Netflow analyzer free linux

Best Free Open Source Netflow Analyzers and Collectors for Windows and Linux

Review By James Cox / Last Updated: August 11, 2021

Average User Rating

NetFlow analysis is undeniably powerful when it comes to assessing and analyzing your network, network traffic and bandwidth, devices, or just about anything to do with the data being transmitted over your network.

There are a variety of tools which can assess traffic on a basic level in terms of round-time, packet loss, and other things like that, but NetFlow allows you to discern so much more about each individual packet and, what’s more, levy that knowledge by means of analytic software and data aggregation via charts and graphs to dramatically ease your task at hand.

When it comes to almost any software need these days there tend to be a wide range of options, both paid and free, and the open-source movement remains quite active indeed.

Open-source software tends to have a remarkable flexibility, either via child builds and projects that spawned off the shortcomings of their forefathers, or by means of exceptional modularity and transparency that would be simply unheard of with any kind of proper, paid enterprise level solution.

With that said, however, an open-source project is only as powerful and prodigious as its proponents.

Projects that go untouched or end up more or less “finished” tend to taper off as far as forwards-thinking support and features, and can often fall behind the curve of normalcy if they become too deprecated, often in favor for different open-source options that are newer or built on a more current framework.

Open-source software in the NetFlow realm can be powerful indeed, but you have to be sure the solution you’re looking at fits your networks needs and won’t leave you wanting.

If none of the solutions from below work, consider a commercially available Netflow Collector/Analyzer – some of which are free to use or have extensive Trials.

Here’s the Best Free Open Source Netflow Analyzers & Collectors of 2021:

1. Flowscan

Flowscan is somewhat interesting in that it acts more as a generalized tool for visualizing NetFlow data rather than collecting and aggregating it for later analysis. By its very nature there’s a slight delay, but it does an excellent job gathering up and displaying the NetFlow statistics for you to admire visually almost on the fly!

Most native to the GNU/Linux environment and requires a combo of collector and Perl script for the visual aspects, as well as a database component.

Download link:

2. Cflowd

While Cflowd is no longer under active support and updates, it’s still a pretty reliable offering that does all the basic collection, storage, and analysis of NetFlow data. It’s a fairly barebones piece of software, but it does precisely what it needs to do.

It also has some modularity with a variety of other packages that can be used to modify what it can do and how to display data.

Download link:

3. NTop

Ntop is a solid choice that works well in both UNIX environments as well as Windows. It even includes support for Cisco-specific NetFlow features and sFlow as well!

NTop is a particularly common choice as one of the more well-known open-source offerings for NetFlow collection and analysis.

NTop is somewhat unique in that the interface is purely web based and makes it a lot easier to navigate and manipulate via several client machines and, what’s more, there’s even a github variant for Mac OSX support!

Download link:

4. EHNT

“Extreme Happy NetFlow Tool,” or EHNT, despite its rather quirky name is a simple and solid offering.

It’s just about as barebones as you can get, running with a simple terminal interface that basically just grabs NetFlow data and parses it into the most basic humanly-readable format that it can manage!

Download link:

5. Flow-tools

Flow-tools, often paired with FlowViewer which is pictured above, is another pretty straightforward and simple open-source NetFlow analysis program.

Coupled with FlowViewer, another open-source offering that works specifically with Flow-tools, it becomes another web-interface based option for easy perusal and visualization of NetFlow statistics.

Download link:

6. BPFT

BPFT is more of an add-on than its own standalone offering – it adds onto the libpcap library and uses, as the name implies, the Berkeley Packet Filter, BPF, mechanism for capturing IP traffic to perform NetFlow analysis.

Download link:

7. AnonTool

AnonTool is a curious software which takes NetFlow analysis and management in a slightly different direction, with a focus primarily on anonymization, or deanonymization, of NetFlow traffic and the subsequent analysis of that data thereafter.

Extremely niche but also a curious option for those invested in security and data obfuscation.

Download link:

8. Panoptis

Another open-source project for which development has tapered off but still a useful one for some needs.

This particular program uses NetFlow data and analysis in an attempt to attempt to detect and, more importantly, stop DDoS style attacks on networks.

