10 лучших бесплатных анализаторов и коллекторов Netflow для Windows


Оглавление (нажмите, чтобы открыть):

10 лучших бесплатных анализаторов и коллекторов Netflow для Windows

Бесплатно, быстро и просто?

Вы до сих пор верите в сказки??

07 фев 2014, 15:47 08 фев 2014, 11:39 09 фев 2014, 19:23

Тоже в своё время долго искал NetFlow Collector, в итоге остановился на платном NetFlow Manager Engine. Стянул его с рутрекера вместе с таблеткой. Сейчас стоит версия 9861. Из плюсов хочу отметить следующее.

1) БД сейчас весит 57 Гб, ротация стоит в месяц — при этом коллектор не тормозит.
2) Очень удобно анализировать трафик от хостов. Недавно с помощью коллектора выявили Tor Browser и вовремя его придушили.
3) Кросплатформенный. У меня стоит на выделенной виртуалке, что бы если вдруг какая проверка сразу прибить.
4) Собирает трафик не только локальных сетей, но и можно отправлять на него сэмплы внутри впн тонелей.
5) Не врёт, по крайней мере данный по загрузке на интерфейсах совпадают с данными Zabbix.
6) Ну и графики там конечно няшные
Из недостатков, он платный. либо таблетка

ИТ База знаний

ShareIT — поделись знаниями!

Полезно

Узнать IP — адрес компьютера в интернете

Онлайн генератор устойчивых паролей

Онлайн калькулятор подсетей

Калькулятор инсталляции IP — АТС Asterisk

Руководство администратора FreePBX на русском языке

Руководство администратора Cisco UCM/CME на русском языке

Навигация

Серверные решения

Телефония

FreePBX и Asterisk

Настройка программных телефонов

Корпоративные сети

Похожие статьи

Все, что вам нужно знать про DHCP

Таблицы маршрутизации EIGRP

Словарь ИТ терминов

Учим основы — что такое VLAN?

NetFlow анализатор – телеметрия вашей сети

4 минуты чтения

В последние годы рынок программного обеспечения прогрессирует ударными темпами. Чтобы удержаться на плаву, компании-разработчики программного обеспечения постоянно разрабатывают новые решения и совершенствуют уже существующее программное обеспечение. И если в первом случае анализируются желания, озвучиваемые пользователями, то во втором более эффективным методом сбора данных оказывается телеметрия.

Что же это такое? Говоря по-простому, сетевая телеметрия — это процесс автоматизированного сбора данных, их накопление и передача для дальнейшего анализа. Если говорить о программном обеспечении, то анализ проводится разработчиками софта с целью оптимизации существующих программ, либо разработки и внедрения новых решений. Телеметрия в сети осуществляется посредством сбора данных с использованием сетевого протокола NetFlow или его аналогов.

Зачем же нужен NetFlow?

Сетевой протокол NetFlow был разработан в конце прошлого века компанией Cisco. Изначально он использовался как программа-распределитель пакетов данных для оптимизации работы маршрутизаторов, однако с течением времени она была заменена на более эффективную программу. Тем не менее, такой функционал, как сбор полезной статистики по использованию сетевого трафика и поныне оставляет Netflow актуальным. Правда, специализация этого протокола уже не соответствует исходной. Тем не менее, Netflow обладает функционалом, который невозможно реализовать, применяя альтернативные сетевые технологии.

  • Система постоянного наблюдения за работой сетевых приложений и действиями пользователей;
  • Сбор и учет информации об использовании сетевого трафика;
  • Анализ и планирование развития сети;
  • Распределение и управление сетевым трафиком;
  • Изучение вопросов сетевой безопасности;
  • Хранение собранных посредством телеметрии данных и их итоговый анализ;

Хотя уже существуют программные решения, обладающие схожим функционалом, решение от компании Cisco до сих пор остается одним из лучших в этой сфере. Кстати, теперь это решение называется Cisco Stealthwatch и на 95% обладает функционалом для решения исключительно задач, связанных с информационной безопасностью.

Отметим, что технологию сбора данных посредством NetFlow поддерживают не все роутеры или коммутаторы. Если Ваше устройство имеет поддержку данного протокола, то оно будет замерять проходящий трафик и передавать собранные данные в NetFlow-коллектор для последующей обработки. Передача будет осуществляться в формате датаграмм протокола UDP или пакетов протокола SCTP, поэтому на скорость работы интернета существенным образом это не повлияет.

В настоящее время решения NetFlow (как и многих других приложений) подразделяются на три типа:

  1. Базовые технологии. Отличаются низкой ценой и довольно скудным функционалом анализа сетевого трафика. Тем не менее, для большинства пользователей или же для изучения технологии этого вполне достаточно
  2. «Продвинутые» корпоративные варианты. Здесь базовый функционал дополнен более широким набором инструментов для предоставления расширенной отчетности анализа данных. Также эти решения содержат готовые модели оптимизации для разных сетевых устройств.
  3. «Флагманские» корпоративные решения. Отличаются наивысшей ценой, однако при этом и наиболее широким функционалом, а также позволяют осуществлять мониторинг информационной безопасности в крупных организациях.

«А как же быть с приватностью? Ведь сбор данных ставит под угрозу частную жизнь пользователей, тайну переписки, личные сообщения и прочее» — спросит беспокойный читатель. Согласно политике приватности компании Cisco, персональные данные пользователей остаются в полной безопасности. Посредством телеметрии NetFlow анализируется исключительно передача сетевого трафика, не угрожая приватности пользователей.

Примеры решений

Также приведем несколько самых популярных сетевых анализаторов, работающих под протоколом NetFlow:

  1. Solarwinds NetFlow Traffic Analyzer – мощный инструмент для анализа динамики трафика в сети. Программа осуществляет сбор, накопление и анализ данных, выводя их в удобном для пользователя формате. При этом можно проанализировать поведение трафика за определенные временные промежутки. Для ознакомления на сайте производителя доступна бесплатная 30-дневная версия
  2. Flowmon – программа, предоставляющая комплекс инструментов для изучения пропускной способности сети, нагрузки на сеть в определенные периоды времени, а также обеспечения безопасности сети от DDOS-атак
  3. PRTG Network Monitor — универсальное решение для сбора, хранения и обработки данных о поведении сети. В отличие от других подобных программ, данный инструмент работает на основе сенсоров – логических единиц, отвечающих за сбор данных по определенным аспектам изучаемого устройства.
  4. ManageEngine NetFlow Analyzer – схожая с остальными по функционалу программа. Её выделяют из ряда других такие возможности, как гибкая настройка аналитики, а так же возможность мониторить поведение сети из любого места, благодаря приложению для телефона.


Как можно заметить, все вышеуказанные программы не только обладают схожим базовым функционалом, но и конкурируют между собой, продумывая и внедряя новые технические решения. Выбор, какой из нескольких десятков программ начать пользоваться – целиком и полностью дело конечного пользователя.

Полезна ли Вам эта статья?

Пожалуйста, расскажите почему?

Нам жаль, что статья не была полезна для вас 🙁 Пожалуйста, если не затруднит, укажите по какой причине? Мы будем очень благодарны за подробный ответ. Спасибо, что помогаете нам стать лучше!

Подпишитесь на нашу еженедельную рассылку, и мы будем присылать самые интересные публикации 🙂 Просто оставьте свои данные в форме ниже.

netflow коллектор+анализатор?

Доброго времени суток.
Имеется межсетевой экран Altell NEO (кастомизированный linux vyatta). Примерная схема на картинке https://ibb.co/ksyywQ. Т.е. имеется белый маршрутизируемый пул, арендованный у оператора связи, мне необходимо копить статистику по сессиям к машинам, которые используют эти белые адреса (на схеме они отсутствуют, но подразумевается что они смотрят в L2 устройство). У Altell NEO есть функция учета трафика (я включил flow-accounting для eth0), но без таймштампов и записей очень много. Выдается примерно в таком виде:

Кстати, не понятно почему записей меньше чем потоков.

Как бы там ни было, очевидно что без анализатор мне не обойтись. Я почитал о netflow и архитектура мне примерно понятна, но пока слабо представляю откуда подступиться. На Altell NEO можно указать адрес и порт коллектора, интервал выборки, время жизни сессий для различного трафика и т.д. Теперь мне нужно выбрать какое-то ПО и развернуть коллектор и анализатор.
Собственно, вопросы:
1. Правильно ли я понял принцип.
2. Порекомендуйте пожалуйста опенсорс коллектор и анализатор не сложные в настройке. Я так понял, ntopng довольно распространенный, но не уверен включает ли он в себя функцию коллектора.

P.S. на Altell в качестве сенсора работает uacctd, но куда сливаются записи, которые можно посмотреть командой show flow-accounting interface eth0, так и не нашел. В uacctd.conf это не указано, пытался куски записей грепать рекурсивно по содержимому файлов — безрезультатно.

nfdump. Есть веб-интерфейс к нему — nfsen.

Я так понял, ntopng довольно распространенный, но не уверен включает ли он в себя функцию коллектора.

Только за деньги в виде отдельной программы (nProbe).

Порекомендуйте пожалуйста опенсорс коллектор и анализатор не сложные в настройке.

Коллектор — nfcapd (nfdump), а внятного софта для обработки и визуализации, кажется, и нет. Я вот совсем недавно тоже этим занимался и в итоге написал руками на питоне свой собственный анализатор 🙂 Там nfcapd + nfdump + обработка + выгрузка в influxdb + визуализация grafana.

Если нужно, могу опубликовать. Но у меня частный случай, нужно смотреть тупо общее количество трафика «кто сколько и когда скачал», а если вставлять в инфлюкс по записи на каждую пару src/dest — то он очень быстро охренеет.

Три группы софта:

  • flow-tools[-ng] — коллектор и консольные утилитки для колупания сохранённых файлов
  • nfdump — то же самое что и выше + nfsen — вебморда, позволяющая рулить коллекторами, смотреть графики и делать отчёты
  • SiLK — то же самое, что и первый пункт, но с функциями IDS. Позволяет засечь, например, сканирование портов.

Первые два точно работают, проверял. Третью не смотрел.

Анализатор — дело небесплатное, опенсорсных я не видел. Обычно берут flow-tools в качестве коллектора, данные с него пихают в БД, а с нее уже рисуют анализ, благо что сейчас js-приблуд для этого предостаточно, и за вечер или пару мелких купюр на fl можно оформить себе приятный анализатор.

Доброго времени суток.
Спасибо всем за ответы. Попробовал nfdump — очень удобно (хотя еще не со всеми фильтрами разобрался, но весьма информативно). Уже даже не уверен, нужно ли мне веб лицо, может если коллегам понадобится — прикручу. Ман отличный, прям для людей.
Осталась пара вопросов:
1. Попробовал nfexpire интерактивно (nfexpire -e /var/cache/nfdump/altell -t 12H), но он почему-то очистил не самые старые файлы о_О. У меня такая структура:

То, что лежит в каталоге /var/cache/nfdump/altell — это файлы, оставшиеся после первого запуска nfcapd без опции -S, они самые старые. При этом в каталоге /var/cache/nfdump/altell/2020/04/ был еще каталог 17/ (это создано вторым запуском nfcapd уже с опцией -S), и вот этот каталог был удален, хотя в нем файлы новее чем в /var/cache/nfdump/altell. Получается nfexpire ориентируется на то, что файлы созданы именно текущим процессом nfcapd, а не какими-то предыдущими? Если так, то nfcapd с -e так же себя ведет?
2. Не увидел с какой версией netflow работает nfcapd? Знаю что поддерживает v5, v7 и v9, но вот с какой он запущен. Или он может принимать сообщения netflow независимо от версии, главное чтобы это было 5, 7 или 9? На моем сенсоре в качестве версии коллектора указана 5.
3. Как лучше запускать nfcapd? У меня debian7.11, полагаю в rc.local поместить это адекватный вариант?

Касательно вопроса 2: не обратил внимания на такие строки в мане:

Я правильно понимаю что nfdump помогает увидеть кто загружает канал в реальном времени? Тоже купили altell, думаю как отлавливать пользователей кто загружает канал. Попробовал PRTG, слал туда netflow. Загрузку канала SNMP показывает 100%, netflow кажет что активность 0.1Мбит. Но активность показывается, хоть и с задержкой. Еще по Altell, eth1 это интернет, eth2 пользователи. Я правильно понимаю что конфигурировать надо именно на eth2? set system flow-accounting interface eth2

Не видел уведомлений о посте.

Я правильно понимаю что nfdump помогает увидеть кто загружает канал в реальном времени?

Да нет, просто данные о трафике (инфо поля), и, собственно, все.

Касательно покупки алтеля — это зря, у них саппорт мертвый, контора разогнала весь состав.
У алтеля странно сделано, при настройке типа «system flow-accounting interface eth2» получите данные только входящего трафика в eth2, т.е. ответы вы не увидите. Если хотите весь, тогда нужно такую же настройку для eth1 сделать.

Лучшие бесплатные утилиты анализа сети

Типы программ анализа сети

Утилиты анализа сети позволяют проводить диагностику сети на наличие проблем, а так же исследовать сеть на наличие различной аппаратуры, включая компьютеры, маршрутизаторы и т.д.

