Die Verkehrsmusteranalyse ist ein Prozess, mit dem Netzwerkadministratoren und -manager nicht nur eine hervorragende Darstellung darüber erhalten, wie stark ein Netzwerk genutzt wird, sondern, was noch wichtiger ist, WIE es genutzt wird. Es ist eine Sache zu wissen, dass ein bestimmtes Netzwerksegment unter Überlastung leidet, aber es ist eine andere – und viel nützlichere – Sache, herauszufinden, was diese Überlastung verursacht. Und ohne diese Informationen besteht die einzige Möglichkeit, die Überlastung zu beheben, darin, mehr Bandbreite darauf zu werfen. Aber Bandbreite ist teuer und es gibt sicherlich bessere Möglichkeiten, diese Art von Problem zu lösen. Die Analyse von Verkehrsmustern kann die Antwort liefern, und heute überprüfen wir die wichtigsten Tools, die Sie verwenden können.
Wir beginnen unsere Reise in die Verkehrsmusteranalyse mit einer nützlichen Theorie. Wir werden uns zunächst genauer ansehen, was Verkehrsmusteranalyse ist. Dies ist wichtig, da es hilft zu definieren, was ein Verkehrsmuster-Analysetool ausmacht. Anschließend werden wir NetFlow und andere Flow-Reporting-Systeme und -Protokolle besprechen, da sie den Kern der meisten Tools zur Analyse von Verkehrsmustern bilden. Wir werden uns zuerst das NetFlow-Protokoll von Cisco und seine zahlreichen Varianten ansehen, bevor wir uns S-Flow ansehen, ein konkurrierendes Protokoll, das in seiner Funktionsweise etwas anders ist. Ausgestattet mit all diesen Informationen sind wir bereit, die besten Tools zur Analyse von Verkehrsmustern zu überprüfen, die wir finden konnten.
Inhaltsverzeichnis
Verkehrsmusteranalyse auf den Punkt gebracht
In ihrer einfachsten Form ist die Analyse von Netzwerkverkehrsmustern der Prozess der Aufzeichnung, Überprüfung und/oder Analyse von Netzwerkverkehr zum Zweck der Leistung, Sicherheit und/oder des allgemeinen Netzwerkbetriebs und -managements. Genauer gesagt handelt es sich um den Prozess der Verwendung manueller und automatisierter Techniken zur Überprüfung detaillierter Details und Statistiken innerhalb des Netzwerkverkehrs.
Es gibt hauptsächlich zwei Arten der Überwachung des Netzwerkverkehrs. Die erste ist die Überwachung der Bandbreitennutzung, die quantitative Daten liefern kann. Diese Art der Überwachung lässt Sie sehen, wie viel Datenverkehr an einem bestimmten Punkt in einem Netzwerk fließt, liefert jedoch keine Daten über die Art dieses Datenverkehrs. Die zweite Art der Überwachung, die wir heute besprechen und die als Netzwerkverkehrsmusteranalyse oder einfach als Netzwerkverkehrsanalyse bezeichnet wird, geht tiefer und ihr Hauptziel besteht darin, einen detaillierten Einblick in die Art des Verkehrs zu geben, Netzwerk Pakete oder Daten fließen durch ein Netzwerk.
Obwohl die Analyse von Netzwerkverkehrsmustern manuell durchgeführt werden kann, wird sie meistens mit Hilfe eines Netzwerküberwachungstools durchgeführt. Es manuell zu tun, würde einfach zu viel Aufwand erfordern. Die aus der Netzwerkverkehrsanalyse gewonnenen Verkehrsstatistiken können dabei helfen, die Netzwerkauslastung zu verstehen und zu bewerten. Sie verrät wichtige Daten zu Art, Größe, Herkunft und Ziel von Datenpaketen. Es kann sogar einige Informationen über den Inhalt von Datenpaketen enthalten.
Netzwerksicherheitsteams können die Musteranalyse des Netzwerkverkehrs verwenden, um bösartige oder verdächtige Pakete im Datenverkehr zu identifizieren. Ebenso werden Netzwerkadministratoren, die Download- und Upload-Geschwindigkeiten, Durchsatz, Inhalt usw. überwachen möchten, dies verwenden, um die Netzwerknutzung besser zu verstehen.
Auf der anderen Seite kann die Analyse von Netzwerkverkehrsmustern auch von Angreifern und/oder Eindringlingen verwendet werden, um Netzwerkverkehrsmuster zu analysieren und Schwachstellen oder Mittel zum Eindringen oder Abrufen sensibler Daten zu identifizieren. Das ist ein zweischneidiges Schwert.