While work on the project may resume in the future, for now it’s dead in the water, meaning it may or may not have much to offer for you.

Download link:

Conclusion

Many of these tools can more than suffice for many network environments, but there are many cases where they may fall short, too!

Be sure to asses each tool firsthand and consider your network and the importance of each aspect of tracking and analysis – admins who are running non-critical systems or have a smaller environment that isn’t as easily crippled financially by an outage may find little issue here, but those overseeing multiple data-centers, or huge customer-facing servers may hesitate to put their well-being in the hands of the options above.

Individuals dealing with heavier or more strict and rigid environments would be best suited to check out some of the paid options, which tend to offer free trials and demos and can more than be worth their sometimes hefty cost.

James Cox is the Editor at ITT Systems and has a Long History in the IT and Network Engineering Field. He Boasts a long list of Credentials ranging from CompTIA Certifications up to Cisco and VMWare points on his Resume.

Источник

Linux NetFlow

Most people looking for a free Linux NetFlow solution are looking to save some money or they are looking to perform a function that they haven’t been able to accomplish with off the shelf commercial solutions. Here is a list of some of the better Linux NetFlow collectors:

• FlowScan — Developed in Perl, FlowScan binds together:
  • A flow collection engine (a patched version of cflowd).
  • A Round Robin Database — RRD (doesn’t scale well and slow).
  • A visualization tool (RRDtool).
• It produces graph images that provide a continuous, near real-time view of the network border traffic.
• Flow-tools — old and not well maintained.
• Nfdump — provides the backend for nfsen. Fairly well maintained but, a bit cumbersome to get configured. Doesn’t scale well but, has some threat detection capabilities.
• Ntop — displays network usage similar to what the popular top Unix command. It is based on libpcap and it has been written in a portable way in order to virtually run on every Unix platform and on Win32 as well. Limited support for the latest exports from Cisco. Fairly well maintained.
• Scrutinizer — very powerful and scalable with extensive archiving and filtering capabilities. The free NetFlow version is limited to 5 devices.
• SiLK — a collection of traffic analysis tools developed by the CERTNetwork Situational Awareness Team (CERT NetSA) to facilitate security analysis of large networks. The SiLK tool suite supports the efficient collection, storage, and analysis of network flow data. Fairly well maintained. Requires knowledge of scripting languages.
• Softflowd — semi-statefully tracks traffic flows recorded by listening on a network interface or by reading a packet capture file. These flows may be reported via NetFlow to a collecting host or summarized within softflowd itself. Well maintained, but limited in its ability to scale to large infrastructures.

When looking at Linux NetFlow solutions, here are a few things to keep in mind:

Flexible NetFlow

Does the Linux NetFlow collector support Flexible NetFlow exports like those coming from Cisco ASA, SonicWALL, PaloAlto, etc. NetFlow v9 and IPFIX can be used to send option templates which are absolutely necessary for proper support of DPI technologies such as NBAR and Cisco Application Visibility and Control.

Can the solution report on new elements without scripting or diving deep into the source code? What kind of support can you get on the solution? This is where most commercial NetFlow solutions exceed free NetFlow solutions.

Scalable NetFlow solutions

Most scalable NetFlow or high volume NetFlow solutions are measured by how many flows per second they can handle within a single appliance. Since flow exports such as Cisco Application Visibility and Control are resulting in higher flow volumes with richer contextual details such as round trip time, packet loss, retransmit counts, URLs, etc., a solution that can handle over 100K flows per second is becoming more of a requirement.

If collection must be done in greater than one location, a distributed NetFlow collection solution should also be considered. Does the solution allow reporting across multiple collectors with one interface?

NetFlow support

The concern with free netflow is often the support available. If a completely free and open source Linux NetFlow solution is the preference, the NetFlow Knights regularly post blogs on NetFlow, sFlow and IPFIX. If you try their commercial Linux NetFlow reporting solution they will give you free support during the evaluation process.

NetFlow Training

Regardless of the linux NetFlow solution you decide to implement, make sure you sign up for one of the NetFlow training classes being offered in most major cities. This is one of the best opportunities to learn from the experts.

If you have further questions, reach out to the leader in NetFlow reporting.