Как правило, такие утилиты делят на три категории:

  • Анализатор пакетов. Позволяют перехватывать и просматривать все пакеты, которые проходят через сетевые карты на вашем компьютере.
  • Сканеры портов. Предназначены для исследования отдельных сетевых устройств в сети на предмет открытых портов.
  • Аппаратные сканеры. Исследуют сеть на предмет наличия различного сетевого оборудования.

Ключевое различие между сканером портов и аппаратным сканером заключается в области сканирования. Сканеры портов сосредоточены только на портах отдельного сетевого оборудования. Проверяют открыт или закрыт порт, и что слушает данный порт. Аппаратные сканеры позволяют увидеть более широкую картину. Понять цель обнаруженного сетевого устройства. Как оно взаимодействует в сети.

Все эти утилиты имеют неоценимое значение для тех, кто изучает сеть на предмет наличия оборудования, целей обнаруженных сетевых устройств, а так же слабых мест самой сети.

Обзор бесплатных программ анализа сети

WireShark зарекомендовала себя как анализатор пакетов высокого класса. Она может перехватывать пакеты стандартных Ethernet, PPP и VPN интерфейсов. Например, вы можете его использовать для выявления людей, которые слишком сильно загружают ваш сервер.

WireShark требует установки специального пакета WinPcap. WinPcap позволяет другим программным продуктам слушать на уровне RAW сокетов всю информацию, которая приходит и уходит через сетевую карту вашего компьютера. Кстати, перед установкой WireShark лучше первым делом установить последнюю версию WinPcap. Так как версия в инсталляторе WireShark не самая свежая.

Nmap позволяет сканировать определенный IP-адрес или диапазон. Она сообщит обо всех открытых портах, а так же не менее интересную информацию о вероятном типе устройства и установленной операционной системе. Эта утилита поможет вам в исследовании сети и построения ее топологии. Так же требует наличия пакета WinPcap.

Angry IP небольшая по размеру утилита, которая позволяет быстро просканировать диапазон IP-адресов. К сожалению, она предоставит вам меньше информации, чем Nmap. Тем не менее, утилита умеет анализировать порты и показывать ряд дополнительной информации по каждому адресу из диапазона.

При использовании подобных утилит анализа сети, необходимо помнить, что если сетевые устройства соединены между собой через свичи, а не через хабы, то через вашу сетевую карту будет проходить не весь трафик сети, а лишь та часть, которая предназначена для вашего компьютера. Это обособленно тем, что свичи умеют работать с адресами сети и перенаправлять к вам только те пакеты, которые соответствуют вашему адресу. С другой стороны стоит заметить, что если сеть организована по средствам хабов, то вы можете перехватить чужой трафик даже на своем компьютере.

Такие пакеты, как WinPcap, которые слушают проходящий трафик через вашу сетевую карту, можно использовать для разработки собственных утилит. Но, надо учитывать, что для использования созданной утилиты на других компьютерах вам придется предварительно установить сам пакет.

Предостережение: Никогда не пробуйте баловаться данными утилитами в локальной сети провайдера или в интернете, так как провайдеры могут отслеживать подобное поведение, что в случае обнаружения может привести к появлению у вас лишних проблем. И помните, что межсетевые экраны так же включают в себя модули обнаружения сканирования сетевого оборудования.

Netflow-искания Часть 1 (сенсоры и коллекторы)

Я думаю, что все согласятся с тем, что мониторинг сетевой активности является одной из приоритетных задач в процессе эксплуатации корпоративных сетей.
Все легко и просто, пока вы администрируете сеть небольшого офиса в городе N. Но что если ваша фирма пошла в гору и стала расширяться? Открытие нового филиала скорей всего повлечет начало отношений с провайдерами, организацию каналов связи и более сложные (назовем это так) манипуляции с сетью.
Нет желания описывать такие вещи, как маршрутизацию, ее необходимость и проблемы с ней связанные. Допустим вы непосредственно маршрутизацию победили. Но это не значит, что все у вас будет хорошо.

Организация канала в соседний город стоит немало. Чем «шире» канал, тем больше денег надо платить. И рано или поздно придет к вам начальник и спросит: Почему мы платим за канал так дорого, а нам его все равно не хватает? Ведь мы уже расширяли его дважды. И вообще мы тебе платим такие о#censored#е деньги.


Итак, прелюдий достаточно.

Задача: необходимо организовать детальный мониторинг сетевого трафика.

Имеем:

  • Маршрутизируемую сеть, построенную на оборудовании Cisco.
  • Каналы связи организуют различные провайдеры.

Предварительный обзор:
Коммутаторы и маршрутизаторы во внутренних сетях как правило способны переварить практически любой трафик. Нагрузка на сервера тема отдельная и скорей всего нас мало касается. Итак внутренние потоки информации нас не волнуют. На границе у нас установлены маршрутизаторы, с которых собственно и будем собирать статистику, причем со внешних интерфейсов.
Попыток создания систем мониторинга было много. Однако самыми удачными были разработки протоколов SNMP и NetFlow. Необходимо понимать, что это абсолютно разные системы. SNMP — это протокол для работы с устройствами. То есть это сбор, обработка данных и управление физическими интерфейсами. Вы сможете получить информацию о нагрузке, в некоторых случаях температуре и все в этом роде. Это очень нужный и полезный протокол, но увы он не даст нам полную картину. Мы сможем увидеть только общую картину и констатировать, что действительно каналы у нас загружены. Как показывает практика, даже один пользователь способен полностью утилизировать 100 Мбит канал.
NetFlow — Разработка Cisco systems, которая пожалуй является лучшей реализацией протокола для мониторинга сетевого трафика на третьем уровне (уровень IP). Не смотря на то, что протокол проприетарный, существует его множество не-Cisco реализаций. Это значит, что вы сможете настроить его даже на обычном серверном оборудовании.

Итак суть работы с Netflow заключается:

  1. Получаем данные с сенсоров и передаем их на коллектор.
  2. Обрабатываем и передаем на анализатор.

Настройка сенсоров.

У нас в качестве сенсора будет Cisco router

Пояснения:

  1. conf t — переход в режим конфигурации
  2. ip flow-export source GigabitEthernet0/0 — означает от какого интерфейса будем передавать данные. Это у нас будет внутренний интерфейс, соответственно с него и будет передаваться. Если вы ошибетесь, то последствия могут быть. Например если на коллекторе установлен firewall, разрешающий трафик только со внутренней сети, а вы передаете с внешнего адреса маршрутизатора, то пакеты просто не пройдут.
  3. ip flow-export version 5 — мы указали пятую версию протокола Netflow, так как наш коллектор работает с этой версией. Если версии сенсора и коллектора не будут совпадать, коллекторы будут выдавать весьма странные ошибки, которые довольно тяжело диагностировать.
  4. ip flow-export destination xxx.xxx.xxx.xxx 9999 — здесь мы указываем IP адрес и UDP порт коллектора. То есть на этот адрес и порт будет отправляться информация о трафике.
  5. interface GigabitEthernet0/1 — переходим в режим конфигурирования интерфейса GigabitEthernet0/1. (зачем я это поясняю?)
  6. ip flow ingress — включаем мониторинг входящего на интерфейс трафика
  7. ip flow egress — включаем мониторинг исходящего трафика

Настройка сенсора закончена. Теперь сенсор будет усердно отправлять данные на коллектор. Если у нас больше одного интерфейса на сенсоре — прописываем 6 и 7 строки на каждом интерфейсе. Если у нас больше одного сенсора стоит озаботиться вопросом — хотим ли мы передавать все в один коллектор, т.к. это может «размазать» картину. Лично я предпочитаю разные сенсоры направлять на разные коллекторы. Кроме того я бы не рекомендовал вам включать мониторинг одновременно на внутреннем и внешнем интерфейсах сенсора.

Настройка коллекторов.

Коллектор из себя представляет сервер, на который стекается информация с сенсоров.

Установка и настройка FreeBSD.
FreeBSD — наш выбор серверной ОС (а разве бывают другие?). Качаем, ставим и настраиваем, читая руководство (тысячи их). Устанавливаем коллекцию портов.
Я скачал boot-only образ для amd64 и установил систему, пользуясь исходными данными полученными с интернет. Потом установил мой любимый midnight commander, с его помощью сконфигурировал новое ядро, пересобрал его и установил. Однако это было не совсем последовательно (что поделать — привычка).

Лучший путь:

  1. Установить систему
  2. Сконфигурировать ядро с помощью ee или vi. Пересобрать/установить.
  3. Установить (если не установлена) и/или обновить (если установлена) коллекцию портов.
  4. Обновить установленные порты. (обычно установщик системы что-нибудь да установит еще на старте).
  5. А вот теперь мы можем начинать ставить необходимое нам ПО.

На подготовку сервера у меня ушел весь рабочий день. Основное время у меня потратилось на то, что установщик долго тянул данные для установки с интернета (в тот день интернет был плохим). Еще много времени потратилось на то, что я неправильно написал команды на сборку ядра и понял ошибку только после того, как сборка завершилась и пришлось ее перезапускать. Неподготовленным гражданам это может вылиться в долгие вечера возле консоли. Но не все так плохо на самом деле.
Стоит предупредить, что коллектор как правило очень требователен дисковому пространству. В моей корп сети с одного сенсора приходит около 400 MB необработанной информации в сутки. То есть если мы хотим хранить информацию довольно крупной компании (более 1500 хостов) хотя бы за месяц — нам необходимо около 15 GB свободного места только под исходные данные на каждый сенсор. Также следует учитывать, что данные находятся в «сжатом» состоянии. В зависимости от ваших хотелок конечные данные могут занимать в десятки раз больше дискового пространства. Естественно мы постараемся быть экономичными, но об этом далее…

Установка flow-tools.
flow-tools это очень мощный пакет инструментов для работы с NetFlow.

Если погуглить, то станет видно, что многие не рекомендуют «делать clean» (например тут), но лично я по своему опыту не сталкивался с проблемами, описанными в этих статьях.

Настройка flow-capture.
flow-capture это демон, который принимает данные от сенсоров на указанном UDP порту. Мы направляем данные с сенсора на 9999 UDP порт. Итак настраиваем:

Пояснения:
flow_capture_enable=«YES» — запуск демона при загрузке
flow_capture_localip=«xxx.xxx.xxx.xxx» — принимать данные на xxx.xxx.xxx.xxx IP адрес.
flow_capture_port=«9999» — принимать данные на 9999 UDP порт.
flow_capture_remoteip=«0.0.0.0» — принимать данные с любого IP сенсора.
flow_capture_datadir=»/var/db/flows/» — складировать данные в указанную папку
flow_capture_flags=»-V5 -n287 -N2″ — версия протокола 5; ротировать файл 287 раз в сутки (каждые пять минут) и складывать по форме «YYYY/YYYY-MM/flow-file»

Мастер Йода рекомендует:  Выравнивание по вертикали c помощью CSS

Все, коллектор настроен.

Конструирование анализатора.

Да, именно конструирование. Как правило «коробочное» решение стоит денег и я спешу заверить — не малых. В конторе, которой работаю я за такое решение было выложено около 20 000$ (и что самое смешное нормально так и не было запущено в эксплуатацию). Кроме того часто бывает так, что платные/бесплатные решения не всегда удовлетворяют нашим потребностям. Структура анализа трафика действительно напоминает конструктор т.к. на каждом этапе мы можем изменять/применять те или иные параметры. Ну и если голова достаточно светлая — можем сами упаковать в красивую web-упаковку.

Первичный анализ.
Естественно у нас будет желание сразу посмотреть данные, полученные с сенсоров на коллектор. Пакет программ flow-tools, которые мы установили имеют некоторые вполне неплохие инструменты для анализа трафика:
flow-cat — программа, которая связывает анализаторы с коллектором. Как правило программа сама по себе не используется, а только в связках с программами ниже.
flow-print — программа преобразования netflow файлов в ASCII формате. Также программа форматирует вывод в нужный вам вид (читабельный для человека).
flow-stat — программа формирования статистики.
flow-filter — программа фильтрации данных. Как правило нам не нужны все данные. Интерес представляют отдельные граждане. Для использования нам необходимо создать в папке запуска команды файл ‘flow.acl’, в котором пишем access-lists. Примеры ниже.

В таком виде программы просто выдадут результаты на экран. Если хотим записать в файл, пользуемся «> ‘имя файла’ (для перезаписи) или ‘>> имя файла’ (для добавления). (зачем я то объясняю??)

Для полноты картины раскрасим это примерами. Мы будем брать данные из папки /var/db/flows/2013/2013-01/ и класть в папку /usr/home/netflow/

… И вот мы радостные несемся к начальнику и говорим ему, что зря он кричал на нас… и что он сам является причиной плохой работы конторы… и что просмотр порно-сайтов в рабочее время мешает нашей работе и работе сотрудников… Ну и предлагаем заодно повысить нам зарплату, за что получаем увольнение и… устраиваемся в уютный офис администрировать 10 компьютеров.

Продолжение следует.

Источники:
1) Официальный сайт FreeBSD
2) Поиск Google
3) man flowtools; man flow-capture; man flow-cat; man flow-print и т. д.

