Die Analyse von Datenverkehrsmustern ist ein wichtiger Vorgang für Netzwerkadministratoren und -manager. Sie bietet nicht nur einen umfassenden Überblick über die Auslastung eines Netzwerks, sondern vor allem darüber, **wie** es genutzt wird. Es ist eine Sache zu wissen, dass ein bestimmtes Netzwerksegment überlastet ist, aber es ist etwas anderes – und viel wertvoller –, herauszufinden, was diese Überlastung verursacht. Ohne diese Informationen besteht die einzige Möglichkeit, die Überlastung zu beheben, darin, die Bandbreite zu erhöhen. Da Bandbreite jedoch teuer ist, gibt es bessere Lösungsansätze für dieses Problem. Die Analyse von Datenverkehrsmustern kann hier die Antwort liefern. Im Folgenden werden wir uns die wichtigsten Werkzeuge ansehen, die Sie hierfür verwenden können.
Wir beginnen unsere Erforschung der Datenverkehrsmusteranalyse mit einer grundlegenden Theorie, um zunächst zu verstehen, was Datenverkehrsmusteranalyse überhaupt bedeutet. Dieses Verständnis ist entscheidend, um zu definieren, was ein Werkzeug zur Analyse von Datenverkehrsmustern ausmacht. Anschließend werden wir NetFlow und andere Flow-Reporting-Systeme und -Protokolle erörtern, da sie die Grundlage der meisten Tools zur Analyse von Datenverkehrsmustern bilden. Wir werden zunächst das NetFlow-Protokoll von Cisco und seine zahlreichen Varianten untersuchen, bevor wir uns S-Flow zuwenden, ein konkurrierendes Protokoll mit einer etwas anderen Funktionsweise. Mit diesem Wissen ausgestattet, sind wir dann bereit, die besten Tools zur Analyse von Datenverkehrsmustern zu untersuchen, die derzeit verfügbar sind.
Datenverkehrsmusteranalyse im Detail
Im Wesentlichen ist die Analyse von Netzwerkdatenverkehrsmustern der Prozess des Aufzeichnens, Überprüfens und Analysierens des Netzwerkverkehrs zur Verbesserung der Leistung, Sicherheit oder des allgemeinen Netzwerkbetriebs und der Verwaltung. Es handelt sich im Grunde um den Einsatz manueller und automatisierter Techniken, um detaillierte Informationen und Statistiken im Netzwerkverkehr zu untersuchen.
Es gibt zwei Haupttypen der Überwachung des Netzwerkverkehrs. Der erste ist die Überwachung der Bandbreitennutzung, die quantitative Daten liefern kann. Diese Art der Überwachung zeigt an, wie viele Daten an einem bestimmten Punkt in einem Netzwerk fließen, liefert jedoch keine Informationen über die Art des Datenverkehrs. Der zweite Überwachungstyp, den wir heute diskutieren und der als Analyse von Netzwerkdatenverkehrsmustern oder einfach als Netzwerkverkehrsanalyse bezeichnet wird, geht tiefer. Sein Hauptziel ist es, einen detaillierten Einblick in die Art des Verkehrs, der Netzwerkpakete oder Daten, die durch ein Netzwerk fließen, zu geben.
Obwohl die Analyse von Netzwerkverkehrsmustern manuell durchgeführt werden kann, wird sie am häufigsten mithilfe eines Netzwerküberwachungstools durchgeführt, da ein manueller Ansatz zu zeitaufwändig wäre. Die aus der Netzwerkverkehrsanalyse gewonnenen Verkehrsstatistiken können dabei helfen, die Netzwerkauslastung zu verstehen und zu bewerten. Sie geben wichtige Daten über die Art, die Größe, den Ursprung und das Ziel von Datenpaketen aus. Sie können sogar Informationen über den Inhalt von Datenpaketen liefern.
Netzwerksicherheitsteams können die Musteranalyse des Netzwerkverkehrs verwenden, um bösartige oder verdächtige Pakete im Datenverkehr zu erkennen. Netzwerkadministratoren wiederum, die Download- und Upload-Geschwindigkeiten, Durchsatz, Inhalt usw. überwachen möchten, nutzen dies, um die Netzwerknutzung besser zu verstehen.
Andererseits kann die Analyse von Netzwerkverkehrsmustern auch von Angreifern und Eindringlingen verwendet werden, um Netzwerkverkehrsmuster zu analysieren und Schwachstellen oder Möglichkeiten für das Eindringen oder den Zugriff auf sensible Daten zu identifizieren. Es ist also ein zweischneidiges Schwert.