Источник

5 лучших анализаторов и коллекторов Netflow

Системным инженерам и администраторам сетей, постоянно приходится сталкиваться с проблемами, причины которых не всегда очевидны. В этих случаях очень полезным будет провести беглый анализ сетевого трафика. Представляем вашему вниманию обзор лучших анализаторов и коллекторов Netflow, которые помогут значительно упростить вам жизнь.

Анализаторы и коллекторы NetFlow — это очень полезный инструментарий для мониторинга и анализа данных сетевого трафика, который поможет вам обнаружить возможные проблемы еще до того, как они станут реальной угрозой. Анализаторы NetFlow позволят вам определить те машины и устройства, которые негативно влияют на пропускную способность вашей сети, найти узкие места в вашей системе, а также, в конечном счете, повысить общую эффективность функционирования вашей сети.

Само понятие «NetFlow» относится к сетевому протоколу, разработанному компанией Cisco для сбора информации о трафике, проходящем через различные устройства в сети. Существует несколько версий протокола NetFlow (от 1 до 9), часть из которых уже устарели. На данный момент наиболее распространенными являются NetFlow версии 5, 7 и 9. Сейчас NetFlow представляет собой, фактически, промышленный стандарт и поддерживается не только оборудованием Cisco, но и многими другими устройствами от других производителей.

В то же время часть вендоров используют собственные версии NetFlow: к примеру, компания Juniper Networks называет свой протокол J-Flow, у компании Huawei — это NetStream. Несмотря на то, что эти «Flow» имеют разные имена, все они работают аналогичным NetFlow образом, предоставляя, в основном, одну и ту же информацию. Кроме того, на основе NetFlow версии 9 также был разработан открытый универсальный стандарт IPFIX (Internet Protocol Flow Information eXport) для передачи информации об IP-потоках.

Информация, которую собирает из IP-трафика NetFlow, включает в себя:

• IP-адрес источника;
• IP-адрес назначения;
• порт источника для UDP и TCP;
• порт назначения для UDP и TCP;
• тип и код сообщения для ICMP;
• номер интернет-протокола транспортного уровня, инкапсулированного в протокол IP;
• тип обслуживания (Type of Service, ToS);
• сетевой интерфейс.

Собирая и анализируя эту информацию, вы можете много узнать о функционировании вашей сети, а также использовать ее для разных целей, включая мониторинг пропускной способности, устранение неполадок в работе сети и обнаружение аномалий.

Когда в сети реализована поддержка протокола NetFlow, активируется работа двух основных компонентов: Flow Exporter и Flow Collector. Flow Exporter захватывает статистическую информацию о потоке и отправляет ее в коллектор. Он обычно настраивается на устройстве, таком, как маршрутизатор или коммутатор, а в некоторых случаях на одном устройстве используется несколько Flow Exporter для мониторинга разных потоков. Flow Collector получает данные о потоках и сохраняет их. Во многих современных решениях для анализа сетевого трафика функциональность коллектора и анализатора совмещена в одном решении — статистическая информация о потоках не только собирается и сохраняется, но также обрабатывается и анализируется, чтобы представить ее пользователям в удобном для понимания виде. В ряде случае Flow Collector может использоваться просто для получения данных, при этом их анализ осуществляется другим приложением с функциональностью анализатора.

Существует множество программных решений на основе протокола NetFlow, и в рамках этой статьи мы представим вам 5 лучших коммерческих и бесплатных анализаторов и коллекторов NetFlow. Большинство поставщиков программного обеспечения NetFlow, перечисленных ниже, имеют инструкции по включению NetFlow на устройства различных производителей. Кроме того, эта информация также должна содержаться в документации производителя вашего устройства.

Solarwinds NetFlow Traffic Analyzer

NetFlow Traffic Analyzer (NTA) производства компании Solarwinds — это программный инструмент для анализа сетевого трафика и мониторинга пропускной способности, который поддерживает работу с различными протоколами, включая: NetFlow, J-Flow, sFlow, IPFIX и NetStream.