NetFlow und andere Flow-Reporting-Systeme
NetFlow ist eine Funktion, die 1996 auf Cisco-Routern eingeführt wurde – mehr oder weniger ein oder zwei Jahre – und die Möglichkeit bietet, IP-Netzwerkverkehr zu erfassen, wenn er in eine Schnittstelle eintritt oder diese verlässt. Dies unterscheidet sich von der Bandbreitenüberwachung, bei der Daten gezählt, aber nicht gesammelt werden. Durch die Analyse der gesammelten Daten kann man Dinge wie Quelle und Ziel des Verkehrs, Klasse und Art des Dienstes bestimmen und diese Informationen letztendlich verwenden, um die Ursachen von Staus zu identifizieren.
Ein typisches NetFlow-Monitoring-Setup besteht aus drei Hauptkomponenten:
Der Fgeringer Exporteur aggregiert Pakete zu Flows und exportiert Flow-Aufzeichnungen an einen oder mehrere Flow-Kollektoren. Dies ist die Komponente, die sich im Netzwerkgerät befindet.
Der Fniedriger Kollektor ist verantwortlich für den Empfang, die Speicherung und die Vorverarbeitung von Flussdaten, die er von einem Flussexporteur erhält.
Der Strömungsanalysator analysiert die empfangenen Flussdaten beispielsweise im Rahmen von Intrusion Detection oder Traffic Profiling.
Ein Fluss ist im Sprachgebrauch von NetFlow eine unidirektionale Folge von Paketen, die eine bestimmte Anzahl von Attributen gemeinsam haben, wie z. B. Eingangsschnittstelle, Quell- und Ziel-IP-Adressen, IP-Protokoll (TCP/UDP/ICMP usw.), Quell- und Ziel-IP-Ports , und IP-Typ des Dienstes. Detaillierte Daten zu jedem einzelnen Flow werden vom Flow Exporter gesammelt, bevor sie an den Flow Collector exportiert werden. In den meisten Fällen sind Durchflusssammler und Analysator heute zwei Komponenten desselben Systems und wir sehen sie selten getrennt.
NetFlow, einst exklusiv von Cisco, ist jetzt auf Geräten vieler Anbieter verfügbar, darunter Juniper, Alcatel-Lucent und Nortel, um nur einige zu nennen. Einige Anbieter nennen es anders, z. B. J-Flow für Juniper. Es gibt sogar eine relativ neue IETF-standardisierte Version namens IPFIX, was für Internet Protocol Flow Information eXport steht.
sFlow ist eine etwas gleichwertige, aber doch völlig andere Technologie. sFlow verwendet ähnliche Methoden zum Sammeln von Flussinformationen, fügt jedoch Datenproben – daher das S – für noch detailliertere Informationen hinzu. Sehr wenige NetFlow Analyzer und Collectors können sFlow-Daten verarbeiten, da die beiden zu unterschiedlich sind.
Die besten Tools für die Verkehrsmusteranalyse
Es gibt eine ganze Reihe von Tools, die eine Analyse von Netzwerkverkehrsmustern anbieten. Die meisten von ihnen sammeln NetFlow-Daten und zeigen sie auf sinnvolle grafische Weise an, während einige andere Techniken verwenden, um ähnliche Ziele zu erreichen.
1. SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTVERSION)
Der erste auf unserer Liste ist der SolarWinds NetFlow Traffic Analyzer oder NTA. Falls Sie SolarWinds nicht kennen, das Unternehmen hat sich einen soliden Ruf für die Herstellung einiger der besten Netzwerkverwaltungstools erarbeitet. Sein Flaggschiffprodukt, der Network Performance Monitor, ist eines der besten verfügbaren Tools zur Bandbreitenüberwachung. Und SolarWinds ist auch bekannt für sein großartiges kostenloses Tool, das spezifische Netzwerkadministrationsanforderungen erfüllt, wie z. B. einer der besten Subnetzrechner oder TFTP-Server.