NetFlow und weitere Flow-Reporting-Systeme
NetFlow ist eine Funktion, die etwa 1996 auf Cisco-Routern eingeführt wurde. Sie bietet die Möglichkeit, IP-Netzwerkverkehr zu erfassen, sobald dieser in eine Schnittstelle eintritt oder sie verlässt. Dies unterscheidet sich von der Bandbreitenüberwachung, bei der Daten zwar gezählt, aber nicht gesammelt werden. Durch die Analyse der gesammelten Daten können beispielsweise die Quelle und das Ziel des Verkehrs, die Klasse und Art des Dienstes bestimmt werden. Diese Informationen lassen sich dann nutzen, um die Ursachen von Staus zu identifizieren.
Ein typisches NetFlow-Überwachungssetup besteht aus drei Hauptkomponenten:
Der Flow-Exporter fasst Pakete zu Flows zusammen und exportiert Flow-Aufzeichnungen an einen oder mehrere Flow-Kollektoren. Diese Komponente befindet sich im Netzwerkgerät.
Der Flow-Kollektor ist zuständig für den Empfang, die Speicherung und die Vorverarbeitung von Flussdaten, die er von einem Flow-Exporter erhält.
Der Flow-Analysator analysiert die empfangenen Flussdaten, beispielsweise im Rahmen der Intrusion Detection oder des Traffic Profilings.
Im NetFlow-Kontext ist ein Flow eine unidirektionale Folge von Paketen, die bestimmte Attribute gemeinsam haben, wie z. B. Eingangsschnittstelle, Quell- und Ziel-IP-Adressen, IP-Protokoll (TCP/UDP/ICMP usw.), Quell- und Ziel-IP-Ports und IP-Typ des Dienstes. Detaillierte Daten zu jedem einzelnen Flow werden vom Flow-Exporter gesammelt, bevor sie an den Flow-Kollektor exportiert werden. In den meisten Fällen sind Flow-Kollektor und Analysator heute zwei Komponenten desselben Systems und werden selten separat betrachtet.
NetFlow, das einst exklusiv von Cisco genutzt wurde, ist heute auf Geräten vieler Anbieter verfügbar, darunter Juniper, Alcatel-Lucent und Nortel, um nur einige zu nennen. Einige Anbieter bezeichnen es anders, z. B. J-Flow für Juniper. Es gibt sogar eine relativ neue IETF-standardisierte Version namens IPFIX (Internet Protocol Flow Information eXport).
sFlow ist eine ähnliche, aber doch ganz andere Technologie. sFlow nutzt ähnliche Methoden zur Erfassung von Flussinformationen, fügt jedoch Datenproben – daher das S – hinzu, um detailliertere Informationen zu erhalten. Nur wenige NetFlow-Analysatoren und -Kollektoren können sFlow-Daten verarbeiten, da sich die beiden zu sehr unterscheiden.
Die Top-Tools zur Analyse von Datenverkehrsmustern
Es gibt eine Vielzahl von Tools zur Analyse von Netzwerkverkehrsmustern. Die meisten von ihnen sammeln NetFlow-Daten und zeigen sie in einer übersichtlichen, grafischen Form an, während einige andere Techniken verwenden, um ähnliche Ziele zu erreichen.
1. SolarWinds NetFlow Traffic Analyzer (KOSTENLOSE TESTVERSION)
Der erste Eintrag auf unserer Liste ist der SolarWinds NetFlow Traffic Analyzer (NTA). SolarWinds hat sich einen soliden Ruf für die Herstellung erstklassiger Tools zur Netzwerkverwaltung erworben. Das Flaggschiffprodukt, der Network Performance Monitor, ist eines der besten verfügbaren Tools zur Bandbreitenüberwachung. SolarWinds ist auch für seine großartigen kostenlosen Tools bekannt, die spezifische Anforderungen von Netzwerkadministratoren erfüllen, wie z. B. einer der besten Subnetzrechner oder TFTP-Server.
Wie der Name schon sagt, verwendet der SolarWinds NetFlow Traffic Analyzer das NetFlow-Protokoll, um detaillierte Informationen über den beobachteten Datenverkehr bereitzustellen. Es kann beispielsweise melden, welche Art von Datenverkehr häufiger vorkommt oder welcher Benutzer die meiste Bandbreite verbraucht. Auf dem Dashboard des Tools stehen verschiedene Ansichten zur Verfügung, z. B. Top-Anwendungen, Top-Protokolle oder Top-Talker. Das Tool unterstützt die meisten NetFlow-Varianten verschiedener Anbieter.
