетью. Вы также можете попробовать любой уровень лицензии в течение 30 дней, после чего он вернется к бесплатной версии.