Wie der Name schon sagt, verwendet der SolarWinds NetFlow Traffic Analyzer das NetFlow-Protokoll, um detaillierte Informationen über den beobachteten Datenverkehr bereitzustellen. Es kann beispielsweise berichten, welche Art von Datenverkehr häufiger ist oder welcher Benutzer die meiste Bandbreite verwendet. Auf dem Dashboard des Tools sind verschiedene Ansichten verfügbar, wie zum Beispiel Top-Anwendungen, Top-Protokolle oder Top-Talker. Das Tool unterstützt die meisten NetFlow-Varianten verschiedener Anbieter
KOSTENLOSE TESTPHASE: SONNENWINDE NETFLOW TRAFFIC ANALYZER
Hier sind einige der besten Eigenschaften des Produkts.
Es kann verwendet werden, um die Netzwerknutzung nach Anwendung, Protokoll und IP-Adressgruppe zu überwachen.
Es wird Cisco NetFlow-, Juniper J-Flow-, sFlow-, Huawei NetStream- und IPFIX-Flussdaten überwachen, um festzustellen, welche Anwendungen und Protokolle die größten Bandbreitenverbraucher sind.
Es sammelt Verkehrsdaten, korreliert sie in ein nutzbares Format und präsentiert sie auf seiner webbasierten Benutzeroberfläche
Es kann Ihnen dabei helfen, die Anwendungen und Kategorien zu identifizieren, die die meiste Bandbreite verbrauchen, um die Sichtbarkeit des Netzwerkverkehrs zu verbessern, und es unterstützt Cisco NBAR2.
Der SolarWinds NetFlow Traffic Analyzer ist als Add-on zum Network Performance Monitor (NPM) verfügbar. Die Preise beginnen bei 1.915 $ für 100 Knoten. Die Anzahl der von Ihnen erworbenen Knoten muss Ihrer NPM-Lizenz entsprechen. Wenn Sie die NPM-Software noch nicht besitzen, kostet das 2.995 US-Dollar für die gleiche Stufe mit 100 Knoten. Und wenn Sie es vor dem Kauf ausprobieren möchten, können Sie eine voll funktionsfähige 30-Tage-Evaluierungsversion eines oder beider Produkte herunterladen.
2. Paessler Router Traffic Grapher (PRTG)
Der Paessler Router Traffic Grapheroder PRTG, ist eine All-in-One-Lösung, deren Hauptzweck die Überwachung der Bandbreitennutzung ist. Als solches integriert es SNMP-Bandbreitenüberwachung und NetFlow-Erfassung und -Analyse. Aber es hört hier nicht auf und PRTG wird viele verschiedene Technologien verwenden, um Systeme, Geräte, Datenverkehr und Anwendungen zu überwachen. Hier ist ein Überblick über die unterstützten Überwachungsprotokolle:
Flows (wie NetFlow oder sFlow)
SNMP mit gebrauchsfertigen und benutzerdefinierten Optionen
WMI und Windows-Leistungsindikatoren
SSH für Linux/Unix- und MacOS-Systeme
Paketschnüffeln
Ping, SQL und viele mehr
Installieren PRTG ist einfach. Tatsächlich behauptet Paessler, dass Sie innerhalb weniger Minuten fertig sein könnten. Nach dem Ausführen des Installationsprogramms erkennt der automatische Erkennungsprozess Geräte und richtet grundlegende Sensoren ein. Sie können dann manuell Sensoren wie NetFlow-Collectors hinzufügen. Wenn Sie es brauchen, gibt es ein detailliertes Video, das Ihnen zeigt, wie es gemacht wird.
PRTG läuft nur unter Windows, aber seine Benutzeroberfläche ist webbasiert und kann von jedem Browser auf jeder Plattform aus aufgerufen werden. Es gibt auch mobile Apps für Android und iOS, die Sie auf Ihrem Smartphone installieren können. Apropos mobile Apps: Dieses Tool verfügt über eine einzigartige Funktion in Form von QR-Code-Etiketten, die Sie ausdrucken und auf Ihren Geräten anbringen können. Es ist dann einfach, den Code aus den mobilen Apps zu scannen, um schnell die Sensordaten des Geräts anzuzeigen.
PRTG ist in zwei Versionen erhältlich. Es gibt eine kostenlose Version, die auf 100 Sensoren begrenzt ist. Jedes überwachte Element zählt als ein Sensor. Um beispielsweise jeden Port eines Switches mit 48 Ports zu überwachen, benötigen Sie 48 Sensoren. Für die NetFlow-Erfassung und -Analyse benötigen Sie einen Sensor pro Flow-Exporter. Für mehr als 100 Sensoren benötigen Sie eine kostenpflichtige Lizenz. Sie sind für 500, 1000, 2500, 5000 und unbegrenzte Knoten zu Preisen zwischen etwa 1.600 und knapp 15.000 US-Dollar erhältlich. Beachten Sie, dass die kostenlose Version in den ersten 30 Tagen unbegrenzte Sensoren zulässt, sodass Sie gründlich testen können das Produkt.