Решение Solarwinds NTA позволит понять, как используется пропускная способность сети. К примеру, вы можете узнать, какой IP-адрес или приложение имеет максимальные объемы потребления ресурсов пропускной способности в определенный момент времени. Также вы сможете использовать шаблоны для анализа трафика, тем самым значительно расширив свои возможности для проведения детализированного сетевого анализа.

NetFlow Traffic Analyzer собирает данные трафика, согласовывает их с используемым форматам и демонстрирует полученную информацию пользователю через веб-интерфейс для мониторинга сетевого трафика. Вы можете анализировать сетевой трафик за конкретный период: за минуту, час, день или месяц.

Solarwinds NTA позволит понять, работают ли политики QoS так, как это было запланировано. Т.е., если ваш бизнес зависит от VoIP, электронной коммерции или других облачных приложений, мониторинг NetFlow поможет подтвердить, что приоритетный трафик проходит беспрепятственно через вашу сеть.

Вы можете планировать и проводить подробный анализ сетевого трафика, а также получать различные временные отчеты об использовании ресурсов пропускной способности, с помощью всего нескольких кликов мышки. Накопление данных позволит определять пиковые периоды пропускной способности и корректировать политики для большей управляемости процессов в вашей сети. В ряде случаев это позволит сэкономить на неоправданном повышении пропускной способности.

Solarwinds NTA — это коммерческий продукт, цена которого зависит от количества элементов для мониторинга, однако, для ознакомления вам доступна 30-дневная бесплатная пробная версия. Также не маловажно то, что Solarwinds NTA полностью интегрируется с Solarwinds Network Performance Monitor (NPM) — решением для сокращения сбоев в работе сети и повышения производительности.

Существует также сильно упрощенная бесплатная версия NetFlow Traffic Analyzer от компании SolarWinds — Real-Time NetFlow Analyzer. Этот инструмент позволит вам сортировать данные, представлять их в виде графиков, а также отображать информацию другими различными способами, которые позволяют визуализировать и анализировать сетевой трафик. Продукт отлично подойдет для таких задач, как просмотр сетевого трафика в зависимости от типа или конкретного времени, а также запуска различных тестов для проверки того, сколько ресурсов сети используется различными приложениями. Таким образом, с помощью бесплатного решения Real-Time NetFlow Analyzer вы можете упростить поиск устройств ограничивающих пропускную способностью (в ом числе оконечных точек), изучать и устранять неполадки и спады в функционировании сети, а также определять пользователей, приложения и устройства, которые используют больше всего ресурсов сети. Ограничением бесплатной версии программы является доступность только одного интерфейса NetFlow для мониторинга и хранение только 60 минут данных.

Коммерческое решение, с возможностью загрузки 30-дневной бесплатной пробной версии: https://www.solarwinds.com/netflow-traffic-analyzer

PRTG Network Monitor

PRTG Network Monitor — это универсальное программное решение для мониторинга сети, которое включает в себя мониторинг производительности, отслеживание ограничений пропускной способности, наблюдение за работой серверов, центральных процессоров, приложений, веб-сайтов, облачных служб и многого другого. Стандартная установка изначально предоставляет вам все необходимые инструменты для мониторинга всего трафика в вашей сети. PRTG Network Monitor может использовать для анализа различные версии стандарта NetFlow (v5 и v9), открытый универсальный стандарт IPFIX, а также другие технологии для учета сетевого трафика, такие как sFlow и J-Flow.

Одной из возможностей применения мониторинга NetFlow, доступной в PRTG Network Monitor, является продвинутый анализ пропускной способности. Отчеты визуализируются в виде рейтинговых списков, позволяющих отслеживать данные по разным настраиваемым категориям, что значительно упростит вам задачу. К примеру, вы можете отслеживать и тут же сравнивать полученные результаты отдельно для различных IP-адресов, для подключений, для протоколов, для приложений и т. д. Это очень полезно при устранении неполадок в работе сети.

Существует также небольшая бесплатная программа Paessler NetFlow Testers, которая просто собирает все пакеты (поддерживаются версии 5, 9, а также IPFIX от привязанных к NetFlow маршрутизаторов. Для этого сначала протокол NetFlow необходимо включить и настроить на каждом маршрутизаторе, с которого вы хотите получать статистику, а также ему необходимо задать IP-адрес компьютера, на котором запущен NetFlow Testers, чтобы сюда отправлялись UDP-пакеты с данными NetFlow. Это типичный Flow Collector в классическом понимании, который не имеет ничего общего с программным обеспечением для анализа.