NetFlow Analyzer PRTG
«Все в одном»

  • NetFlow Analyzer PRTG выполняет мониторинг пропускной способности
    и трафика.
  • PRTG поддерживает все версии NetFlow.
  • PRTG отслеживает все важные протоколы технологии Flow.
  • PRTG NetFlow Collector сохраняет и обрабатывает потоки данных.

PRTG

Программное обеспечение для мониторинга работы сети — версия 19.4.53.1912 (October 29th, 2020)

Хостинг

Доступна загрузка для Windows и облачная версия (PRTG в облаке)

Языки

Английский, немецкий, русский, испанский, французский, португальский, нидерландский, японский и упрощенный китайский

Цены

Бесплатно вплоть до 100 сенсоров (цены)

Комплексный мониторинг

Поддерживаемые поставщики и приложения

Вот как работает мониторинг NetFlow с помощью PRTG

Протокол NetFlow поддерживается главным образом маршрутизаторами и коммутаторами Cisco.

NetFlow позволяет анализировать и отслеживать пропускную способность и определять, например, объем трафика, генерируемого IP-адресами, протоколами или программами. Для выполнения такого анализа маршрутизаторы настраиваются таким образом, чтобы пакеты протоколов Flow отправлялись на компьютер с установленным зондом PRTG. Технология Flow оказывает минимальную нагрузку на ЦП и специально адаптирована для сетей с большими объемами трафика данных.

Вот как работает программа NetFlow Analyzer PRTG

ПО для мониторинга NetFlow без каких-либо дополнительных затрат

i Что такое сенсор?


В PRTG «сенсор» является виртуальной точкой измерения и обычно осуществляет мониторинг одного показателя вашей сети, например, трафик портов коммутаторов, загрузка ЦП сервера или свободное место на жестком диске. В среднем вам понадобится 5-10 сенсоров для одного устройства или один сенсор для порта коммутатора.

Не требуется обновление

PRTG — это пакет «Все в одном»! Наш инструмент для мониторинга сети не требует дополнительных обновлений или инструментов для анализа пропускной способности с помощью технологии Cisco NetFlow. Стандартная установка PRTG имеет все необходимые инструменты для мониторинга всего трафика, проходящего через ваши маршрутизаторы и коммутаторы.

Один инструмент для всех задач

Используя PRTG, вы получаете единое централизованное программное решение для мониторинга всех компонентов, а также полного обзора системы. Необходимость совместного использования множества разных инструментов теперь в прошлом. PRTG позволяет отслеживать использование пропускной способности, работу серверов, ЦП, веб-сайтов, облачных служб и многого другого. Попробуйте инструмент сбора данных NetFlow самостоятельно.

Быстрая установка

PRTG использует функцию Auto Discovery (автоматическое обнаружение) для автоматической настройки комплексного мониторинга и создает все необходимые для этого сенсоры. Поэтому переход на PRTG с другого программного обеспечения для мониторинга занимает очень мало времени.

Рейтинговые списки

По умолчанию трафик, отслеживаемый сенсором, всегда разделяется в рейтинговых списках PRTG между основными получателями (использование пропускной способности по IP-адресу), основными подключениями (по подключению) и основными протоколами (по протоколу). Рейтинговые списки позволяют отслеживать данные по категориям, что упрощает анализ трафика с помощью NetFlow.

Сенсоры PRTG для мониторинга NetFlow

СЕНСОРЫ NETFLOW V5

Протокол NetFlow версии 5 широко используется в настоящее время.
В PRTG имеется совместимый с ним сенсор NetFlow V5, а также настраиваемый сенсор NetFlow V5.

СЕНСОРЫ NETFLOW V9

Протокол NetFlow версии 9 представляет собой расширенную форму технологии NetFlow. В PRTG имеются необходимые сенсоры для использования этого протокола: сенсор NetFlow V9 и настраиваемый сенсор NetFlow V9.

СЕНСОРЫ IPFIX

Internet Protocol Flow Information Export (IPFIX — экспорт информации о потоках IP) является расширенной формой системы NetFlow от Cisco. PRTG предлагает два сенсора для ее использования: сенсор IPFIX и настраиваемый сенсор IPFX, который можно адаптировать в соответствии с вашими специфическими потребностями.

Снимки экрана
Так выглядит мониторинг NetFlow в PRTG

Отслеживание всего трафика NetFlow

NetFlow Analyzer PRTG
Три возможности применения

PRTG позволяет определить, если ваши коммутаторы не в состоянии обрабатывать такой объем данных,
который используется вашим решением для резервного копирования.
Данный факт устанавливается до полной перегрузки этих коммутаторов.
Если же эти коммутаторы все равно окажутся перегружены во время выполнения резервного копирования,
PRTG позволит вам быстро найти виновника сложившейся ситуации.

Определение «пожирателей»
пропускной способности

Зачастую отдельные элементы в сети используют непропорционально большие объемы пропускной способности. Это могут быть отдельные пользователи, а также программы или определенные данные. Наше программное обеспечение для мониторинга NetFlow позволяет отслеживать IP-адреса и анализировать трафик NetFlow.

Раннее выявление
пиков нагрузки

Во многих компаниях возникают перебои с доступом к различным веб-сайтам или внутренним приложениям. Задавайте собственные пороговые значения, чтобы заранее получать уведомления при их достижении: в идеале — еще до того, как пострадает производительность системы.

Никаких перегрузок при резервном копировании

Полное резервное копирование может создавать проблемы для работы сети в целом. Зачастую такие проблемы возникают из-за отдельных маршрутизаторов или коммутаторов, перегрузка которых во время резервного копирования приводит к ухудшению работы всей сети. Используйте NetFlow Analyzer PRTG для выполнения мониторинга и поиска причин проблем в целях оптимизации работы сети.

«С PRTG нам работается гораздо спокойнее».

Сетевой администратор, клиника «Шюхтерманн» (Германия)

PRTG ДЕЛАЕТ ВАШУ ЖИЗНЬ ПРОЩЕ!

Поручите работу по мониторингу NetFlow PRTG.
Сосредоточьтесь на более важных делах.

PRTG ЭКОНОМИТ ВРЕМЯ

Используя PRTG, вы получаете единый централизованный инструмент для отслеживания пропускной способности и работы сети по протоколу NetFlow, SNMP или с помощью анализа пакетов. На панелях мониторинга и картах можно быстро и легко просматривать обзорные данные.

PRTG бережет НЕРВЫ

Настроить PRTG очень просто. Когда дело касается анализа NetFlow, вы получаете все необходимые сенсоры, представленные во множестве различных форм. А это позволит сэкономить ваше время и быстро настроить мониторинг.

PRTG ЭКОНОМИТ ДЕНЬГИ

PRTG стоит своих денег. 80 % наших клиентов говорят о том, что смогли добиться экономии в сфере управления сетью. А затраты на лицензии PRTG окупаются в среднем всего за три с половиной месяца.

Более 200 000 администраторов по всему миру
доверяют нашему инструменту для мониторинга.

  • Полная версия PRTG на 30 дней
  • После 30 дней – бесплатная версия
  • Для расширенной версии – коммерческая лицензия

Практический совет: «Послушай, Джеральд, что бы ты сказал администраторам, которые хотят использовать PRTG для мониторинга NetFlow?»

«Cisco постоянно развивает технологию NetFlow. Поэтому администраторам следует заранее выяснить, какую версию NetFlow поддерживают их маршрутизаторы и коммутаторы. При использовании подходящих сенсоров PRTG можно быстро и легко настроить мониторинг NetFlow».

Джеральд Шох работает в компании PAESSLER AG техническим редактором.

NetFlow Analyzer PRTG:
Настройка за три простых шага!

Настройте протокол NetFlow маршрутизатора таким образом, чтобы он отправлял пакеты NetFlow на компьютер, где установлена программа PRTG Network Monitor:

Шаг 1


Установите PRTG. Сенсоры Flow доступны даже в бесплатной пробной версии PRTG. Выберите подходящую лицензию и наслаждайтесь комплексным мониторингом с использованием более 100 сенсоров. Это можно будет сделать и позднее.

Шаг 2

Настройте свой маршрутизатор или коммутатор Cisco таким образом, чтобы он экспортировал данные NetFlow и отправлял их на компьютер, где установлен зонд PRTG. На следующем этапе на этом компьютере будет создан сенсор NetFlow. Обратите особое внимание на экспортируемую версию протокола Flow, поскольку в PRTG необходимо использовать совместимый с ней сенсор.

Шаг 3

Создайте сенсоры NetFlow, подходящие для экспортируемой версии Flow и целевого адреса, а также задайте в настройках сенсора порт UDP и IP-адрес, по которым сенсор будет принимать потоки данных. Также можно указать IP-адрес определенного устройства Cisco, чтобы потоки данных поступали на такое устройство, и включить режим выборки, если он был задан на целевом устройстве. Введите значение для параметра «Время ожидания активного потока», которое должно быть как минимум на одну минуту больше значения этого параметра, заданного для устройства. И, наконец, выберите, какие категории трафика данных сенсора будут отображаться в различных каналах. Для требуемых данных также можно задать дополнительный фильтр.

Альтернативный вариант: Если вам не требуется долгосрочный анализ трафика каждого ПК, а необходимо отслеживать только текущий и недавний трафик на основании заданного IP-адреса или протокола, то достаточно будет создать сенсор NetFlow и вести анализ трафика данных в рейтинговых списках по IP-адресу или протоколу. Дополнительные сведения о настройке: ищите ответы на вопросы пользователей в нашей базе знаний. В этой статье приведены дополнительные советы по настройке маршрутизаторов Cisco.

Мониторинг Netflow для VMware

VMware и NetFlow: VMware использует технологию NetFlow в семействе продуктов vSphere Distributed Switches (vDS). В принципе, эти виртуальные коммутаторы подключают виртуальные сетевые карты виртуальных машин (ВМ) к сети посредством физических сетевых карт хостов системы. Для этих виртуальных коммутаторов VMware использует протокол NetFlow.

Мониторинг с помощью PRTG: Здесь можно использовать как обычный мониторинг, так и мониторинг NetFlow для физических устройств (Cisco). Включите NetFlow в VMware vCenter и настройте протокол таким образом, чтобы его потоки направлялись в программу PRTG, где соответствующий сенсор потоков будет отслеживать и отображать данные. При использовании правильной версии NetFlow для PRTG нет никакой разницы, откуда поступают потоки.

Дополнительная информация:

Все, что вам нужно знать о мониторинге VMware с помощью PRTG.

Более 95 % наших клиентов рекомендуют PRTG

Компания Paessler AG провела обширный опрос свыше 600 ИТ-отделов по всему миру, в которых используется PRTG.
Целью этого опроса была оптимизация и тонкая настройка нашего программного обеспечения для мониторинга работы сети
которая позволила бы лучше удовлетворить потребности администраторов.
По результатам нашего опроса более 95 % участников были готовы порекомендовать PRTG или уже сделали это.

Другие сенсоры Flow

В PRTG имеются и другие сенсоры Flow, позволяющие отслеживать протоколы обмена сообщениями, Citrix, FTP, электронную почту и другой трафик.

Протокол sFlow: При использовании сенсора sFlow передается только каждый n ый пакет, благодаря чему нагрузка на систему будет еще ниже. Дополнительные сведения о сенсоре PRTG для sFlow приведены здесь.

Протокол jFlow: jFlow позволяет среди прочего отслеживать оборудование компании Juniper Networks. Здесь также можно настроить устройства специально для PRTG. Данный протокол отличается высокой степенью сходства с NetFlow5. Дополнительные сведения о нашем сенсоре jFlow.

Многократно премированное программное обеспечение

Мы каждый день прилагаем все усилия на предоставление мощного и
простого программного обеспечения для наших клиентов.
Конечно, мы гордимся, когда имеем успех и благодарность за нашу работу.

Сравнение: Netflow, SNMP, анализ пакетов

SNMP: SNMP (Simple Network Management Protocol)— простой протокол управления сетью) — очень популярный и простой способ считывания данных устройств. С его помощью можно получить основные важные данные, например об использовании пропускной способности, ЦП или температуре оборудования. Подробнее о мониторинге по протоколу SNMP с помощью PRTG

Анализ пакетов: Более подробные сведения об использовании пропускной способности можно получить с помощью анализа пакетов или NetFlow. При этом вы сможете тщательнее анализировать пакеты, проходящие через отдельные маршрутизаторы или коммутаторы. Подробнее об анализе пакетов с помощью PRTG.

Анализ NetFlow: NetFlow — это протокол, поддерживаемый главным образом оборудованием Cisco. Поэтому вам требуется решение для мониторинга, которое совместимо с NetFlow. Такое решение (например, анализатор пакетов) позволит вам подробно анализировать содержимое пакетов. В PRTG имеется ряд сенсоров NetFlow, за которые не взимается дополнительная плата.

Коллектор NetFlow vs. Анализатор NetFlow

Какие NetFlow инструменты лучше?

