A análise de padrões de tráfego é um processo que permite que administradores e gerentes de rede obtenham uma excelente descrição não apenas de quanto uma rede é utilizada, mas, mais importante, de COMO ela é utilizada. Uma coisa é saber que um determinado segmento de rede sofre de congestionamento, mas é diferente – e muito mais útil – saber o que está causando esse congestionamento. E sem essa informação, a única opção para corrigir o congestionamento é lançar mais largura de banda nele. Mas a largura de banda é cara e certamente existem maneiras melhores de resolver esse tipo de problema. A análise do padrão de tráfego pode conter a resposta e hoje estamos analisando as principais ferramentas que você pode usar.
Começaremos nossa jornada na análise de padrões de tráfego com alguma teoria útil. Primeiro, veremos mais de perto o que é a análise de padrões de tráfego. Isso é importante, pois é o que ajudará a definir o que constitui uma ferramenta de análise de padrões de tráfego. Em seguida, discutiremos o NetFlow e outros sistemas e protocolos de relatórios de fluxo, pois eles estão no centro da maioria das ferramentas de análise de padrões de tráfego. Primeiro, vamos dar uma olhada no protocolo NetFlow da Cisco e suas múltiplas variantes antes de dar uma olhada no S-Flow, um protocolo concorrente que é um pouco diferente em sua operação. De posse de todas essas informações, estaremos prontos para revisar as principais ferramentas de análise de padrões de tráfego que encontramos.
últimas postagens
Análise de padrões de tráfego em poucas palavras
Em sua expressão mais simples, a análise de padrões de tráfego de rede é o processo de registro, revisão e/ou análise de tráfego de rede para fins de desempenho, segurança e/ou operações e gerenciamento gerais de rede. Mais especificamente, é o processo de usar técnicas manuais e automatizadas para revisar detalhes e estatísticas de nível granular no tráfego de rede.
Existem basicamente dois tipos de monitoramento de tráfego de rede. O primeiro é o monitoramento da utilização da largura de banda, que pode fornecer dados quantitativos. Esse tipo de monitoramento permitirá que você veja quanto tráfego está passando em um ponto específico de uma rede, mas não fornecerá nenhum dado sobre a natureza desse tráfego. O segundo tipo de monitoramento, aquele que estamos discutindo hoje e que é chamado de análise de padrão de tráfego de rede ou apenas análise de tráfego de rede, é mais profundo e seu objetivo principal é oferecer uma visão aprofundada sobre que tipo de tráfego, rede pacotes ou dados estão fluindo através de uma rede.
Embora a análise do padrão de tráfego de rede possa ser feita manualmente, na maioria das vezes é feita por meio de uma ferramenta de monitoramento de rede. Fazê-lo manualmente simplesmente exigiria muitos esforços. As estatísticas de tráfego obtidas da análise de tráfego de rede podem ajudar a entender e avaliar a utilização da rede. Ele revelará dados importantes sobre o tipo, tamanho, origem e destino dos pacotes de dados. Pode até incluir algumas informações sobre o conteúdo dos pacotes de dados.
As equipes de segurança de rede podem usar a análise de padrões de tráfego de rede para identificar pacotes maliciosos ou suspeitos no tráfego. Da mesma forma, as administrações de rede que procuram monitorar as velocidades de download e upload, taxa de transferência, conteúdo etc. o usarão para entender melhor o uso da rede.
No lado negativo, a análise de padrões de tráfego de rede também pode ser usada por invasores e/ou invasores para analisar padrões de tráfego de rede e identificar vulnerabilidades ou meios de invadir ou recuperar dados confidenciais. Esta é uma faca de dois gumes.
NetFlow e outros sistemas de relatórios de fluxo
O NetFlow é um recurso que foi introduzido nos roteadores Cisco em 1996 – mais ou menos um ano ou dois – que oferece a capacidade de coletar tráfego de rede IP à medida que entra ou sai de uma interface. Isso é diferente do monitoramento de largura de banda em que os dados são contados, mas não coletados. Ao analisar os dados coletados, pode-se determinar coisas como origem e destino do tráfego, classe e tipo de serviço e, em última análise, usar essas informações para identificar as causas do congestionamento.
Uma configuração típica de monitoramento do NetFlow é composta por três componentes principais:
O fbaixo exportador agrega pacotes em fluxos e exporta registros de fluxo para um ou mais coletores de fluxo. Este é o componente que reside no dispositivo de rede.