Как мы уже отмечали выше, программное обеспечение PRTG Network Monitor, включает в состав NetFlow Collector, который работает автоматически на любом локальном или удаленном компьютере с установленным PRTG зондом. PRTG Network Monitor использует зонды как платформу для осуществления мониторинга всей вашей сетевой инфраструктуры. Все объекты, сконфигурированные под конкретным зондом, будут контролироваться через этот зонд.

Обратите внимание на то, что для ценовой политики компании Paessler важное значение в иерархии объектов программного обеспечения PRTG имеет понятие сенсора. На каждом устройстве (практически любом физическом или виртуальном устройстве в вашей сети, у которого есть собственный IP-адрес) можно создать несколько сенсоров. Каждый сенсор контролирует один аспект работы устройства. Например, это может быть:

• одно устройство NetFlow;
• один сетевой сервис, такой как SMTP, FTP, HTTP и т. д.;
• трафик одного порта сетевого коммутатора;
• загрузка центрального процессора устройства;
• загрузка памяти устройства;
• трафик на одной сетевой карте;
• общее состояние системы на устройстве;
• различный контент (например, использование базы данных, электронной почты, HTTP, XML, файлов и т. д.).

Программное обеспечение PRTG Network Monitor доступно в двух версиях: коммерческой и бесплатной. Бесплатная редакция — это полностью функциональное решение PRTG Network Monitor, которое позволяет контролировать до 100 сенсоров. Если вам необходимо осуществлять мониторинг более 100 сенсоров, вам понадобиться уже коммерческая лицензия. Кроме того, изначально вам доступна бесплатная пробная версия, которая в первые 30 дней не имеет никаких ограничений.

Скачать бесплатную и коммерческую версию PRTG Network Monitor (30-дней Trial): https://www.paessler.com/prtg

Scrutinizer

Программное решение Scrutinizer — это намного больше, чем просто анализатор NetFlow. Программа представляет собой полноценную систему реагирования на инциденты, которая может использоваться как для анализа сетевого трафика, так и получения отчетов об инцидентах безопасности. Scrutinizer может собирать и анализировать данные из различных типов потоков, используя NetFlow, J-Flow, NetStream и IPFIX. Другими словами, данное решение будет полноценно работать с различными устройствами от различных поставщиков.

Scrutinizer обеспечивает видимость как в физической среде, так и виртуальной. Он также имеет быструю и продвинутую функциональность по формированию отчетности, поддерживает возможности коллективной работы и чрезвычайно масштабируем, так как построен на принципах распределенной архитектуры.

Для Scrutinizer существует три варианта развертывания: на базе аппаратного обеспечения, как виртуальная машина, а также как SaaS (Software as a Service, программное обеспечение как услуга). Вы можете попробовать Scrutinizer бесплатно в течение 30 дней, после чего функциональность продукта будет понижена до бесплатной версии, которая имеет ряд ограничений. В частности, ограничен коллективный доступ, а также отсутствует возможность как-либо сохранять или экспортировать данные. Кроме того, вы можете собирать данные с любого количества потоков, но эта информация будет доступна только в течение пяти часов. Другими словами, у вас не будет доступа к ранее собранным данным и каждый раз вам придется начинать заново.

ManageEngine NetFlow Analyzer

Сервис ManageEngine предлагает коллектор и анализатор NetFlow, который по своей функциональности очень схож с решениями, которые мы описали выше. Это мощный программный продукт с полным спектром возможностей для сбора данных о потоках в вашей сети и анализа этой информации. ManageEngine NetFlow Analyzer поддерживает различные технологии для сбора информации о потоках, такие как NetFlow, J-Flow и NetStream, и предназначен для анализа сетевого трафика, а также мониторинга пропускной способности в реальном времени.

Кроме этого, ManageEngine NetFlow Analyzer имеет несколько интересных возможностей, таких как:

• настраиваемая панель мониторинга для вывода сводных данных по приложениям, протоколам и используемым ресурсам;
• встроенная система оповещений при достижении пороговых значений;
• приложение для iPhone, позволяющее вам проводить мониторинг в любое время и из любого места;
• поддержка отчетов Cisco Medianet и Cisco WAAS.