Есть немало инструментов, которые собирают и анализируют потоки данных. Чтобы выбрать подходящий инструмент для анализа NetFlow, определите свои потребности и необходимую глубину анализа данных. Иногда имеет смысл использовать сразу несколько различных инструментов. Например, мы обнаружили, что многие администраторы используют Wireshark в дополнение к PRTG. PRTG дает общую картину сети, позволяет исключить возможные причины проблем в сети. Wireshark позволяет подробно исследовать отдельные пакеты данных.

Что такое коллектор NetFlow?

Коллектор NetFlow собирает, сохраняет и обрабатывает данные NetFlow. Инструменты отличаются между собой с точки зрения глубины анализа данных. При этом многие администраторы используют один инструмент для выполнения функций как сбора, так и анализа NetFlow данных.

Что такое анализатор NetFlow?

PRTG включает в себя и коллектор, и анализатор NetFlow. Наш инструмент и собирает, и обрабатывает все данные NetFlow, и выводит эти данные на информационную панель. PRTG использует преимущества описанных выше топлистов для отображения топовых источников сообщений, топовых соединений, топовых протоколов и настраиваемых топлистов. Вы можете установить свои собственные пороговые значения. Если эти значения превышены, PRTG сразу же предупредит вас.

Какие анализаторы и коннекторы NetFlow доступны для Windows?

Анализаторы и коллекторы NetFlow от PRTG, работают под Windows. Поскольку мы всегда фокусировались на Windows, у нас достаточно опыта в области анализа трафика NetFlow с помощью Windows. PRTG — это универсальное решение для мониторинга Windows. PRTG поставляется с многочисленными сенсорами WMI, а также мониторингом журнала событий Windows и мониторингом безопасности. PRTG использует технологии, которые позволят вам контролировать операционные системы, отличные от Windows.

Скачать анализатор NetFlow: бесплатная или коммерческая лицензия?

Многие администраторы задаются вопросом, существует ли эффективный бесплатный инструмент NetFlow Analyzer или стоит подумать об использовании коммерческой лицензии. PRTG поставляется с 100 бесплатными датчиками, срок действия которых никогда не истекает. И если вы решите расширить свой мониторинг в будущем, профессиональную лицензию можно приобрести в любое время. Лицензии PRTG позволяют вам пользоваться всеми функциями программного обеспечения: системой оповещения, отчетами, поддержкой и полным спектром сенсоров.

Дополнительная информация:

Мониторинг в реальном времени: Контролируя сеть в реальном времени, вы всегда в курсе того, что происходит внутри нее. PRTG работает в фоновом режиме и незамедлительно уведомляет вас, если возникает проблема.

Мониторинг принтера: С помощью PRTG вы знаете состояние каждого принтера. Вы получаете подробные сообщения об ошибках принтера, информацию о необходимости замены принтера.

Мониторинг WiFi: С помощью инструмента PRTG WiFi Analyzer вы cможете контролировать состояние беспроводной сети. PRTG позволит следить за состоянием устройства, нагрузкой, трафиком, скоростью и уровнем сигнала каждого маршрутизатора.

Мониторинг VPN: PRTG контролирует VPN-соединения и измеряет трафик, нагрузку и количество пользователей. Помогает выявить проблемы с подключением и подозрительный трафик.

«Наш приоритет — постоянно и активно продолжать развивать PRTG. Наше устремление – обеспечить готовность администраторов к появлению любых новых стандартов.»

Дирк Пэсслер, основатель Paessler AG, Нюрнберг

PAESSLER AG –
инженерное дело
с немецким
качеством

Скачать бесплатно

  • Полная версия PRTG на 30 дней
  • После 30 дней – бесплатная версия
  • Для расширенной версии – коммерческая лицензия

Сделано в Германии. Инструмент мониторинга сети PRTG — это результат вдохновенного труда целой группы разработчиков. Компания была основана Дирком Пэсслером (Dirk Paessler). Главный офис компании Paessler AG расположен в Нюрнберге — в самом сердце Германии.

Быстрый обзор. Как на настольном компьютере, так и в приложении для смартфона PRTG содержит функцию обзора. На индивидуально настраиваемой панели виджетов отображаются все важные параметры в наглядной графической форме. Вы сможете в любое время проверить, все ли компоненты вашей сети находятся в зеленой зоне.

Простая конфигурация. «Интеллектуальная» настройка гарантирует быструю и простую установку. Уже на этапе конфигурации в вашу сеть посылаются эхозапросы и устанавливаются соответствующие сенсоры. Это позволяет вам значительно экономить время. Даже переход с другого ПО, например Nagios, осуществляется сравнительно быстро.


Оперативная поддержка. Наша служба поддержки руководствуется девизом: любой запрос, поступивший в будний день, должен быть обработан в течение 24 часов. В нашей базе знаний хранятся все необходимые видеофайлы, вебинары и инструкции. В руководстве по эксплуатации вы также найдете много полезной информации.

Начать работу очень просто. Пробная версия бесплатная, поэтому вы можете без риска для себя оценить наш инструмент мониторинга. Если вы хотите перейти на новую версию PRTG, найдите подходящую лицензию. Впоследствии лицензию можно расширить.

PRTG

Программное обеспечение для мониторинга работы сети — версия 19.4.53.1912 (October 29th, 2020)

Хостинг

Доступна загрузка для Windows и облачная версия (PRTG в облаке)

Языки

Английский, немецкий, русский, испанский, французский, португальский, нидерландский, японский и упрощенный китайский

Цены

Бесплатно вплоть до 100 сенсоров (цены)

Комплексный мониторинг

Поддерживаемые поставщики и приложения

Top 10 Best Free Netflow Analyzers and Collectors for Windows & Linux

As Network engineers and Administrators, many of us are consistently dealing with issues that aren’t always as apparent as they seem. This where analyzing network traffic comes in handy using packet sniffing techniques.

So the question then comes what is NetFlow and what are Network Analyzers?

NetFlow Analyzers and Collectors are very useful tools to assist in monitoring and analyzing network traffic data to help you manage these issues and potentially stop them before they become major problems.

NetFlow analyzers allow you to pinpoint machines and devices that are hogging bandwidth, to find bottlenecks in your system, and, ultimately, to improve your network’s overall efficiency.

The term “NetFlow” refers to a Cisco proprietary protocol for collecting information about IP traffic and for monitoring network traffic; NetFlow has become the industry standard protocol for flow technologies.

NetFlow software collects and analyzes this flow data generated by routers, and presents it in a user-friendly format.

A few other network vendors have their own protocols for network traffic data monitoring and collecting. For example Juniper, another highly respected network device vendor, calls their protocol “J-Flow.”

HP and Fortinet use “sFlow” standard which we’ve covered here. Even though Flow data has different names, they all provide mostly the same information and work in similar ways.

There are many analyzers and collectors available, and in this article, we will discuss 10 commercial and free NetFlow analyzers and collectors available for Windows.

Most of the NetFlow software vendors listed below have instructions on how to enable NetFlow on various manufacturer’s devices. Your device manufacturer’s documentation should also have this information.

Here’s the Best Netflow Analyzers & Collectors of 2020:

1. SolarWinds Real-Time NetFlow Traffic Analyzer – Get it HERE

The Free NetFlow Traffic Analyzer from SolarWinds is one of the more popular tools available to download free.

This tool allows you to sort, graph, and display data in various ways that allow you to visualize and analyze your network traffic.

It is great for tasks such as seeing network traffic by type and for specified periods of time, and running tests to see how much bandwidth various applications consume.

This free tool limits you to one NetFlow interface monitoring and keeps only 60 minutes of data. This Netflow Analyzer from SolarWinds is a powerful tool that is definitely worth the download.

2. Colasoft Capsa Free

This freeware network analyzer from Colasoft allows you to identify and monitor specific protocols — it supports over 300 network protocols — and create customizable reports. It includes email monitoring and a TCP timing sequence chart, all combined into you own customized dashboard.

Other features include network security analysis, such as DoS/DDoS attack, worm activity, and ARP attack detection; packet decoding and information display; statistics on each host on network; and conversation monitoring and packet stream reconstruction.

Capsa Free supports all 32bit and 64bit versions of Windows XP, with a minimum of 2GB RAM and 2.8GHz CPU. You will need NDIS 3 or higher compatible Ethernet, Fast Ethernet, or Gigabit with promiscuous mode driver- this mode lets it passively capture all packets on an Ethernet wire.

3. Angry IP Scanner

Angry IP Scanner is a lightweight, open-source network scanner that is fast and easy to use. It does not require installation and can be used with Linux, Windows, and Mac OSX.

It operates by simply pinging each IP address and can resolve host-name, determine MAC address, scan ports, provide NetBIOS information, determine logged-in user on Windows systems, web server detection, and more.

Its capabilities can be expanded with Java plugins. Data from scans can be saved to CSV, TXT, XML or IP-Port files. A very useful, portable network scanner.

4. ManageEngine NetFlow Analyzer Professional

This is ManageEngines’s full-featured version of their NetFlow software. It is a powerful piece of software, with a full range of analysis and collection capabilities.

They include real-time bandwidth monitoring and threshold alarms for set bandwidth usage, usage summaries, application and protocol monitoring, and much more.

The free version includes 30-days of unlimited monitoring, and after that it allows for monitoring of only two interfaces.

System requirements for ManageEngine’s NetFlow Analyzer depend on the flow rate. At a minimum, for a flow rate of 0 to 3000 flows per second, the recommended requirements are a 2.4GHz Dual Core CPU with 2GB RAM and 250GB of hard-disk space.

The requirements go up as you increase the flow rate you wish to capture.

5. The Dude

Despite a name that brings images of someone sitting on the beach, avo > MikroTik.

It automatically scans all devices and draws a map of the network. It monitors servers running on devices and alerts you in case of a problem.

Other features include auto-discovery and mapping of new devices, the ability for you to draw your own maps, provides you access to tools to remotely manage your devices, and more.

It runs on Windows, Linux Wine, and MacOS Darwine.


6. JDSU Network Analyzer Fast Ethernet

A powerful, yet easy to use, application, JDSU Network Analyzer Fast Ethernet allows anyone of any skill level to quickly collect and view data from their network.

It lets you view logged-on users, identify bandwidth usage by machine and user, promptly locate and troubleshoot errors before they become major problems, and gives you the ability to do live data capture and analysis.

The application includes the capability to create highly detailed graphs and tables that let administrators view traffic anomalies, data filtering to help sift through the large amounts of data, and much, much more.

You can view all of JDSU Network Analyzer Software’s features and technical overview here.

A tool for the entry-level network technician as well as the hardened administrator, JDSU allows you to fully take control of your network.

7. Plixer Scrutinizer

This full-featured traffic analysis tool provides you with the ability to comprehensively capture and analyze your network traffic and to find and stop errors quickly and efficiently.

With Scrutinizer, you can filter and drill down in nearly any way you can imagine, including time frame, host, application, protocol, and much more.

The free version allows you to monitor an unlimited amount of interfaces and store up to 24 hours of data.

Мастер Йода рекомендует:  8 идей проектов для практики веб-разработки

8. Wireshark

Wireshark is a powerful network analyzer with features that rival other free or paid services. It is cross-platform and can run on Linux, Windows, MacOS X, Solaris, and other platforms. Wireshark lets you view captured data via a GUI, or you can use the TTY-mode TShark utility.

Its features include capture and analysis of VoIP traffic, show live data from Ethernet, IEEE 802.11, Bluetooth, USB, Frame Relay, and others, output data to XML, PostScript, CSV, or plain text, decryption support, and much more.

System requirements include Windows XP and up, any modern 64/32bit processor, 400MB available RAM, and 300MB disk space. Wireshark NetFlow Analyzer is a powerful, must-have tool for any network administrator’s toolkit.

9. Paessler PRTG

PRTG by Paessler provides many useful features. It includes support for monitoring LAN, WAN, VPN, as well as application, virtual server, QoS, and environmental monitoring.

It comes with the capability to do Multiple Site Monitoring.

PRTG uses SNMP, WMI, NetFlow, sFlow, jFlow, and Packet Sniffing to monitor Bandwidth, along with uptime/downtime monitoring and IPv6 support. The Freeware version gives you 30 days of unlimited sensors, then 100 sensors free after that.

10. nProbe

nProbe by ntop is a full-featured open-source NetFlow capture and analysis application. Although it may not have as many of the visual bells-and-whistles like those of other applications on this list, that does not mean it is lacking in any features or capabilities.

Some of these include support for IPv4 and IPv6, Cisco NetFlow v9/IPFIX, NetFlow-Lite support, VoIP traffic analysis, flow and packet sampling, generating logs of web, MySQL/Oracle and DNS activity, and many more features. The software is free if you download and compile on Linux or Windows (http://packages.ntop.org/).

The executable binary installation file limits data capture to 2000 packets. (It is completely free for universities, education users, and non-profit and research organizations.) nProbe will run on Linux and Windows 64bit OS platforms.

This comprehensive list of 10 free NetFlow analyzers and collectors should give you the ability to quickly begin monitoring and troubleshooting your network, from a small office LAN to a large, multi-site enterprise WAN. (Locate instructions on how to enable NetFlow for your respective devices within the documentation for the application you choose, or if not there, then on the manufacturer’s website.)

If your looking for an open-source variation, see our list of some here.

