Публикации
Тестирование свободных решений по работе с NetFlow.
Всероссийский сборник статей и публикаций института развития образования, повышения квалификации и переподготовки.
Скачать публикацию
Язык издания: русский
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Тестирование свободных решений по работе с NetFlow.
Автор: Михеев Дмитрий Юрьевич
Периодичность: ежедневно
Вид издания: сборник
Версия издания: электронное сетевое
Публикация: Тестирование свободных решений по работе с NetFlow.
Автор: Михеев Дмитрий Юрьевич
ТЕСТИРОВАНИЕ СВОБОДНЫХ РЕШЕНИЙ по работе с NETFLOWМихеев Дмитрий Юрьевич СтудентРГУ нефти и газа (НИУ) имени И.М. Губкина, Москва, РоссияАннотация. В статье тестируются свободные решения по работе с NetFlow. Проведен практический эксперимент с использованием инструментов Docker и NetFlow, демонстрирующий успешность запуска трафика и его анализ с помощью анализаторов. Рассмотрены ключевые механизмы запуска и анализа трафика, а также сравнение функционала трёх разных анализаторов. Ключевые слова: NetFlow, Docker, анализатор, тестирование, мониторинг.Для цитирования: Михеев Д. Ю. (2025). Тестирование свободных решений по работе с NetFlow.Testing free solutions for working with NetFlowMikheev Dmitriy Yurievich Annotation. The article tests free solutions for working with NetFlow. A practical experiment was conducted using Docker and NetFlow tools, demonstrating the success of launching traffic and analyzing it using analyzers. The key mechanisms for launching and analyzing traffic are considered, as well as a comparison of the functionality of three different analyzers.passwords, IP-based access restrictions, and modern encryption algorithms.Keywords: NetFlow, Docker, analyzer, testing, configuration, monitoring.For citation: Mikheev D. Y. (2025). Testing free solutions for working with NetFlow.ВведениеNetFlow – это технология, разработанная Cisco. Она позволяет собирать и анализировать информацию о сетевом трафике. NetFlow не анализирует каждый пакет данных, он собирает метаданные, то есть кто с кем общается, какое количество данных передаётся и смотрит, какие протоколы и порты используются. Данная важная особенность позволяет админам видеть всё происходящее в сети, а также выявлять проблемы производительности, обеспечивать оптимизацию ресурсов и ловко обнаруживает подозрительную активность. Его также удобно применять в различных корпоративных сетях, а также в центрах обработки для достойного мониторинга.Docker – это платформа для контейнеризации приложений. Её важная особенность, что она позволяет упаковывать приложения вместе с зависимостями, в отдельный, изолированный контейнер. Этот контейнер работает независимо от системы и использует ядро ОС. В связи с этим, контейнеры получаются более легче и эффективнее, чем виртуальные машины. По итогу, мы имеем упрощение развертывания инструментов, которые анализируют NetFlow, при этом имея масштабируемость и простоту управления. Анализаторы NetFlow – это специализированные программы, которые собирают, обрабатывают и визуализируют данные, полученные от NetFlow. Информацияв них изображается в виде графиков, таблиц, отчетов и различных оповещений. Мы рассматриваем три следующих инструмента:ntopng (версия 6.4): Open-source решение, которое имеет удобный веб-интерфейс и предназначен для анализа трафика в реальном времени. Поддерживает NetFlow v5/v9 и IPFIX.Trisul Network Analytics (версия 6.0): Анализатор, имеющий множество аналитических возможностей и интеграцию с облачными платформами. Способен обрабатывать до 10 миллионов потоков в минуту.nfsen (версия 1.6.11): Open-source инструмент, который имеет веб-интерфейс, основанный на nfdump. Идеально подходит для долгосрочного хранения и анализа данных NetFlow.Сочетание NetFlow и приведенных анализаторов обеспечивает прозрачность работы сети, помогает предотвратить сбои и повышает уровень безопасности, особенно в условиях растущих объемов данных и усложняющейся инфраструктуры. Использование Docker для развертывания этих инструментов значительно упрощает настройку и делает процесс более доступным и эффективным.Технические деталиNetFlow: Поддерживает различные версии протокола (v5, v9 и IPFIX), а также IPv6, MPLS и настраиваемые шаблоны. Данные передаются на коллектор по протоколам UDP или SCTP для дальнейшей обработки.Docker: Готовые образы анализаторов ntopng, Trisul и nfsen, доступны в Docker Hub. Как пример, Команда docker run -p 2055:2055 ntop/ntopng позволяет быстро запустить ntopng для приема данных NetFlow, не имея при этом проблем с зависимостями.