3. Prüfer
Prüfer von Plixer ist ein ausgezeichneter NetFlow Analyzer. Es ist eigentlich viel mehr als nur das und wird von vielen als vollwertiges Incident-Response-System angesehen. Und mit seiner Fähigkeit, verschiedene Flow-Typen wie NetFlow, J-Flow, NetStream und IPFIX zu überwachen, sind Sie nicht auf die Überwachung nur von Cisco-Geräten beschränkt.
Prüfer verfügt über ein hierarchisches Design und bietet eine optimierte und effiziente Datenerfassung, mit der man klein anfangen und problemlos auf Millionen von Flüssen pro Sekunde skalieren kann. Obwohl oft zuerst das Netzwerk beschuldigt wird, wenn etwas schief geht, Prüfer hilft Ihnen, die wahre Ursache der meisten Netzwerkprobleme schnell zu finden. Das Produkt kann sowohl in physischen als auch in virtuellen Umgebungen arbeiten und verfügt über erweiterte Berichtsfunktionen.
Prüfer ist in vier Lizenzstufen erhältlich, von der kostenlosen Basisversion bis zur SCR-Stufe der höchsten Stufe, die auf über zehn Millionen Flüsse pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flows pro Sekunde begrenzt und speichert die Raw-Flow-Daten nur 5 Stunden lang. Dazwischen liegen die MDX-Ebene, die Daten 25 Stunden lang speichert, und die SSRV, die sie für immer speichert. Sie können jede Lizenzstufe 30 Tage lang testen, danach wird sie wieder auf die kostenlose Version zurückgesetzt.
4. ManageEngine NetFlow-Analyzer
ManageEngine ist ein weiterer bekannter Name im Bereich der Netzwerkverwaltungstools. Ähnlich wie SolarWinds stellt das Unternehmen eine Handvoll exzellenter Tools sowie mehrere kostenlose Tools her. Der ManageEngine NetFlow-Analyzer bietet eine detaillierte Ansicht der Bandbreitenauslastung eines Netzwerks sowie der Verkehrsmuster. Das Produkt verfügt über eine webbasierte Benutzeroberfläche, die eine beeindruckende Anzahl verschiedener Ansichten Ihres Netzwerks bietet.
Mit diesem Tool können Sie beispielsweise den Datenverkehr nach Anwendung, Konversation, Protokoll und mehreren weiteren Optionen anzeigen. Sie können auch Warnungen einrichten, um Sie vor potenziellen Problemen zu warnen. Sie könnten beispielsweise einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und benachrichtigt werden, wenn der Datenverkehr diesen überschreitet.
Die meisten von den ManageEngine NetFlow-AnalyzerDie Stärke von liegt in seinen Berichten und seinem Dashboard. Das Produkt verfügt über mehrere nützliche vorgefertigte Berichte, die auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Wenn Sie jedoch lieber benutzerdefinierte Berichte erstellen möchten, können Administratoren diese mit dem Tool nach ihren Wünschen erstellen.
Der ManageEngine NetFlow-AnalyzerDas Dashboard von ist genauso beeindruckend wie seine Berichte. Es enthält mehrere Tortendiagramme, die beispielsweise Top-Anwendungen, Top-Protokolle oder Top-Gespräche darstellen. Es kann auch eine Heatmap anzeigen, die den Status der überwachten Schnittstellen zeigt. Dashboards können so angepasst werden, dass sie nur die Informationen enthalten, die Sie benötigen. Für Netzwerkadministratoren, die unterwegs sind, gibt es eine Smartphone-App, mit der Sie auf das Dashboard und die Berichte zugreifen können.
Der ManageEngine NetFlow-Analyzer unterstützt die meisten Flow-Technologien, einschließlich NetFlow, IPFIX, J-Flow, NetStream und einige andere. Als Bonus bietet der auch eine hervorragende Integration mit Cisco-Geräten, mit der Möglichkeit, Traffic Shaping und/oder QoS-Richtlinien direkt vom Tool aus anzupassen.