Each application gives you the ability to monitor and analyze traffic on your network, key to finding small errors before they turn into big ones, pinpoint bandwidth anomalies that can be indicative of security threats, visualize your network and its traffic flow, and much, much more.

What you can do with the data these Network Analyzers give you is limitless. A must-have piece of software for all network administrators.

Editors Rating

Top 10 Free Netflow Analyzers Rated and Reviewed — The winner takes all!

Лучшие инструменты пен-тестера: сниферы и работа с пакетами

Содержание статьи

У каждого из команды ][ свои предпочтения по части софта и утилит для
пен-теста. Посовещавшись, мы выяснили, что выбор так разнится, что можно
составить настоящий джентльменский набор из проверенных программ. На том и
решили. Чтобы не делать сборную солянку, весь список мы разбили на темы – и в
этот раз коснемся утилит для снифинга и манипулирования пакетами. Пользуйся на
здоровье.

Wireshark

Фантастически успешный анализатор пакетов для винды и никсов, который многие
помнят и даже по-прежнему называют Ethereal (новое имя появилось лишь с
лета 2006 года). Wireshark «на лету» анализирует трафик из локальной сети
или из заранее подготовленного дампа на диске. То, насколько он удобен – выше
всяческой похвалы: ты можешь свободно перемещаться по всей отснифанной инфе,
просматривая данные в той детализации, которая тебе нужна. Главные козыри — это
автоматический разбор пакетов на определенные для данного протокола понятные
поля, а также система фильтров, избавляющая от просмотра всего подряд, которая
отображает лишь то, что тебя может заинтересовать. Последние версии Wireshark
радуют продвинутыми механизмами для анализа голосового трафика VoIP, а также
дешифровкой таких протоколов как IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP,
и WPA/WPA2. На лету расшифровываются и данные, сжатые gzip’ом. Снифер может
работать не только в Ethernet, но и IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB,
Token Ring, Frame Relay, FDDI сетях.

Инструмент определенно один из лучших! Даже если у тебя есть дамп другого
снифера, не поленись скормить его Wireshark‘у — никогда не будет лишним
воспользоваться такими умопомрачительными возможностями.

TCPDump

Сайт: www.tcpdump.org
Платформа: *nix, есть порт под Windows

Название этого снифера знакомо каждому. Еще бы: до появления на сцене
Ethereal
‘а (Wireshark) он считался стандартом де-факто, да и теперь
многие по привычке используют его, вполне радуясь жизни. Да, у него нет
классного GUI-интерфейса и возможности автоматически распарсить данные
популярных протоколов, но это, в любом случае, отличное средство, чтобы
отснифать в локалке трафик и получить вожделенный дамп данных. Вообще, более
неприхотливого средства, пожалуй, не найти: и это, отчасти, хорошая сторона
того, что новые возможности в нем практически не появляются. К тому же, в
отличие от того же Wireshark, TCPDump может похвастать куда меньшим
количеством проблем с безопасностью и просто багов. Многие мои знакомые админы
успешно юзают этот снифер для мониторинга активности и решения самых различных
сетевых проблем. Исходные коды TCPDump частично используются библиотеками
Libpcap/WinPcap, предназначенными для перехвата пакетов и используемыми
известным сканером nmap и другими тулзами.

Ettercap

Помнится, когда мы впервые рассказывали об ARP-спуфинге (приеме, позволяющем
снифать трафик в локальных сетях, построенных на считах), то в качестве снифера
применяли именно Ettercap. Сами разработчики продвигают свой продукт как
средство для совершения атак man-in-the-middle. Утилита поддерживает снифинг в
реальном времени, фильтрацию контента «на лету», инжекцию пакетов и многие
другие интересные трики. Учти, что по дефолту программа выполняет множество
лишних действий (например, dns-резолвинг найденных адресов). Кроме того,
активный arpoisoning и некоторые другие действия могут скомпрометировать хакера,
использующего Ettercap. Если точнее, то даже в самой программе встроена
функция обнаружения себе подобных :). В Ettercap предусмотрена возможность
проверки, находишься ли ты в локалке со свитчами или нет (сейчас это уже почти
не актуально), а также встроено средство для fingerprint’а, которое активными и
пассивными методиками может определить разные девайсы, операционки на хостах и
общую схему сети.

0x4553-Intercepter

А вот и отечественная разработка – снифер Intercepter. И по
совместительству – гвоздь программы! Это одна из самых прогрессивных утилит для
перехвата трафика, сообщений и паролей/хешей, доступных в публичном доступе. Что
умеет? В первую очередь, перехватывать пароли и хеши для следующих протоколов:
ICQ, IRC, AIM, FTP, IMAP, POP3, SMTP, LDAP, BNC, SOCKS, HTTP, NNTP, CVS, TELNET,
MRA, DC++, VNC, MYSQL, ORACLE. Другой важный функционал – перехватывает самые
различные сообщения с отображением диалога в реальном времени. На текущий момент
снифером перевариваются следующие протоколы: ICQ, AIM, JABBER, YAHOO, MSN,
GADU-GADU, IRC, MRA. Но этот список не главное, ведь Intercepter – чуть
ли не единственный инструмент, поддерживающий уникод, а потому правильно
отображает кириллицу там, где это необходимо! Да и чего таить, приведенный
список едва ли можно назвать полным, потому как перехватываются еще сообщения
GTalk (протокол построен на Jabber), а также Mail.Агент, что может быть весьма
актуально. В арсенале 0x4553-Intercepter имеется множество убийственных
технологий: чего стоит один только «eXtreme mode». Сниферу достаточно задать
целевой протокол без указания порта — 0x4553-Intercepter будет
просматривать весь трафик и автоматически «вылавливать» пакеты, относящиеся к
данному протоколу (путем анализа их содержимого). Эта фича полезна для выявления
Proxy- и FTP-серверов (остальные сервисы работают с более или менее
предсказуемыми портами). Так или иначе, можно просмотреть весь трафик в чистом (raw)
виде, но и здесь можно облегчить себе жизнь, наложив на отображаемый контент
некоторые правила. Награбленный трафик может быть сохранен в pcap-формате
(стандарт де-факто среди снифферов) и подвергнут дальнейшему анализу, например,
в Wireshark. К тому же, сам снифер имеет все задатки для offline-анализа.
Поддерживается возможность удаленного захвата трафика посредством RPCAP-демона,
обычно устанавливаемого на шлюз локальной сети и грабящего весь трафик на
входе/выводе во «внешний» мир. Поскольку шлюзы нередко вращаются под управлением
Linux’а или xBSD, то RPCAP-демон оказывается весьма полезным подспорьем.

Помимо чисто сниферных функций, 0x4553-Intercepter обладает набором
весьма соблазнительных фич. Начнем с банального обнаружения узлов в сети,
которое осуществляется отнюдь не тупым сканированием IP-адресов. В нужном
диапазоне. 0x4553-Intercepter посылает широковещательный ARP-запрос,
требуя, чтобы все узлы, которые его получили, сообщили свои IP-адреса. Причем,
0x4553-Intercepter способен выявлять другие сниферы. DHCP DISCOVERY
позволяет осуществить поиск DHCP-серверов. Интегрированный перепрограмматор
MAC-адресов позволяет быстро поменять MAC-адрес. Я уже не говорю о модуле ARP
POISON — это само собой разумеющееся.

Подробнее про 0x4553-Intercepter ты можешь прочитать в
статье Криса Касперски.

Netcat

Сайт:
netcat.sourceforge.net
Платформа: *nix, есть порт под Windows

Своеобразный швейцарский нож любого взломщика. Эта чрезвычайно простая
утилита позволяет читать и писать данные в TCP и UDP соединениях. Иными словами,
Netcat позволяет тебе соединиться с чем угодно, да и делать что угодно. В
результате, получаем одну единственную утилиту с 1000 и одним применением. В
самом простом варианте Netcat позволяет создавать TCP и UDP соединения,
умеет «слушать» входящие соединения (можно приказать тулзе ждать соединения
только с указанных тобой адресов и даже портов!), может сканировать порты,
разрешать DNS-запросы, посылать любые команды со стандартного ввода, выполнять
заранее предопределенные действия в ответ на соединение, которое слушает
«котенок» (логотип нетката), делать Hex-дамп отправленных и полученных данных (а
вот и функции снифера) и много-много чего еще.

Вообще, Netcat — это мощнейшее средство для отладки и эксплуатации
различных уязвимостей, поскольку позволяет установить соединение любого типа,
который тебе нужен. Оригинальная версия Netcat была выпущена еще в 1995
году, но, несмотря на бешеную популярность проект, не развивается. Но сама
концепция программы, совмещающая предельную простоту и, в тоже время, огромную
функциональность, привела к появлению других реализаций. Одной из самых
интересных стала Socat, которая дополняет оригинальный Netcat для
поддержки SSL-шифрования, SOCKS прокси и т.д. С не меньшим успехом ее можно
юзать как соксифаер, безопасный туннеллер, снифер и т.д. Помимо этого, есть Ncat,
предоставляющий дополнительные функции, а также ryptcat, Netcat6, PNetcat, SBD и
др.


Cain and Abel

Если ищешь утилиту для восстановления всевозможных паролей, то лучшего
инструмента, пожалуй, не найти. В буквальном смысле «универсальный солдат» готов
на все. Допустим, тебе нужно вспомнить пароль и личные данные, сохраненные в
браузере. Не проблема! Клик по нужной иконке — и они твои! Интересуешься
пассами, которые непрерывно передаются по твоей локалке (и, следовательно, их
хорошо бы шифровать)? Воспользуйся встроенным снифером. Правда, понадобится
драйвер WinPcap, но не беда – в случае необходимости Cain & Abel
заинсталлит его прямо во время установки. А далее – делай, что хочешь. Замечу,
что дело не ограничивается одним перехватом паролей от всевозможных сервисов,
начиная от банальных FTP/POP3 и заканчивая экзотикой, вроде ключей для
Radius-серверов. Реально перехватить идентификационные данные и сами разговоры
клиентов VoIP-телефонии (но только, если используется SIP-протокол) или даже
пакеты с голосовыми данными, из которых несложно извлечь запись разговора с
помощью специальных конвертеров. Чтобы не было проблем со свитчами, прога
отлично владеет приемом ARP-спуфинга. Умелые манипуляции с MAC-адресами и
заголовками пакетов приводят к результатам: снифер работает почти безотказно
(хотя это палится любыми IDS). С помощью 15 встроенных утилит Cain & Abel
может взломать 25 типов хешей, провести исследование беспроводной сети, а также
выполнить еще целый ряд уникальных действий (нацеленных, прежде всего, на подбор
или расшивку паролей).

Ngrep

Сайт:
ngrep.sourceforge.net
Платформа: *nix, есть порт под Windows

Что такое Ngrep? Берем известную никсовую утилиту grep (ту, что
находит на вводе строки, отвечающие заданному регулярному выражению, и выводит
их) и натравливаем ее на сетевой трафик. Точно так же, как вывод на какую-то
команду можно ограничить строками с определенным содержимым, можно фильтровать и
трафик. Ngrep позволяет выделить из перехваченного трафика любые данные,
отвечающие регулярным выражениям. Ngrep понимает IPv4/6, TCP, UDP,
ICMPv4/6, IGM по Ehetrnet’у и другим технологиям (PPP, SLIP, FDDI, Token Ring).
Традиционно ngrep используется для анализа текстовых протоколов, вроде HTTP,
SMTP, FTP и т.д. Использовать ее для выявления аномальной активности в Сети
(вирусы, черви и т.д.) или перехвата данных из авторизаций HTTP, FTP — не важно.

Nemesis

Эта консольная тулза для разборки сетевых пакетов, их модификации и
дальнейшей инжекции в Сеть не раз выручала меня в тестировании IDS, файрволов и
сетевых демонов. Благодаря работе через консоль, Nemesis легко
приспосабливается к любым сторонним скриптам для пен-теста. Оригинальная версия
может распарсить и инжектировать произвольные пакеты ARP, DNS, ETHERNET, ICMP,
IGMP, IP, OSPF, RIP, TCP и UDP.

Hping2

Сайт: www.hping.org
Платформа: *nix, MacOS X, Windows

Вот еще одна миниатюрная утилита, позволяющая отсылать произвольные ICMP, UDP,
TCP и RAW-IP пакеты и отображать ответы на них. Отправить такой пакет не
сложнее, чем пропинговать нужный хост. Интерфейс полностью перенят у любимого
Ping’а – отсюда и название программы. Изначально тулза была разработана в
качестве замены стандартным ping/traceroute, работа которых часто обламывается
из-за файрволов. Поэтому в Hping2 по умолчанию есть продвинутый
traceroute и режим IP-фрагментации. Тулзу часто используют для проверки
настройки файрвола, fingerprint’а и сканирования портов. И, конечно же, просто
для отправки в Сеть нужного пакета.

Network Miner

Добротный снифер для Windows, который всячески пытается выведать как можно
больше инфы о локальной сети. Network Miner предназначен не столько для
перехвата данных (хотя, безусловно, он это умеет) – сколько для анализа
инфраструктуры локалки (операционки на хостах, открытые сессии, hostname’ы,
открытые порты на узлах). В отличие от многих утилит, делает он это
исключительно пассивно, т.е. без генерации трафика, по которому может быть
определен факт сканирования. Для анализа ОС на каждом из узлов используются
проверенные механизмы fingerprint’а, базы утилиты p0f (lcamtuf.coredump.cx/p0f.shtm),
а также метод анализа DHCP-пакетов из тулзы Satori (http://myweb.cableone.net/xnih).