Анализаторы:ntopng (6.4): Open-source, требует libpcap и libgeoip. Работает на Linux (также, Alt Linux), поддерживает NetFlow v5/v9, IPFIX, обрабатывает до 100 000 потоков в минуту на сервере с 4 ГБ ОЗУ. Веб-интерфейс на основе Lua, экспорт в CSV.Trisul Network Analytics (6.0): Коммерческий продукт, доступен как виртуальный образ (VMware, Hyper-V). Поддерживает NetFlow v5/v9, IPFIX, sFlow, пропускная способность до 10 млн потоков в минуту на мощных серверах. Интеграция с Elasticsearch и облачными сервисами.nfsen (1.6.11): Open-source, зависит от apache2, php, nfdump. Работает на Linux, поддерживает NetFlow v5/v9, обрабатывает до 500 000 потоков в минуту на сервере с 4 ГБ ОЗУ. Веб-интерфейс на PHP, интеграция с RRDTool для графиков.Настройка коммутатора MikrotikТаблица 1. Настройка коммутатора Mikrotik.Настройка коммутатора EltexТаблица 2. Настройка коммутатора Eltex.Проведение анализа трафика NetFlow.После настройки коммутатора mikrotik для экспорта NetFlow-данных (с IP коллектора 10.19.103.33 и портом 9555, версией 9), мы переходим к работе с Docker и анализаторам ntopng.1. Установка и настройка Docker на BaseAlt.Обновляем систему: apt-get update y для синхронизации репозиториев и установки обновлений.Устанавливаем Docker: apt-get install docker-engine, затем запускаем и активируем: systemctl start docker и systemctl enable docker.Проверяем версию: docker --version, это подтверждает готовность к работе с контейнерами.Docker обеспечивает изолированное развертывание анализаторов.2. В формате Таблицы опишем установку анализатора Ntopng v.6.4.Таблица 3. Установка анализатора Ntopng.3. В формате Таблицы опишем установку двух анализаторов: Trisual Network Analytics v.6.0 и nfsen v.1.6.11.Таблица 4. Установка анализаторов Trisual Network Analytics и nfsen.Таблица 5. Сравнение функционала анализаторов.Рисунок 1. Пример интерфейса и функционала анализатора ntopng.Рисунок 2. Пример подробного интерфейса и функционала анализатора ntopng.Рисунок 3. Пример интерфейса и функционала анализатора trisual network analytics.Рисунок 4. Пример подробного интерфейса и функционала анализатора trisual network analytics.Рисунок 5. Пример графического интерфейса анализатора nfsen.Рисунок 6. Пример табличного интерфейса анализатора nfsen.ЗаключениеДанная работа представляет собой исследование и реализацию анализаторов трафика. После выполнения данной работы мы можем сделать следующие выводы: Установка. ntopng имеет готовый образ в docker, требует указание порта и ip коллектора для netflow. По времени его установка заняла 15 минут. Имеет документацию по установке. Trisual также имеет готовый образ в docker, также требует указания ip коллектора и портов, но сам процесс установки был дольше всех, так как он имеет тяжелый веб-интерейс. Установка заняла более 20 минут. nfsen – имеет самую быструю установку. Также имеет готовый образ в docker, также требует настройку ip коллектора и порта. Требуется минимальная конфигурация из всех трех. По времени на его установку ушло не более 10 минут. Имеет минимальные требования и является самым легким в развертывании.Функционал. У ntopng идет мониторинг графика в реальном времени, есть анализ по ip, портам и пропускной способности. Имеет интерфейс с графиками и таблицами. Также поддерживает экспорт данных. Trisual Network analytics имеет глубокий анализ пакетов и потоков. В основном его использование предназначено для безопасности. Также поддерживает NetFlow и sFlow, имея визуализацию. Nfsen имеет самый обычный интерфейс – графики и таблицы, а также их визуализацию. Имеет легковесный веб-интерфейс и подходит для самого базового мониторинга трафика. Не имеет больших ресурсов, но, к сожалению, графики менее информативны, чем у двух других. Рекомендации для нашей сети. В основном наша сеть имеет умеренную нагрузку. Nfsen – быстрая установка и базовый мониторинг. Подходит для небольших сетей. Но имеет минус – ограниченный функционал, что может повлиять на его актуальность использования. Ntopng – является оптимальным выбором для нашей сети. Имеет простейшую установку и неслабый функционал, также поддерживает множество протоколов. Он полностью покрывает все потребности нашей сети, имея мониторинг в реальном времени и оповещение об аномалиях. Trisual самый сильный анализатор. Подходит для безопасности и глубокой аналитики. Но имеет самую сложную установку из всех трех и высокие требования к ресурсам, поэтому он становится менее практичным для нашей сети. Моя рекомендация: ntopng. Простая и быстрая установка, достаточный функционал и поддержка множества протоколов.Список литературыУймин, А. Г. Сетевое и системное администрирование. Демонстрационный экзамен КОД 1.1 : учебно-методическое пособие для СПО / А. Г. Уймин. – 3-е издание, стереотипное. – Санкт-Петербург : Издательство "Лань", 2022. – 480 с. – ISBN 978-5-8114-9255-8. (дата обращения 05.07.2025). Docker. [Электронный ресурс] URL: (дата обращения 05.07.2025). Netflow-искания. Часть 2. Анализаторы. [Электронный ресурс] URL: (дата обращения 05.07.2025). Trisul Adminstrator Guide. [Электронный ресурс] URL: (дата обращения 05.07.2025). Docker-NetFlow. [Электронный ресурс] URL: (дата обращения 05.07.2025). DockerHub ntop/ntopng [Электронный ресурс] URL: (дата обращения 05.07.2025).