O fcoletor baixo é responsável pela recepção, armazenamento e pré-processamento dos dados de fluxo recebidos de um exportador de fluxo.
O analisador de fluxo analisa os dados de fluxo recebidos no contexto de detecção de intrusão ou perfil de tráfego, por exemplo.
Um fluxo, na linguagem do NetFlow, é uma sequência unidirecional de pacotes que compartilham um certo número de atributos, como sua interface de entrada, endereços IP de origem e destino, protocolo IP (TCP/UDP/ICMP, etc.), portas IP de origem e destino e tipo de serviço IP. Dados detalhados sobre cada fluxo individual são coletados pelo exportador de fluxo antes de serem exportados para o coletor de fluxo. Na maioria dos casos hoje, o coletor de fluxo e o analisador são dois componentes do mesmo sistema e raramente os vemos separados.
Antes exclusivo da Cisco, o NetFlow agora está disponível em equipamentos de vários fornecedores, incluindo Juniper, Alcatel-Lucent e Nortel, só para citar alguns. Alguns fornecedores o chamam de um nome diferente, como J-flow para Juniper. Existe até uma versão padronizada pela IETF relativamente recente chamada IPFIX, que significa Internet Protocol Flow Information eXport.
O sFlow é uma tecnologia um tanto equivalente, mas muito diferente. O sFlow usa métodos semelhantes para coletar informações de fluxo, mas adiciona amostragem de dados – daí o S – para obter informações ainda mais detalhadas. Muito poucos analisadores e coletores NetFlow podem manipular dados sFlow, pois os dois são muito diferentes.
As melhores ferramentas para análise de padrões de tráfego
Existem algumas ferramentas por aí que oferecem análise de padrões de tráfego de rede. A maioria deles coletará dados do NetFlow e os exibirá de alguma maneira gráfica significativa, enquanto alguns usam técnicas diferentes para atingir objetivos semelhantes.
1. Analisador de tráfego SolarWinds NetFlow (AVALIAÇÃO GRATUITA)
O primeiro da nossa lista é o SolarWinds NetFlow Traffic Analyzer ou NTA. Se você não conhece a SolarWinds, a empresa conquistou uma sólida reputação por fabricar algumas das melhores ferramentas de gerenciamento de rede. Seu principal produto, o Network Performance Monitor, é uma das melhores ferramentas de monitoramento de largura de banda disponíveis. E a SolarWinds também é conhecida por sua excelente ferramenta gratuita que atende a necessidades específicas de administração de rede, como uma das melhores calculadoras de sub-rede ou servidor TFTP.
Como o próprio nome indica, o SolarWinds NetFlow Traffic Analyzer usa o protocolo NetFlow para fornecer informações detalhadas sobre o tráfego observado. Ele pode, por exemplo, relatar qual tipo de tráfego é mais frequente ou qual usuário está usando mais largura de banda. Várias visualizações diferentes estão disponíveis no painel da ferramenta, como principais aplicativos, principais protocolos ou principais locutores, por exemplo. A ferramenta suportará a maioria das variantes do NetFlow de diferentes fornecedores
TESTE GRÁTIS: VENTOS SOLARES ANALISADOR DE TRÁFEGO NETFLOW
Aqui estão algumas das melhores características do produto.
Ele pode ser usado para monitorar o uso da rede por aplicativo, protocolo e grupo de endereços IP.
Ele monitorará os dados de fluxo Cisco NetFlow, Juniper J-Flow, sFlow, Huawei NetStream e IPFIX para identificar quais aplicativos e protocolos são os principais consumidores de largura de banda.
Ele coletará dados de tráfego, os correlacionará em um formato utilizável e os apresentará em sua interface de usuário baseada na web
Ele pode ajudá-lo a identificar quais aplicativos e categorias consomem mais largura de banda para melhor visibilidade do tráfego de rede e tem suporte para Cisco NBAR2.