Если говорить о перехвате данных, то Network Miner снимет с «эфира»
(или из заранее подготовленного дампа в PCAP-формате) файлы, сертификаты,
изображения и другие медиа, а также пароли и прочую инфу для авторизации.
Полезная возможность — поиск тех участков данных, что содержат ключевые слова
(например, логин пользователя).

Scapy

Must-have для любого хакера, представляющий собой мощнейшую тулзу для
интерактивной манипуляции пакетами. Принять и декодировать пакеты самых
различных протоколов, ответить на запрос, инжектировать модифицированный и
собственноручно созданный пакет — все легко! С ее помощью можно выполнять целый
ряд классических задач, вроде сканирования, tracorute, атак и определения
инфраструктуры сети. В одном флаконе мы получаем замену таких популярных утилит,
как: hping, nmap, arpspoof, arp-sk, arping, tcpdump, tetheral, p0f и т.д. В то
же самое время Scapy позволяет выполнить любое, даже самое специфическое
задание, которое никогда не сможет сделать уже созданное другим разработчиком
средство. Вместо того чтобы писать целую гору строк на Си, чтобы, например,
сгенерировать неправильный пакет и сделать фаззинг какого-то демона, достаточно
накидать пару строчек кода с использованием Scapy! У программы нет
графического интерфейса, а интерактивность достигается за счет интерпретатора
Python. Чуть освоишься, и тебе уже ничего не будет стоить создать некорректные
пакеты, инжектировать нужные фреймы 802.11, совмещать различные подходы в атаках
(скажем, ARP cache poisoning и VLAN hopping) и т.д. Разработчики сами настаивают
на том, чтобы возможности Scapy использовались в других проектах. Подключив ее
как модуль, легко создать утилиту для различного рода исследования локалки,
поиска уязвимостей, Wi-Fi инжекции, автоматического выполнения специфических
задач и т.д.

packeth

Сайт:
packeth.sourceforge.net
Платформа: *nix, есть порт под Windows

Интересная разработка, позволяющая, с одной стороны, генерировать любой
ethernet пакет, и, с другой, отправлять последовательности пакетов с целью
проверки пропускной способности. В отличие от других подобных тулз, packeth
имеет графический интерфейс, позволяя создавать пакеты в максимально простой
форме. Дальше — больше. Особенно проработано создание и отправка
последовательностей пакетов. Ты можешь устанавливать задержки между отправкой,
слать пакеты с максимальной скоростью, чтобы проверить пропускную способность
участка сети (ага, вот сюда-то и будут ддосить) и, что еще интереснее —
динамически изменять параметры в пакетах (например, IP или MAC-адрес).

Анализаторы сетевых пакетов

Анализаторы сетевых пакетов, или снифферы, первоначально были разработаны как средство решения сетевых проблем. Они умеют перехватывать, интерпретировать и сохранять для последующего анализа пакеты, передаваемые по сети. С одной стороны, это позволяет системным администраторам и инженерам службы технической поддержки наблюдать за тем, как данные передаются по сети, диагностировать и устранять возникающие проблемы. В этом смысле пакетные снифферы представляют собой мощный инструмент диагностики сетевых проблем. С другой стороны, подобно многим другим мощным средствам, изначально предназначавшимся для администрирования, с течением времени снифферы стали применяться абсолютно для других целей. Действительно, сниффер в руках злоумышленника представляет собой довольно опасное средство и может использоваться для завладения паролями и другой конфиденциальной информацией. Однако не стоит думать, что снифферы — это некий магический инструмент, посредством которого любой хакер сможет легко просматривать конфиденциальную информацию, передаваемую по сети. И прежде чем доказать, что опасность, исходящая от снифферов, не столь велика, как нередко преподносят, рассмотрим более детально принципы их функционирования.

Принципы работы пакетных снифферов

дальнейшем в рамках данной статьи мы будем рассматривать только программные снифферы, предназначенные для сетей Ethernet. Сниффер — это программа, которая работает на уровне сетевого адаптера NIC (Network Interface Card) (канальный уровень) и скрытым образом перехватывает весь трафик. Поскольку снифферы работают на канальном уровне модели OSI, они не должны играть по правилам протоколов более высокого уровня. Снифферы обходят механизмы фильтрации (адреса, порты и т.д.), которые драйверы Ethernet и стек TCP/IP используют для интерпретации данных. Пакетные снифферы захватывают из провода все, что по нему приходит. Снифферы могут сохранять кадры в двоичном формате и позже расшифровывать их, чтобы раскрыть информацию более высокого уровня, спрятанную внутри (рис. 1).

Рис. 1. Схема работы сниффера

Для того чтобы сниффер мог перехватывать все пакеты, проходящие через сетевой адаптер, драйвер сетевого адаптера должен поддерживать режим функционирования promiscuous mode (беспорядочный режим). Именно в этом режиме работы сетевого адаптера сниффер способен перехватывать все пакеты. Данный режим работы сетевого адаптера автоматически активизируется при запуске сниффера или устанавливается вручную соответствующими настройками сниффера.

Весь перехваченный трафик передается декодеру пакетов, который идентифицирует и расщепляет пакеты по соответствующим уровням иерархии. В зависимости от возможностей конкретного сниффера представленная информация о пакетах может впоследствии дополнительно анализироваться и отфильтровываться.

Ограничения использования снифферов

аибольшую опасность снифферы представляли в те времена, когда информация передавалась по сети в открытом виде (без шифрования), а локальные сети строились на основе концентраторов (хабов). Однако эти времена безвозвратно ушли, и в настоящее время использование снифферов для получения доступа к конфиденциальной информации — задача отнюдь не из простых.

Дело в том, что при построении локальных сетей на основе концентраторов существует некая общая среда передачи данных (сетевой кабель) и все узлы сети обмениваются пакетами, конкурируя за доступ к этой среде (рис. 2), причем пакет, посылаемый одним узлом сети, передается на все порты концентратора и этот пакет прослушивают все остальные узлы сети, но принимает его только тот узел, которому он адресован. При этом если на одном из узлов сети установлен пакетный сниффер, то он может перехватывать все сетевые пакеты, относящиеся к данному сегменту сети (сети, образованной концентратором).

Рис. 2. При использовании концентраторов сниффер способен перехватывать все пакеты сетевого сегмента

Коммутаторы являются более интеллектуальными устройствами, чем широковещательные концентраторы, и изолируют сетевой трафик. Коммутатор знает адреса устройств, подключенных к каждому порту, и передает пакеты только между нужными портами. Это позволяет разгрузить другие порты, не передавая на них каждый пакет, как это делает концентратор. Таким образом, посланный неким узлом сети пакет передается только на тот порт коммутатора, к которому подключен получатель пакета, а все остальные узлы сети не имеют возможности обнаружить данный пакет (рис. 3).

Рис. 3. При использовании коммутаторов сниффер способен перехватывать только входящие и исходящие пакеты одного узла сети

Поэтому если сеть построена на основе коммутатора, то сниффер, установленный на одном из компьютеров сети, способен перехватывать только те пакеты, которыми обменивается данный компьютер с другими узлами сети. В результате, чтобы иметь возможность перехватывать пакеты, которыми интересующий злоумышленника компьютер или сервер обменивается с остальными узлами сети, необходимо установить сниффер именно на этом компьютере (сервере), что на самом деле не так-то просто. Правда, следует иметь в виду, что некоторые пакетные снифферы запускаются из командной строки и могут не иметь графического интерфейса. Такие снифферы, в принципе, можно устанавливать и запускать удаленно и незаметно для пользователя.

Кроме того, необходимо также иметь в виду, что, хотя коммутаторы изолируют сетевой трафик, все управляемые коммутаторы имеют функцию перенаправления или зеркалирования портов. То есть порт коммутатора можно настроить таким образом, чтобы на него дублировались все пакеты, приходящие на другие порты коммутатора. Если в этом случае к такому порту подключен компьютер с пакетным сниффером, то он может перехватывать все пакеты, которыми обмениваются компьютеры в данном сетевом сегменте. Однако, как правило, возможность конфигурирования коммутатора доступна только сетевому администратору. Это, конечно, не означает, что он не может быть злоумышленником, но у сетевого администратора существует множество других способов контролировать всех пользователей локальной сети, и вряд ли он будет следить за вами столь изощренным способом.

Другая причина, по которой снифферы перестали быть настолько опасными, как раньше, заключается в том, что в настоящее время наиболее важные данные передаются в зашифрованном виде. Открытые, незашифрованные службы быстро исчезают из Интернета. К примеру, при посещении web-сайтов все чаще используется протокол SSL (Secure Sockets Layer); вместо открытого FTP используется SFTP (Secure FTP), а для других служб, которые не применяют шифрование по умолчанию, все чаще используются виртуальные частные сети (VPN).

Итак, те, кто беспокоится о возможности злонамеренного применения пакетных снифферов, должны иметь в виду следующее. Во-первых, чтобы представлять серьезную угрозу для вашей сети, снифферы должны находиться внутри самой сети. Во-вторых, сегодняшние стандарты шифрования чрезвычайно затрудняют процесс перехвата конфиденциальной информации. Поэтому в настоящее время пакетные снифферы постепенно утрачивают свою актуальность в качестве инструментов хакеров, но в то же время остаются действенным и мощным средством для диагностирования сетей. Более того, снифферы могут с успехом использоваться не только для диагностики и локализации сетевых проблем, но и для аудита сетевой безопасности. В частности, применение пакетных анализаторов позволяет обнаружить несанкционированный трафик, обнаружить и идентифицировать несанкционированное программное обеспечение, идентифицировать неиспользуемые протоколы для удаления их из сети, осуществлять генерацию трафика для испытания на вторжение (penetration test) с целью проверки системы защиты, работать с системами обнаружения вторжений (Intrusion Detection System, IDS).

Обзор программных пакетных снифферов

се программные снифферы можно условно разделить на две категории: снифферы, поддерживающие запуск из командной строки, и снифферы, имеющие графический интерфейс. При этом отметим, что существуют снифферы, которые объединяют в себе обе эти возможности. Кроме того, снифферы отличаются друг от друга протоколами, которые они поддерживают, глубиной анализа перехваченных пакетов, возможностями по настройке фильтров, а также возможностью совместимости с другими программами.

Обычно окно любого сниффера с графическим интерфейсом состоит их трех областей. В первой из них отображаются итоговые данные перехваченных пакетов. Обычно в этой области отображается минимум полей, а именно: время перехвата пакета; IP-адреса отправителя и получателя пакета; MAC-адреса отправителя и получателя пакета, исходные и целевые адреса портов; тип протокола (сетевой, транспортный или прикладного уровня); некоторая суммарная информация о перехваченных данных. Во второй области выводится статистическая информация об отдельном выбранном пакете, и, наконец, в третьей области пакет представлен в шестнадцатеричном виде или в символьной форме — ASCII.

Практически все пакетные снифферы позволяют производить анализ декодированных пакетов (именно поэтому пакетные снифферы также называют пакетными анализаторами, или протокольными анализаторами). Сниффер распределяет перехваченные пакеты по уровням и протоколам. Некоторые анализаторы пакетов способны распознавать протокол и отображать перехваченную информацию. Этот тип информации обычно отображается во второй области окна сниффера. К примеру, любой сниффер способен распознавать протокол TCP, а продвинутые снифферы умеют определять, каким приложением порожден данный трафик. Большинство анализаторов протоколов распознают свыше 500 различных протоколов и умеют описывать и декодировать их по именам. Чем больше информации в состоянии декодировать и представить на экране сниффер, тем меньше придется декодировать вручную.

Мастер Йода рекомендует:  Достоинства и недостатки Google Content Experiments

Одна из проблем, с которой могут сталкиваться анализаторы пакетов, — невозможность корректной идентификации протокола, использующего порт, отличный от порта по умолчанию. К примеру, с целью повышения безопасности некоторые известные приложения могут настраиваться на применение портов, отличных от портов по умолчанию. Так, вместо традиционного порта 80, зарезервированного для web-сервера, данный сервер можно принудительно перенастроить на порт 8088 или на любой другой. Некоторые анализаторы пакетов в подобной ситуации не способны корректно определить протокол и отображают лишь информацию о протоколе нижнего уровня (TCP или UDP).

Существуют программные снифферы, к которым в качестве плагинов или встроенных модулей прилагаются программные аналитические модули, позволяющие создавать отчеты с полезной аналитической информацией о перехваченном трафике.

Другая характерная черта большинства программных анализаторов пакетов — возможность настройки фильтров до и после захвата трафика. Фильтры выделяют из общего трафика определенные пакеты по заданному критерию, что позволяет при анализе трафика избавиться от лишней информации.

Далее мы рассмотрим возможности нескольких доступных для скачивания снифферов, которые ориентированы на использование с платформами Windows.