Der ManageEngine NetFlow-Analyzer kommt in zwei Versionen. Die kostenlose Version beschränkt Sie auf die Überwachung von nur zwei Schnittstellen oder Flow-Exportern. Für eine größere Kapazität sind Lizenzen in mehreren Größen von 100 bis 2500 Schnittstellen oder Flows zu Preisen zwischen etwa 600 und über 50.000 US-Dollar zuzüglich jährlicher Wartungsgebühren erhältlich. Eine kostenlose 30-Tage-Testversion ist für alle kostenpflichtigen Pläne verfügbar.
5. sFlowTrend
Während alle vorherigen Produkte hervorragend sind, unterstützt bisher nur PRTG das sFlow-Protokoll. Wie wir erklärt haben, sind die beiden Protokolle sehr unterschiedlich und es kommt selten vor, dass ein Tool beide unterstützt. Wenn Ihr Netzwerk also hauptsächlich aus sFlow-fähigen Geräten besteht, ist hier eines der besten Tools, die wir finden konnten.
sFlowTrend ist ein sFlow-Überwachungstool von inMon, dem Unternehmen hinter dem sFlow-Protokoll. Es ist ein einfaches und etwas eingeschränktes, aber sehr leistungsfähiges Werkzeug. Es gibt eine kostenlose Version, mit der Sie Daten von bis zu fünf sFlow-fähigen Geräten sammeln und Verlaufsdaten nur bis zu einer Stunde im RAM speichern können. Während dies ausreichen könnte, um einige Netzwerkprobleme zu beheben, ist es nicht das, was Sie für die laufende Überwachung benötigen. Für ein vollständigeres Tool müssen Sie auf die Pro-Version upgraden, die die Anzahl der Geräte aufhebt und Verlaufsdaten auf der Festplatte speichert.
Der sFlowTrend Dashboard bietet einen schnellen Überblick über den aktuellen Status Ihrer überwachten Geräte und Netzwerke. Es zeigt Schwellenwerte der obersten Ebene und Schnittstellen mit potenziellen Fehlern an. Ein Klick auf die sFLowTrend Die Registerkarte Netzwerk zeigt zusammengefasste Leistungsstatistiken und detaillierten Datenverkehr auf Netzwerk- oder Geräteebene. Warnschwellenwerte können verwendet werden, um Warnungen zu erhalten, wenn eine überdurchschnittliche Bandbreitennutzung beobachtet wird oder Netzwerkfehler auftreten. Die Software verfügt auch über eine Registerkarte „Grundursache“, auf der Sie die Ursache eines Problems, z. B. eine Schwellenwertverletzung, aufschlüsseln können.
Der sFlowTrend Auf der Registerkarte Hosts finden Sie detailliertere Informationen zu jedem Gerät. Es kann Leistungsdaten zu CPU, Festplatte und mehr für sFlow-fähige Server anzeigen. Wie Sie sich sicher schon gedacht haben, dient sFlow nicht nur der Überwachung von Netzwerkgeräten. Auf der Registerkarte Dienste finden Sie Leistungsdaten für Anwendungen, die sFlow-Daten exportieren. Und auf der Registerkarte „Ereignisse“ finden Sie ein Protokoll mit Ereignissen wie überschrittenen Schwellenwerten oder erkannten Fehlern. Schließlich bietet die Registerkarte Berichte mehrere vordefinierte Berichte und unterstützt auch die Erstellung benutzerdefinierter Berichte.
sFlowTrend ist in Java geschrieben und verfügt sowohl über eine Java-basierte als auch über eine Web-basierte Benutzeroberfläche. Es ist für Windows, Mac und Linux verfügbar. Die Software verfügt über ein hervorragendes Online-Hilfesystem, das Sie bei der Konfiguration und Verwendung des Tools unterstützt.
Abschließend
Ganz gleich, für welches Tool Sie sich entscheiden, die Musteranalyse des Netzwerkverkehrs gibt Ihnen einen unschätzbaren Einblick in die Vorgänge in Ihrem Netzwerk. Jedes der von uns getesteten Tools bietet ein hervorragendes Preis-Leistungs-Verhältnis, und die Auswahl eines Tools ist höchstwahrscheinlich eine Frage der persönlichen Präferenz. Möglicherweise gibt es eine bestimmte Funktion in einem der Tools, die Sie besonders anspricht. Bei all den kostenpflichtigen Tools, die entweder eine kostenlose Testversion oder eine kostenlose Version anbieten, gibt es keinen Grund, warum Sie nicht ein paar ausprobieren sollten, bevor Sie eine Entscheidung treffen.