O SolarWinds NetFlow Traffic Analyzer está disponível como um complemento do Network Performance Monitor (NPM). Os preços começam em US$ 1.915 para 100 nós. O número de nós que você compra deve corresponder à sua licença NPM. Se você ainda não possui o software NPM, isso custará US$ 2.995 para o mesmo nível de 100 nós. E se você quiser experimentá-lo antes de comprá-lo, você pode baixar uma versão de avaliação de 30 dias totalmente funcional de um ou de ambos os produtos,
2. Gráfico de tráfego do roteador Paessler (PRTG)
O Gráfico de tráfego do roteador Paesslerou PRTG, é uma solução completa cujo objetivo principal é monitorar a utilização da largura de banda. Como tal, ele integra monitoramento de largura de banda SNMP e coleta e análise de NetFlow. Mas não para por aí e PRTG usará muitas tecnologias diferentes para monitorar sistemas, dispositivos, tráfego e aplicativos. Aqui está um resumo dos protocolos de monitoramento suportados:
Fluxos (como NetFlow ou sFlow)
SNMP com opções personalizadas e prontas para uso
Contadores de desempenho WMI e Windows
SSH para sistemas Linux/Unix e MacOS
Sniffing de pacotes
Ping, SQL e muito mais
Instalando PRTG é fácil. Na verdade, Paessler afirma que isso pode ser feito em alguns minutos. Depois de executar o instalador, o processo de descoberta automática descobrirá os dispositivos e configurará os sensores básicos. Você pode adicionar sensores – como coletores NetFlow – manualmente. Se você precisar, há um vídeo detalhado que mostrará como é feito.
PRTG roda apenas no Windows, mas sua interface de usuário é baseada na web e pode ser acessada de qualquer navegador em qualquer plataforma. Existem também aplicativos móveis para Android e iOS que você pode instalar em seu smartphone. Falando sobre os aplicativos móveis, esta ferramenta tem um recurso exclusivo na forma de etiquetas de código QR que você pode imprimir e afixar em seus dispositivos. É então uma simples questão de escanear o código dos aplicativos móveis para visualizar rapidamente os dados do sensor do dispositivo.
PRTG está disponível em duas versões. Existe uma versão gratuita limitada a 100 sensores. Cada elemento monitorado conta como um sensor. Por exemplo, para monitorar cada porta de um switch de 48 portas, você precisará de 48 sensores. Para coleta e análise do NetFlow, você precisará de um sensor por exportador de fluxo. Para mais de 100 sensores, você precisa de uma licença paga. Eles estão disponíveis para 500, 1000, 2500, 5000 e nós ilimitados a preços que variam de cerca de US$ 1.600 a pouco menos de US$ 15.000. Observe que a versão gratuita permitirá sensores ilimitados nos primeiros 30 dias, permitindo que você faça um teste completo o produto.
3. Escrutinador
Escrutinador da Plixer é um excelente NetFlow Analyzer. Na verdade, é muito mais do que apenas isso e é considerado por muitos como um sistema completo de resposta a incidentes. E com sua capacidade de monitorar diferentes tipos de fluxo, como NetFlow, J-flow, NetStream e IPFIX, você não está limitado a monitorar apenas dispositivos Cisco.
Escrutinador apresenta um design hierárquico e oferece coleta de dados simplificada e eficiente que permite começar pequeno e escalar facilmente até milhões de fluxos por segundo. Embora a rede seja frequentemente a primeira culpada sempre que algo dá errado, Escrutinador irá ajudá-lo a encontrar rapidamente a verdadeira causa raiz da maioria dos problemas de rede. O produto pode funcionar em ambientes físicos e virtuais e vem com recursos avançados de relatórios.
Escrutinador está disponível em quatro níveis de licença, desde a versão básica gratuita até o nível de SCR de nível superior, que pode ser dimensionado para mais de dez milhões de fluxos por segundo. A versão gratuita é limitada a dez mil fluxos por segundo e manterá os dados brutos de fluxo por apenas 5 horas. As camadas intermediárias são o nível MDX que mantém os dados por 25 horas e o SSRV que os mantém para sempre. Você pode experimentar qualquer nível de licença por 30 dias, após os quais ele será revertido para a versão gratuita.
4. Analisador de NetFlow do ManageEngine
ManageEngine é mais um nome familiar na arena de ferramentas de administração de rede. Assim como a SolarWinds, a empresa produz um punhado de ferramentas excelentes, além de várias gratuitas. O ManageEngine NetFlow Analyzer fornece uma visão detalhada da utilização da largura de banda de uma rede, bem como dos padrões de tráfego. O produto possui uma interface de usuário baseada na web que oferece um número impressionante de visualizações diferentes em sua rede.
Essa ferramenta permitirá, por exemplo, visualizar o tráfego por aplicativo, por conversa, por protocolo e várias outras opções. Você também pode definir alertas para avisá-lo sobre possíveis problemas. Você pode, por exemplo, definir um limite de tráfego em uma interface específica e ser alertado sempre que o tráfego o ultrapassar.