Ethereal 0.10.14

Пакетный сниффер Ethereal 0.10.14 (www.ethereal.com) является, пожалуй, одним из лучших и поистине легендарных некоммерческих (а значит, бесплатных) пакетных анализаторов. Этот сниффер изначально был создан под Linux-платформы и основывался на базе утилиты Libpcap. Впоследствии появилась Windows-версия сниффера Ethereal, которая основывалась на базе утилиты WinPcap (Windows-версия Libpcap).

Утилита WinPcap (www.winpcap.org) представляет собой стандартный инструмент, посредством которого Windows-приложения могут непосредственно получать доступ к сетевому адаптеру (NIC-уровню) и перехватывать сетевые пакеты. Кроме того, драйвер WinPcap имеет дополнительные функциональные возможности, заключающиеся в фильтрации пакетов, сборе сетевой статистики и поддержке возможности удаленного перехвата пакетов.

В состав утилиты WinPcap входит драйвер, обеспечивающий взаимодействие с NIC-уровнем, и библиотека, отвечающая за взаимодействие с интерфейсом API.

Сниффер Ethereal 0.10.14 поставляется в комплекте с утилитой WinPcap 3.1, однако с сайта www.winpcap.org можно скачать версию WinPcap 3.2 alpha 1.


Несмотря на то что графический интерфейс утилиты Ethereal 0.10.14 достаточно понятен, к программе прилагается очень подробный учебник (более 200 страниц).

Ethereal 0.10.14 — один из немногих снифферов, который поддерживает как графический интерфейс, так и запуск из командной строки, что удобно при составлении сценариев или активизации функций перехвата пакетов в случае возникновения в сети определенных событий.

Функциональные возможности пакета Ethereal 0.10.14 очень обширны и выходят далеко за рамки обычных возможностей других пакетных снифферов.

В пакете Ethereal 0.10.14 встречаются практически все функции, которые только могут быть у анализатора пакетов. Программа может декодировать 752 протокола и поддерживает работу в Wi-Fi-сетях.

Графический интерфейс пакета Ethereal 0.10.14 вполне традиционен и содержит три области: отображения перехваченных пакетов, отображения статистической информации о конкретном выбранном пакете, содержимого конкретного пакета (рис. 4).

Рис. 4. Главное окно программы Ethereal 0.10.14

Графический интерфейс программы Ethereal облегчает создание пакетных фильтров как для файлов перехваченных пакетов (фильтры отображения), так и для «живого» перехвата (фильтры перехвата). После изучения синтаксиса фильтров программы Ethereal можно создавать фильтры самостоятельно, присваивать им имена и сохранять их для последующего использования (рис. 5). Программа Ethereal обладает довольно удобным интерфейсом для создания фильтров. Достаточно нажать на кнопку Add Expression, чтобы создать фильтры в диалоговом окне Filter Expression.

Рис. 5. Создание фильтра в программе Ethereal 0.10.14

Стоит отметить, что программа Ethereal обладает очень гибкими возможностями по созданию фильтров. Программа способна осуществлять фильтрацию практически по любой характеристике пакета и по любому значению этой характеристики. Кроме того, фильтры можно комбинировать друг с другом с использованием булевых операторов AND и OR.

Применение фильтров в анализаторе Ethereal позволяет легко выделить из общего потока перехваченной информации именно те или даже тот единственный кадр, который требуется. Рассмотрим, к примеру, как найти при помощи фильтра пакет с паролем при подключении пользователя к Интернету через dial-up-соединение.

Прежде всего запускаем сниффер (это можно сделать и из командной строки, причем удаленно и незаметно для пользователя) и накапливаем информацию до тех пор, пока пользователь не установит соединение с Интернетом.

Далее необходимо настроить фильтр, позволяющий найти нужный пакет. Поскольку процесс аутентификации пользователя проходит по протоколу PPP PAP, необходимо создать фильтр на выделение этого протокола. Для этого в строке выражения достаточно указать «pap» и присвоить имя новому фильтру (например, DialUp_Password) (рис. 6).

Рис. 6. Настройка фильтра для получения пакета с паролем

После применения фильтра из всей совокупности пакетов останутся только два: пакет-запрос на аутентификацию (Authenticate-Request) и пакет подтверждения аутентификации (Authenticate-ACK). Понятно, что пароль (как правило, он передается провайдеру в незашифрованном виде) содержится в первом пакете, в чем несложно убедиться, просмотрев содержимое самого пакета (рис. 7).

Рис. 7. Содержимое пакета

Еще один пример эффективного использования программы Ethereal 0.10.14 в мирных целях — это точная настройка размера TCP-окна. Чтобы оптимальным образом настроить размер TCP-окна, необходимо запустить сниффер в процессе скачивания файла по сети и затем, настроив соответствующим образом фильтр, просмотреть количество запросов на повторную передачу пакетов, количество пакетов-подтверждений и ошибочных пакетов. Манипулируя с размером TCP-окна, можно добиться максимально возможной скорости передачи, снизив количество подтверждений при хорошем качестве связи или уменьшив число запросов на повторную передачу, — при не очень хорошем качестве связи.

Помимо прекрасных возможностей по созданию разного рода фильтров, программа Ethereal позволяет выполнять всесторонний анализ трафика, представляя его в графической форме или в форме статистического отчета. К примеру, можно выполнить анализ TCP-трафика по пропускной способности, по времени передачи туда и обратно и по номерам пакетов. Результаты анализа представляются в виде графиков. Так, анализ, использующий порядковые номера пакетов и время, позволяет получить представление о том, какой объем данных был послан в различные моменты времени, поскольку порядковые номера пакетов увеличиваются на размер пакета данных.

В целом можно сказать, что пакетный анализатор Ethereal 0.10.14 является очень мощным инструментальным средством диагностики сетей. Конечно, для детального освоения пакета потребуется немало времени. Однако если все-таки удастся преодолеть этот барьер и освоить пакет Ethereal, то необходимость освоения других аналогичных продуктов попросту отпадет.

Analyzer v.2.2

Утилита Analyzer v.2.2 компании NetGroup — еще один небольшой по объему пакетный анализатор, распространяемый на бесплатной основе. К достоинствам данной утилиты можно отнести то, что она не требует инсталляции на компьютер. Единственное, что необходимо, — наличие установленной утилиты WinPcap, которая используется сниффером Analyzer v.2.2. Кроме того, пакетный анализатор Analyzer v.2.2. очень прост в обращении и может быть рекомендован для начинающих пользователей. Недостатки этого анализатора вытекают из его достоинств — простота в обращении не позволяет производить глубокий анализ пакетов и создавать фильтры по любой характеристике пакета.

Утилита Analyzer v.2.2 поддерживает выбор интерфейса: сетевой адаптер или аналоговый модем. Работа в беспроводных сетях не предусмотрена.

Графический интерфейс пакетного анализатора Analyzer v.2.2 содержит три традиционных окна (рис. 8). В первом окне отображаются перехваченные пакеты с информацией о времени получения пакета, MAC-адресах отправителя и получателя, IP-адресах отправителя и получателя, протоколе передачи, портах источника и получателя пакетов, размер TCP-окна, номер последовательности пакета и номер подтверждения этого пакета. Во втором окне выводится декодированная информация об отдельных полях пакета, а третье окно отображает содержимое самого пакета.

Рис. 8. Главное окно пакетного анализатора Analyzer v.2.2

Из недостатков данного пакета можно отметить невозможность использования фильтров после сбора информации. Единственное, что можно сделать в данном случае, — это выделить по заданному фильтру пакеты. Сами фильтры, как мы уже отмечали, не предоставляют гибкого механизма (в сравнении с пакетом Ethereal) сбора требуемой информации.

Для сравнения возможностей пакетов Analyzer v.2.2 и Ethereal 0.10.14 мы провели захват одного и того же трафика и проанализировали его сначала с помощью программы Ethereal 0.10.14, а затем — Analyzer v.2.2. Как и ожидалось, информация, выдаваемая об отдельном пакете анализатором Ethereal 0.10.14, более подробная, чем та, что выдает анализатор Analyzer v.2.2.

Поэтому еще раз подчеркнем, что программа Analyzer v.2.2 представляет интерес только для начинающих пользователей и в качестве средства ознакомления с принципами функционирования сетей и структурами пакетов различных протоколов.

CommView 5.0

В отличие от всех рассмотренных выше анализаторов, программа CommView 5.0 (www.tamos.com) распространяется на коммерческой основе и для свободного скачивания доступна лишь ее демонстрационная версия с урезанной функциональностью.

Данный пакетный анализатор предназначен для мониторинга локальной сети и соединения с Интернетом. Он способен захватывать пакеты, проходящие через сетевой адаптер или модем, декодировать их и представлять достаточно подробную информацию в удобном для восприятия виде. В отличие от большинства снифферов, программа CommView 5.0 не требует предварительной установки на ПК WinPcap.

Сниффер CommView 5.0 поддерживает операционные системы Windows 98/Me/NT/2000/XP/2003 и Windows XP 64-bit Edition. Перечень поддерживаемых протоколов довольно обширен, и в этом плане можно рассчитывать на предоставление достаточно подробной информации о перехваченных пакетах.

Пакетный анализатор CommView 5.0 поддерживает возможность создания гибко настраиваемых фильтров (правил), однако недостатком здесь является то, что эти фильтры нельзя применить к уже имеющимся собранным пакетам (создаваемые правила распространяются только на захват пакетов).

Графический интерфейс программы CommView 5.0 традиционен — три окна, в первом из которых отображаются захваченные пакеты, во втором — декодированная информация об отдельном пакете, а в третьем — содержимое самого пакета (рис. 9).

Рис. 9. Главное окно пакетного анализатора CommView 5.0

Информация в окне с захваченными пакетами довольно скудная. Отображаются лишь тип протокола, IP- и MAC-адреса источника и получателя пакета, время и порт назначения и отправления.

Окно с декодированной информацией об отдельном пакете значительно более информативно и по детализации предоставляемой информации не уступает анализатору Ethereal (во всяком случае это касается протокола TCP).

К достоинствам анализатора CommView 5.0 можно отнести возможность просмотра подробной статистической информации о сеансе перехвата, которая представляется в отдельном окне в удобном графическом виде (рис. 10), а также составление отчета в отдельном файле.

Еще одним отличием анализатора CommView 5.0 является возможность настройки сигнала тревоги по предопределенным событиям. В частности, можно задать правила, при выполнении которых будет послано оповещение по электронной почте.

Рис. 10. Статистическая информация о сеансе перехвата в программе CommView 5.0

Кроме того, сниффер CommView 5.0 позволяет заменять IP- и MAC-адреса сетевого адаптера на имена пользователей, что упрощает мониторинг сети. С целью диагностики сети данный сниффер имеет встроенный генератор трафика с возможностью настройки размера передаваемого пакета и скорости генерации пакетов.

И наконец, последняя особенность сниффера CommView 5.0 — возможность создания удаленного агента, что позволяет производить удаленный мониторинг сети. Для реализации данной функции на удаленном ПК необходимо инсталлировать программу Remote Agent, а используя консоль CommView 5.0, можно устанавливать соединение с компьютером, на котором инсталлирована утилита Remote Agent.

Iris Network Traffic Analyzer4.07

Пакетный анализатор Iris 4.07 (www.eeye.com) от компании eEye digital Security представляет собой мощное инструментальное средство для диагностики локальных сетей и каналов связи с Интернетом. Программа Iris 4.07 распространяется на коммерческой основе, однако на сайте производителя доступна ее ознакомительная версия.

Несмотря на заявленную в документации поддержку только операционных систем Windows 95/98/NT/2000, реально этот список можно расширить, и, скорее всего, данная программа способна работать с любой операционной системой семейства Windows.

Графический интерфейс программы (рис. 11) интуитивно понятен, прост и традиционен для пакетных снифферов. Имеется три окна, в первом из которых отображаются перехваченные пакеты с достаточно подробной информацией о каждом пакете, включающей MAC- и IP-адреса источника и отправителя пакетов, тип пакета, протокол, порт отправления и назначения, размер пакета, а также порядковые номера SEQ и ACK. Подробная декодированная информация о каждом отдельном пакете доступна во втором окне, а содержимое каждого пакета — в третьем окне. Нужно отметить, что по степени детализации предоставляемой информации данный пакет не уступает анализатору Ethereal.

Рис. 11. Главное окно пакетного анализатора Iris 4.07

Пожалуй, единственный недостаток данного анализатора заключается в том, что отображаемые в первом окне пакеты не маркируются цветом (как это делается в других анализаторах), что создает определенное неудобство при визуальном восприятии информации.

Пакетный анализатор Iris 4.07 позволяет очень гибко и в то же время просто настраивать фильтры для захвата пакетов. Так, используя диалоговое окно (рис. 12) Edit filter settings, можно создавать фильтры по MAC-адресам источника и получателя, по IP-адресам источника и получателя, по портам, протоколам, а также по вхождению в содержимое пакета определенного слова. Кроме того, можно настраивать фильтры на размер пакета и на фрагмент пакета в HEX-формате.


Рис. 12. Настройка пакетного фильтра в анализаторе Iris 4.07

Отметим, что недостатком программы Iris 4.07 является то, что фильтры можно создавать только для вновь принимаемых пакетов, а реализовать фильтрацию уже перехваченных пакетов не представляется возможным. Вместо этого в программе предусмотрен поиск нужных пакетов по фильтру.