KOSTENLOSE TESTPHASE: SOLARWINDS NETFLOW TRAFFIC ANALYZER
Hier sind einige der wichtigsten Funktionen des Produkts:
- Es kann zur Überwachung der Netzwerknutzung nach Anwendung, Protokoll und IP-Adressgruppe verwendet werden.
- Es überwacht Cisco NetFlow-, Juniper J-Flow-, sFlow-, Huawei NetStream- und IPFIX-Flussdaten, um festzustellen, welche Anwendungen und Protokolle den größten Bandbreitenverbrauch verursachen.
- Es sammelt Verkehrsdaten, korreliert sie in ein verwendbares Format und stellt sie über seine webbasierte Benutzeroberfläche dar.
- Es hilft Ihnen, die Anwendungen und Kategorien zu identifizieren, die den größten Bandbreitenverbrauch verursachen, um die Sichtbarkeit des Netzwerkverkehrs zu verbessern, und es unterstützt Cisco NBAR2.
Der SolarWinds NetFlow Traffic Analyzer ist als Add-on für den Network Performance Monitor (NPM) erhältlich. Die Preise beginnen bei 1.915 $ für 100 Knoten. Die Anzahl der von Ihnen erworbenen Knoten muss mit Ihrer NPM-Lizenz übereinstimmen. Wenn Sie die NPM-Software noch nicht besitzen, kostet sie 2.995 US-Dollar für die gleiche Stufe mit 100 Knoten. Wenn Sie das Produkt vor dem Kauf ausprobieren möchten, können Sie eine voll funktionsfähige 30-Tage-Testversion eines oder beider Produkte herunterladen.
2. Paessler Router Traffic Grapher (PRTG)
Der Paessler Router Traffic Grapher, oder PRTG, ist eine All-in-One-Lösung, deren Hauptzweck die Überwachung der Bandbreitennutzung ist. Daher integriert es die SNMP-Bandbreitenüberwachung sowie die NetFlow-Erfassung und -Analyse. PRTG geht jedoch noch weiter und verwendet viele verschiedene Technologien zur Überwachung von Systemen, Geräten, Datenverkehr und Anwendungen. Hier ist eine Übersicht der unterstützten Überwachungsprotokolle:
- Flows (wie NetFlow oder sFlow)
- SNMP mit gebrauchsfertigen und benutzerdefinierten Optionen
- WMI- und Windows-Leistungsindikatoren
- SSH für Linux/Unix- und MacOS-Systeme
- Paketschnüffeln
- Ping, SQL und vieles mehr
Die Installation von PRTG ist einfach. Paessler behauptet sogar, dass Sie in wenigen Minuten fertig sein können. Nach dem Ausführen des Installationsprogramms erkennt der automatische Erkennungsprozess Geräte und richtet grundlegende Sensoren ein. Anschließend können Sie manuell Sensoren wie NetFlow-Kollektoren hinzufügen. Falls erforderlich, gibt es ein detailliertes Video, das Ihnen zeigt, wie Sie dies tun.
PRTG läuft nur unter Windows, aber seine Benutzeroberfläche ist webbasiert und kann über jeden Browser auf jeder Plattform aufgerufen werden. Es gibt auch mobile Apps für Android und iOS, die Sie auf Ihrem Smartphone installieren können. Apropos mobile Apps: Dieses Tool verfügt über eine einzigartige Funktion in Form von QR-Code-Etiketten, die Sie ausdrucken und an Ihren Geräten anbringen können. Dann können Sie einfach den Code aus den mobilen Apps scannen, um schnell die Sensordaten des Geräts anzuzeigen.
PRTG ist in zwei Versionen erhältlich. Es gibt eine kostenlose Version, die auf 100 Sensoren beschränkt ist. Jedes überwachte Element zählt als ein Sensor. Beispielsweise benötigen Sie 48 Sensoren, um jeden Port eines Switches mit 48 Ports zu überwachen. Für die NetFlow-Erfassung und -Analyse benötigen Sie einen Sensor pro Flow-Exporter. Für mehr als 100 Sensoren benötigen Sie eine kostenpflichtige Lizenz. Diese sind für 500, 1000, 2500, 5000 und unbegrenzte Knoten zu Preisen zwischen etwa 1.600 und knapp 15.000 US-Dollar erhältlich. Beachten Sie, dass die kostenlose Version in den ersten 30 Tagen unbegrenzte Sensoren zulässt, sodass Sie das Produkt gründlich testen können.