A maioria dos ManageEngine NetFlow AnalyzerA força do ‘s vem de seus relatórios e dashboard. O produto tem vários relatórios pré-criados úteis que são adaptados para fins específicos, como solução de problemas, planejamento de capacidade ou faturamento. Mas se você preferir criar relatórios personalizados, a ferramenta permite que os administradores os criem ao seu gosto.
O ManageEngine NetFlow AnalyzerO painel do ‘s é tão impressionante quanto seus relatórios. Ele inclui vários gráficos de pizza que descrevem os principais aplicativos, os principais protocolos ou as principais conversas, por exemplo. Ele também pode exibir um mapa de calor mostrando o status das interfaces monitoradas. Os painéis podem ser personalizados para incluir apenas as informações necessárias. Para os administradores de rede em movimento, há um aplicativo de smartphone que permite acessar o painel e os relatórios.
O ManageEngine NetFlow Analyzer suporta a maioria das tecnologias de fluxo, incluindo NetFlow, IPFIX, J-flow, NetStream e algumas outras. Como bônus, o também possui excelente integração com dispositivos Cisco, com possibilidade de ajuste de modelagem de tráfego e/ou políticas de QoS direto da ferramenta.
O ManageEngine NetFlow Analyzer vem em duas versões. A versão gratuita limita você a monitorar apenas duas interfaces ou exportadores de fluxo. Para maior capacidade, as licenças estão disponíveis em vários tamanhos de 100 a 2.500 interfaces ou fluxos a preços que variam entre cerca de US$ 600 a mais de US$ 50 mil mais taxas de manutenção anual. Uma avaliação gratuita de 30 dias está disponível em todos os planos pagos.
5. sFlowTend
Embora todos os produtos anteriores sejam excelentes, apenas o PRTG, até agora, suporta o protocolo sFlow. Como explicamos, os dois protocolos são bastante diferentes e é raro que uma ferramenta ofereça suporte a ambos. Portanto, se sua rede é composta principalmente de dispositivos habilitados para sFlow, aqui está uma das melhores ferramentas que encontramos.
sFlowTrend é uma ferramenta de monitoramento sFlow da inMon, a empresa por trás do protocolo sFlow. É uma ferramenta básica e um tanto limitada, mas muito capaz. Existe uma versão gratuita que permite coletar dados de até cinco dispositivos habilitados para sFlow e manterá os dados do histórico na RAM por até uma hora. Embora isso possa ser suficiente para solucionar alguns problemas de rede, não é o que você precisa para o monitoramento contínuo. Para uma ferramenta mais completa, você precisa atualizar para a versão pro que remove o limite do número de dispositivos e armazena os dados do histórico em disco.
O sFlowTrend O Dashboard oferece uma visão rápida do estado atual de seus dispositivos e redes monitorados. Ele exibirá limites de nível superior e interfaces com possíveis erros. Clicando no sFLowTrend A guia Rede revela estatísticas de desempenho resumidas e tráfego detalhado no nível da rede ou do dispositivo. Os limites de alerta podem ser usados para receber alertas quando o uso de largura de banda acima do normal for observado ou ocorrer um erro de rede. O software também apresenta uma guia de causa raiz onde você pode detalhar a causa de um problema, como uma violação de limite.
O sFlowTrend A guia Hosts é onde você encontrará informações mais detalhadas sobre cada dispositivo. Ele pode exibir dados de desempenho na CPU, disco e muito mais, para servidores habilitados para sFlow. Como você deve ter percebido, o sFlow não serve apenas para monitorar equipamentos de rede. A guia Serviços é onde você encontrará dados de desempenho para aplicativos que exportam dados do sFlow. E na guia Eventos, você encontrará um log de eventos, como limites excedidos ou erros detectados. Por fim, a guia Relatórios oferece diversos relatórios predefinidos e também suporta a criação de relatórios personalizados.
sFlowTrend é escrito em Java e vem com uma interface de usuário baseada em Java ou baseada na web. Está disponível para Windows, Mac e Linux. O software apresenta um excelente sistema de ajuda online para ajudá-lo a configurar e usar a ferramenta.
Para concluir
Não importa qual ferramenta você escolha, a análise do padrão de tráfego de rede fornecerá uma visão valiosa sobre o que acontece em sua rede. Cada uma das ferramentas que analisamos oferece um excelente valor e escolher uma provavelmente será uma questão de preferência pessoal. Pode haver um recurso específico em uma das ferramentas que lhe agrade particularmente. Com todas as ferramentas pagas oferecendo uma versão de avaliação gratuita ou uma versão gratuita, não há razão para você não experimentar algumas antes de tomar uma decisão.