Другим отличием программы Iris 4.07 является возможность отображения в графической форме статистической информации во время запуска режима захвата пакетов. Так, имеется возможность отображать график скорости передачи пакетов (рис. 13), диаграмму распределения размеров пакетов (рис. 14) и многое другое.

Рис. 13. График скорости передачи пакетов
в анализаторе Iris 4.07

Рис. 14. Диаграмма распределения размеров пакетов в анализаторе Iris 4.07

Помимо перечисленных возможностей анализатор пакетов Iris 4.07 позволяет создавать HTML-отчеты о сеансе связи, куда включается наиболее важная информация, в том числе статистика о посещении сайтов, объеме переданного и принятого трафика и многое другое. Также программа Iris 4.07 имеет встроенный генератор трафика, что удобно для диагностики узких мест в сети.

Еще одной особенностью программы Iris 4.07 является наличие встроенного модуля, позволяющего фиксировать все попытки соединения с компьютером, что обеспечивает отслеживание попыток несанкционированного проникновения в сеть.

Топ 10 лучших программ для
мониторинга сети в 2020

Программы для мониторинга сети – это незаменимые помощники каждого системного администратора. Они позволяют оперативно реагировать на аномальную деятельность в пределах локальной сети, быть в курсе всех сетевых процессов и, таким образом, автоматизировать часть рутинной деятельности администратора: прежде всего той, что связана с обеспечением сетевой безопасности. Давайте посмотрим, какие программы для мониторинга локальной сети являются самыми актуальными в 2020 году.

Total Network Monitor 2

Открывает этот топ Total Network Monitor 2 – крайне доступное и действенное программное решение для сетевого мониторинга деятельности серверных машин, которое отображает идеальный баланс между удобством (в большинстве бесплатных решений отсутствует GUI) и обширностью функционала. Одним из основных программируемых компонентов TNM 2 являются мониторы, которые и выполняют проверки с необходимой вам периодичностью. Список доступных проверок впечатляет. Они позволяют отследить практически любой параметр, начиная от доступности серверов в сети и заканчивая проверкой состояния сервисов.

Примечательно, что эти объекты способны самостоятельно устранять первичные последствия неполадок (то есть, происходит все это без непосредственного участия системного администратора) – например, перезагружать отдельные службы или пользовательские устройства, активировать антивирус, дополнять журнал событий новыми записями и т.д. – в общем, все то, что изначально системный администратор выполнял вручную.

Что касается отчетности, то в ней хранится вся информация, связанная с каждой проверкой, которая была проведена выбранным монитором. Стоимость за 1 копию этого приложения составляет всего 5 000 рублей.

Плюсы
Минусы
Низкая цена Нет дашбордов
Легко установить Нет многопоточности
Дружественный интерфейс Не обновляется

Observium

Приложение Observium, работа которого основана на использовании протокола SNMP, позволяет не только исследовать состояние сети любого масштаба в режиме реального времени, но и анализировать уровень ее производительности. Это решение интегрируется с оборудованием от Cisco, Windows, Linux, HP, Juniper, Dell, FreeBSD, Brocade, Netscaler, NetApp и прочих вендоров. Благодаря идеально проработанному графическому интерфейсу, данное ПО предоставляет системным администраторам массу вариантов для настройки – начиная от диапазонов для автообнаружения и заканчивая данными протокола SNMP, необходимыми для сбора информации о сети.

Также они получают доступ к данным о технических характеристиках всего оборудования, которое в текущий момент подключено к сети. Все отчеты, которые формируются посредством анализа журнала событий, Observium может представлять в виде диаграмм и графиков, наглядно демонстрируя «слабые» стороны сети. Вы можете использовать как демо-версию (которая, исходя из нашего опыта, обладает недостаточным набором возможностей), так и платную лицензию, годичная стоимость использования которой составляет 200 фунтов стерлингов.

Плюсы
Минусы
Доступна бесплатная версия Но нет мобильной поддержки
“Пороговые” сигналы Не проста в установке
Функции автоматического обнаружения Не для небольших сетей
Доступна для многих систем Недостатки бесплатной версии

Nagios

Nagios – это продвинутое решение для мониторинга, управление которым основано на веб-интерфейсе. Он отнюдь не прост в освоении, однако, благодаря своему довольно большому интернет-сообществу и хорошо проработанной документации, может быть освоен за несколько недель.

С помощью Nagios системные администраторы получают возможность удаленно регулировать объем нагрузки на пользовательское или вышестоящее в сетевой иерархии оборудование (коммутаторы, маршрутизаторы, серверы), следить за степенью загруженности резервов памяти в базах данных, следить за физическими показателями частей сетевого оборудования (например, температурой материнской платы, сгорание которой является одной из самых частых поломок в данной сфере) и пр.

Что касается обнаружения сетевых аномалий, Nagios автоматически отправляет тревожные уведомления на предустановленный сисадмином адрес – будь то адрес электронной почты или номер телефона мобильного оператора. В течение 60-ти дней вам будет доступна бесплатная демо-версия.

Плюсы
Минусы
Высокая гибкость Трудоемкая настройка
Полезные шаблоны Не для крупных организаций
Интеграция с другими приложениями

PRTG Network Monitor

Программный компонент PRTG, совместимый с устройствами на базе ОС Windows, предназначен для мониторинга сетей. Он не бесплатен (бесплатным является лишь пробный 30-ти дневный период), используется не только для сканирования устройств, которые в данный момент подключены к локальной сети, но также может послужить отличным помощником и в обнаружении сетевых атак.

Среди самых полезных сетевых сервисов PRTG: инспекция пакетов, анализ и сохранение статистических данных в базу, просмотр карты сети в режиме реального времени (также доступна возможность получения исторических сведений о поведении сети), сбор технических параметров об устройствах, подключенных к сети, а также анализ уровня нагрузки на сетевое оборудование. Заметим, что он очень удобен в использовании – прежде всего, благодаря интуитивно понятному графическому интерфейсу, который открывается при помощи любого браузера. В случае необходимости, системный администратор может получить и удаленный доступ к приложению, через веб-сервер.

Плюсы
Минусы
Множество функций Высокая цена
Настраиваемые панели Громоздкий интерфейс
Гибкий мониторинг Нет отдельной базы данных
Карта сети Нет групповых сенсоров

Kismet

Kismet – это полезное open-source приложение для системных администраторов, которое позволяет всесторонне анализировать сетевой трафик, обнаруживать в нем аномалии, предотвращать сбои и может быть использовано с системами на базе *NIX/Windows/Cygwin/macOS. Kismet нередко используется именно для анализа беспроводных локальных сетей на основе стандарта 802.11 b (в том числе, даже сетей со скрытым SSID).

С его помощью вы без труда найдете некорректно сконфигурированные и даже нелегально работающие точки доступа (которые злоумышленники используют для перехвата трафика) и прочие скрытые устройства, которые могут быть потенциально «вредны» для вашей сети. Для этих целей в приложении очень хорошо проработана возможность обнаружения различных типов сетевых атак – как на уровне сети, так и на уровне каналов связи. Как только одна или несколько атак будут обнаружены, системный администратор получит тревожный сигнал и сможет предпринять меры по устранению угрозы.

Плюсы
Минусы
Бесплатна Не проста в использовании
Пакетный сниффер Медленный сканер
Минимальный интерфейс

WireShark

Бесплатный open-source анализатор трафика WireShark предоставляет своим пользователям невероятно продвинутый функционал и по праву признан образцовым решением в области сетевой диагностики. Он идеально интегрируется с системами на базе *NIX/Windows/macOS.

Вместо не слишком хорошо понятных для новичков веб-интерфейсов и CLI, в которых нужно вводить запросы на специальном программном языке, данное решение использует GUI (хотя, если у вас появится необходимость модернизировать набор стандартных возможностей WireShark, вы запросто сможете запрограммировать их на Lua).

Развернув и настроив его единожды на своем сервере, вы получите централизованный элемент для мониторинга за мельчайшими изменениями в работе сети и сетевых протоколах. Таким образом, вы сможете на ранних этапах обнаруживать и идентифицировать проблемы, возникающие в сети.

Плюсы
Минусы
Бесплатна Не интуитивна
Проста в установке Нет мобильной поддержки
Анализатор пакетов Не для крупных компаний
Гибкий интерфейс
Отчеты

NeDi – это полностью бесплатное ПО, которое сканирует сеть по MAC-адресам (также среди допустимых критериев поиска есть IP-адреса и DNS) и составляет из них собственную БД. Для работы этот программный продукт использует веб-интерфейс.

Таким образом, вы можете в режиме онлайн наблюдать за всеми физическими устройствами и их местоположением в рамках вашей локальной сети (фактически, вы обретете возможность извлечения данных о любом сетевом узле – начиная от его прошивки и заканчивая конфигурацией).

Некоторые профессионалы задействуют NeDi для поиска устройств, которые используются нелегально (например, украдены). Для подключения к коммутаторам или маршрутизаторам данное ПО использует протоколы CDP/LLDP. Это очень полезное, хотя и непростое в освоении решение.

Плюсы
Минусы
Бесплатна Только для OS X
Множество возможностей Не легко установить
Отличная карта сети Трудно обучиться

Zabbix

Система мониторинга Zabbix – это универсальное решение для сетевого мониторинга с открытым исходным кодом, которое может быть сконфигурировано под отдельные сетевые модели. В основном, оно предназначено для систем, которые обладают многосерверной архитектурой (в частности, Zabbix интегрируется с серверами Linux/FreeBSD/Windows).

Данное приложение позволяет одновременно управлять сотнями сетевых узлов, что делает его крайне эффективным инструментом в организации работы сисадминов, работающих на крупномасштабных предприятиях. Для развертывания Zabbix в своей локальной сети вам потребуется либо запустить программных агентов (демонов), либо использовать SNMP-протокол (или другой протокол для защищенного удаленного доступа); а для управления придется освоить веб-интерфейс на PHP.

Кроме того, это ПО предоставляет полноценный набор инструментов для отслеживания состояния аппаратной части сети. Отметим, что для того, чтобы в полной мере ощутить все преимущества данного решения, вашему системному администратору придется обладать хотя бы базовыми знаниями языков Perl или Python (или каких-либо других языков, которые можно совместно использовать с Zabbix).

Плюсы
Минусы
Бесплатна Не для Windows
Проста в установке Не очень удобна
Множество плагинов Грузит компьютер
Мощные настройки оповещений Нет дашбордов

10-Страйк: Мониторинг Сети

“Мониторинг сети” – это русскоязычное программное решение на базе веб-интерфейса, которое полностью автоматизирует все аспекты сетевой безопасности. С его помощью системные администраторы могут предотвращать распространение по локальной сети вирусного ПО, а также определять причину возникновения всевозможных технических неисправностей, связанных с разрывом кабелей или выходом из строя отдельных единиц сетевой инфраструктуры.

Кроме того, данное программное обеспечение в режиме онлайн выполняет мониторинг температуры, напряжения, места на дисках и прочих параметров по SNMP и WMI. Среди его недостатков – достаточно сильная нагрузка на ЦП (о чем честно предупреждает сам разработчик) и высокая цена .

Плюсы
Минусы
Удобна Относительно дорогая
Требовательна к системе

Network Olympus

Замыкает список Network Olympus. Программа работает как служба и имеет веб-интерфейс, что дает гораздо большую гибкость и удобство в работе. Главная особенность – конструктор сценариев, позволяющий отойти от выполнения примитивных проверок, которые не позволяют учитывать те или иные обстоятельства работы устройств. С его помощью можно организовывать схемы мониторинга любой сложности, чтобы точно выявлять проблемы и неполадки, а также автоматизировать процесс их устранения.

В основе сценария лежит сенсор, от которого можно выстраивать логические цепочки, которые в зависимости от успешности проверки будут генерировать разные оповещения и действия, направленные на решение ваших задач. Каждый элемент цепочки может быть отредактирован в любое время и сразу применится для всех устройств, за которыми закреплен сценарий. Вся сетевая активность будет отслеживаться при помощи журнала активности и специальных отчетов.

Если у Вас небольшая сеть, то покупать лицензию не понадобится – программа будет работать в бесплатном режиме.

Плюсы
Минусы
Бесплатна до 100 устройств Только веб-интерфейс
Простота настройки Установка только под Windows
Несложно освоить Нет многопользовательского доступа
Конструктор сценариев Довольно молодой продукт
Сенсоры для групп

Как выбрать программу для мониторинга сети: итоги

Однозначно выбрать победителя и назвать лучшую программу мониторинга локальной сети трудно. Но мы придерживаемся мнения, что Network Olympus обладает многими достоинствами и очень низким порогом входа, ведь он не требует специального обучения для того, чтобы начать с ним работать. Кроме того, ему не свойственны недостатки open-source решений, такие как отсутствие обновлений и плохая совместимость (как с ОС, так и с ТХ устройств). Таким образом, благодаря подобному решению вы сможете контролировать все события, происходящие в пределах вашей локальной сети и своевременно на них реагировать.

Добавить комментарий