3. Scrutinizer
Scrutinizer von Plixer ist ein ausgezeichneter NetFlow Analyzer. Es ist viel mehr als nur das und wird von vielen als ein komplettes Incident-Response-System betrachtet. Dank seiner Fähigkeit, verschiedene Flow-Typen wie NetFlow, J-Flow, NetStream und IPFIX zu überwachen, sind Sie nicht auf die Überwachung von Cisco-Geräten beschränkt.
Scrutinizer verfügt über ein hierarchisches Design und bietet eine optimierte und effiziente Datenerfassung, sodass Sie klein anfangen und problemlos auf Millionen von Flüssen pro Sekunde skalieren können. Obwohl häufig zuerst das Netzwerk beschuldigt wird, wenn etwas schiefgeht, hilft Scrutinizer Ihnen, die wahre Ursache der meisten Netzwerkprobleme schnell zu finden. Das Produkt kann sowohl in physischen als auch in virtuellen Umgebungen betrieben werden und verfügt über erweiterte Berichtsfunktionen.
Scrutinizer ist in vier Lizenzstufen erhältlich, von der kostenlosen Basisversion bis zur SCR-Stufe der höchsten Stufe, die auf über zehn Millionen Flüsse pro Sekunde skaliert werden kann. Die kostenlose Version ist auf 10.000 Flüsse pro Sekunde begrenzt und speichert die Rohdaten nur 5 Stunden lang. Dazwischen liegen die MDX-Ebene, die Daten 25 Stunden lang speichert, und die SSRV, die sie dauerhaft speichert. Sie können jede Lizenzstufe 30 Tage lang testen, danach wird sie wieder auf die kostenlose Version zurückgesetzt.
4. ManageEngine NetFlow Analyzer
ManageEngine ist ein weiterer bekannter Name im Bereich der Netzwerkverwaltungstools. Ähnlich wie SolarWinds stellt das Unternehmen eine Reihe hervorragender Tools sowie mehrere kostenlose Tools her. Der ManageEngine NetFlow Analyzer bietet eine detaillierte Ansicht der Bandbreitenauslastung eines Netzwerks sowie der Datenverkehrsmuster. Das Produkt verfügt über eine webbasierte Benutzeroberfläche, die eine beeindruckende Anzahl verschiedener Ansichten Ihres Netzwerks bietet.
Mit diesem Tool können Sie beispielsweise den Datenverkehr nach Anwendung, Konversation, Protokoll und verschiedenen anderen Optionen anzeigen. Sie können auch Warnmeldungen einrichten, um sich vor potenziellen Problemen zu warnen. Sie könnten beispielsweise einen Schwellenwert für den Datenverkehr auf einer bestimmten Schnittstelle festlegen und benachrichtigt werden, wenn der Datenverkehr diesen Schwellenwert überschreitet.
Die meisten Stärken von ManageEngine NetFlow Analyzer liegen in seinen Berichten und seinem Dashboard. Das Produkt verfügt über mehrere nützliche, vorgefertigte Berichte, die auf bestimmte Zwecke wie Fehlerbehebung, Kapazitätsplanung oder Abrechnung zugeschnitten sind. Wenn Sie jedoch lieber benutzerdefinierte Berichte erstellen möchten, können Administratoren dies mit dem Tool nach ihren Wünschen tun.
Das ManageEngine NetFlow Analyzer-Dashboard ist ebenso beeindruckend wie seine Berichte. Es enthält mehrere Tortendiagramme, die beispielsweise Top-Anwendungen, Top-Protokolle oder Top-Konversationen darstellen. Es kann auch eine Heatmap anzeigen, die den Status der überwachten Schnittstellen wiedergibt. Dashboards können so angepasst werden, dass sie nur die benötigten Informationen enthalten. Für Netzwerkadministratoren, die unterwegs sind, gibt es eine Smartphone-App, mit der Sie auf das Dashboard und die Berichte zugreifen können.
Der ManageEngine NetFlow Analyzer unterstützt die meisten Flow-Technologien, darunter NetFlow, IPFIX, J-Flow, NetStream und einige andere. Als Bonus bietet es auch eine hervorragende Integration mit Cisco-Geräten und die Möglichkeit, Traffic Shaping- und QoS-Richtlinien direkt vom Tool aus anzupassen.