ManageEngine предлагает онлайн-демонстрацию своего анализатора NetFlow, что позволит вам оценить его возможности, прежде чем принять решение о полнофункциональном использовании. ManageEngine NetFlow Analyzer доступен в двух версиях: Essential (для малых, средних и больших компаний) и Distributed (для корпораций). Обе версии могут быть опробованы бесплатно в течение 30 дней. Цена версии Essential зависит от выбранной функциональности и количества интерфейсов, для которых проводится мониторинг. Существует также возможность использовать бесплатную версию решения без необходимости в какой-либо лицензии, которая может быть применена для мониторинга не более двух интерфейсов.

nProbe and ntopng

Решение ntopng — это веб-инструмент с открытым исходным кодом для мониторинга и анализа сетевого трафика. Программа была написана для использования на мобильных устройствах под управлением любой из популярных платформ: Unix, MacOS и Windows. Через зашифрованный интерфейс поступают данные о переданных пакетах. Программа анализирует их и предоставляет различную полезную информацию о функционировании вашей сети. К примеру, с помощью ПО ntopng вы можете:

• сортировать информацию о сетевом трафике по многим параметрам, включая IP-адреса, порты, протоколы, пропускная способность и т. д.;
• в режиме реального времени отслеживать наиболее активные хосты и приложения, требующие больше всего пропускной способности;
• отслеживать информацию о переданных байтах, а также количество отправленных, полученных и потерянных пакетов;
• сохранять на диск историю сетевого трафика для последующего анализа;
• определять географическое местоположение и строить схемы соединения хостов на карте местности,

а также многое другое.

Программа ntopng может подключаться к nProbe, который является коллектором NetFlow / IPFIX. В этом тандеме роли распределены следующим образом: nProbe собирает данные о потоках и отправляет эту информацию в ntopng, который, в свою очередь, анализирует ее и представляет в удобном для восприятия виде.

Хотя ntopng и доступен в бесплатной версии (существуют также более расширенные платные версии продукта), вам понадобится лицензия для использования nProbe (за исключением некоммерческих организаций или учебных заведений). ПО nProbe поставляется в двух версиях: Standard и Pro с плагинами.

Заключение

Мы обсудили использование протокола NetFlow и других схожих по своей функциональности технологий для получения статистической информации о работе сети. Эти данные могут оказаться очень полезны вам в ряде случаев, включая задачи анализа сетевого трафика, устранения проблем с производительностью и мониторинга пропускной способности.

Также мы представили список лучших на наш взгляд инструментов, которые могут быть использованы для сбора и анализа данных NetFlow — это Solarwinds NetFlow Traffic Analyzer, PRTG Network Monitor, Scrutinizer, ManageEngine NetFlow Analyzer и ntopng / nProbe. Существуют и другие программные решение, которые мы не упомянули, такие как, к примеру, NFDUMP и EHNT, являющиеся бесплатными и с открытым исходным кодом. Основная причина, по которой мы не обсуждали эти и другие подобные решения состоит в том, что они ограничены только одной или несколькими версиями NetFlow, в отличие от рассмотренных в данной статье инструментов, которые поддерживают как NetFlow и IPFIX, так и J-Flow, NetStream и т. д. Кроме того, у бесплатных решений практически отсутствует какой-либо аналитический функционал.

Если вы ищете решение, которое не только собирает, но и анализирует NetFlow, а также предлагает расширенные возможности масштабирования для различных платформ и протоколов, мы рекомендуем обратить внимание на Solarwinds NetFlow Traffic Analyzer (возможно, с Network Performance Monitor).

Если вас больше интересует анализ NetFlow в качестве дополнения к решению сетевого мониторинга, тогда присмотритесь к PRTG Network Monitor или ManageEngine NetFlow Analyzer, если нужна безопасность — Scrutinizer может стать для вас еще одним вариантом. И, наконец, если вам нужно недорогое решение с открытым исходным кодом, взгляните на пару ntopng / nProbe.

Источник