Der ManageEngine NetFlow Analyzer ist in zwei Versionen erhältlich. Die kostenlose Version beschränkt Sie auf die Überwachung von nur zwei Schnittstellen oder Flow-Exportern. Für eine größere Kapazität sind Lizenzen in verschiedenen Größen von 100 bis 2500 Schnittstellen oder Flows zu Preisen zwischen ca. 600 und über 50.000 US-Dollar zuzüglich jährlicher Wartungsgebühren erhältlich. Für alle kostenpflichtigen Pläne ist eine kostenlose 30-Tage-Testversion verfügbar.
5. sFlowTrend
Während alle bisherigen Produkte hervorragend sind, unterstützt bisher nur PRTG das sFlow-Protokoll. Wie wir erklärt haben, sind die beiden Protokolle sehr unterschiedlich, und es kommt selten vor, dass ein Tool beide unterstützt. Wenn Ihr Netzwerk also hauptsächlich aus sFlow-fähigen Geräten besteht, ist hier eines der besten Tools, die wir finden konnten.
sFlowTrend ist ein sFlow-Überwachungstool von inMon, dem Unternehmen hinter dem sFlow-Protokoll. Es ist ein einfaches und etwas eingeschränktes, aber sehr leistungsfähiges Werkzeug. Es gibt eine kostenlose Version, mit der Sie Daten von bis zu fünf sFlow-fähigen Geräten sammeln und Verlaufsdaten maximal eine Stunde lang im RAM speichern können. Dies könnte zwar ausreichen, um einige Netzwerkprobleme zu beheben, ist aber nicht ideal für die kontinuierliche Überwachung. Für ein umfassenderes Tool müssen Sie auf die Pro-Version upgraden, die die Anzahl der Geräte aufhebt und Verlaufsdaten auf der Festplatte speichert.
Das sFlowTrend-Dashboard bietet einen schnellen Überblick über den aktuellen Status Ihrer überwachten Geräte und Netzwerke. Es zeigt Schwellenwerte der obersten Ebene und Schnittstellen mit potenziellen Fehlern an. Ein Klick auf die Registerkarte sFLowTrend Netzwerk zeigt zusammengefasste Leistungsstatistiken und detaillierten Datenverkehr auf Netzwerk- oder Geräteebene. Warnschwellenwerte können verwendet werden, um Warnmeldungen zu erhalten, wenn eine überdurchschnittliche Bandbreitennutzung beobachtet wird oder Netzwerkfehler auftreten. Die Software verfügt auch über eine Registerkarte „Ursache“, in der Sie die Ursache eines Problems, z. B. eine Schwellenwertverletzung, untersuchen können.
Die Registerkarte „Hosts“ von sFlowTrend enthält detailliertere Informationen zu jedem Gerät. Sie kann Leistungsdaten zu CPU, Festplatte usw. für sFlow-fähige Server anzeigen. Wie Sie vielleicht schon geahnt haben, dient sFlow nicht nur der Überwachung von Netzwerkgeräten. Auf der Registerkarte „Dienste“ finden Sie Leistungsdaten für Anwendungen, die sFlow-Daten exportieren. Und auf der Registerkarte „Ereignisse“ finden Sie ein Protokoll mit Ereignissen wie überschrittenen Schwellenwerten oder erkannten Fehlern. Schließlich bietet die Registerkarte „Berichte“ mehrere vordefinierte Berichte und unterstützt auch die Erstellung benutzerdefinierter Berichte.
sFlowTrend ist in Java geschrieben und verfügt sowohl über eine Java-basierte als auch über eine webbasierte Benutzeroberfläche. Es ist für Windows, Mac und Linux verfügbar. Die Software verfügt über ein hervorragendes Online-Hilfesystem, das Sie bei der Konfiguration und Verwendung des Tools unterstützt.
Fazit
Ganz gleich, für welches Tool Sie sich entscheiden, die Musteranalyse des Netzwerkverkehrs bietet Ihnen wertvolle Einblicke in die Vorgänge in Ihrem Netzwerk. Jedes der von uns getesteten Tools bietet ein hervorragendes Preis-Leistungs-Verhältnis, und die Auswahl eines Tools ist höchstwahrscheinlich eine Frage der persönlichen Präferenz. Möglicherweise finden Sie eine bestimmte Funktion in einem der Tools besonders ansprechend. Da alle kostenpflichtigen Tools entweder eine kostenlose Testversion oder eine kostenlose Version anbieten, gibt es keinen Grund, warum Sie nicht ein paar ausprobieren sollten, bevor Sie eine Entscheidung treffen.