大多数人使用nProbe只是作为一个基本的NetFlow / IPFIX探针,流量监控仅限于数据包报头分析,而不进一步剖析协议。这种做法在NetFlow社区内部非常普遍,这也是为什么基于Flow的分析出现以来就没有太大变化的原因之一。幸运的是,nProbe可以做的还不止这些(例如,它可以检查隧道上的流量或地理定位流对等体),以下是一些用例:
- 浏览Internet的速度很慢,有些URL无法访问
很有可能DNS无法正常工作,要么是无响应,要么是很慢。使用nProbe,您可以启用DNS插件,这样就可以监控DNS查询/响应以及响应时间。 - 监控HTTP延迟
HTTP是一种普遍使用的协议,也被非Web应用程序使用。当选定的URL的延迟增加时,依赖于它的服务也会受到影响,用户体验也会收到影响。nProbe允许通过分析服务时间以及计算网络延迟来监控HTTP URL ,以便网络管理员可以确定问题是出在Web服务器上还是在网络上。此外,对于高级HTTP分析或重建HTTP流量通信,nProbe可以生成文本格式的全面的流量轨迹,用于精确定位问题。 - SSL / HTTPS监控
除了HTTP,nProbe还可以分析HTTPS流量。SSL证书会被解码,因此可以弄清楚某个HTTPS连接是用于家庭银行业务还是用于访问Web邮件。能够识别出我们所连接的网站,这对于检测SSL连接是否用于隧道出流量,从而违反网络策略是很有用的。如果用户可以提供私有SSL密钥(例如,我们决定监控我们的网站),则nProbe可以完全解码HTTPS流量,从而生成与HTTP相同的统计信息。 - 应用程序检测
自去年年底以来,nProbe通过我们正在开发的开源DPI库来支持应用程序检测。由于我们支持超过120种应用程序协议(包括诸如Skype,BitTorrent,Facebook,Twitter和YouTube的流行应用程序),因此很容易知道特定协议使用了哪一部分带宽,哪个应用程序协议正在使用端口X ,也可用于检测非标准端口上的已知协议(例如,检测80、3128、8080以外的端口上的HTTP),这可能表明存在安全问题。 - VoIP流量分析
nProbe本机检测SIP / RTP流量,并生成CDR(Call Data Records,呼叫数据记录),包括语音质量参数(例如,抖动,数据包丢失和数据包乱序),这些数据既可以转储到磁盘/数据库中,也可以通过NetFlow导出。这意味着您可以依靠nProbe的流量分析来创建永久的VoIP流量监控器应用程序。
nprobe还有一些扩展的功能,可以进一步简化网络流量分析,包括:
- 按需发送flow
在NetFlow中,flow总是在flow到期时生成。这给收集器带来了很大的压力,因为它们必须丢弃不需要的流量。nProbe让您可以指定必须满足哪些条件才能使nProbe发出flow。例如,这将允许只发送那些具有特定特征的流量(如Skype流量或高延迟的流量),从而节省带宽并减少收集器的负载。 - 创建自定义NetFlow字段
许多收集器都是带有Web GUI的简单的转储至数据库和从数据库选择数据的应用程序。由于这些应用程序无法执行复杂的操作,因此nProbe提供定义自定义字段的功能,这些字段包含收集器可以依赖的预先计算的值。例如,将有可能定义一个名为FLOW_QUALITY的新数字字段,该字段指示是否需要对这种流进行进一步分析,因为它的特征是高延迟,或过多的数据包失序/重传,或过多的碎片。
除了所有流量探针所做的基本NetFlow流量分析之外,您还可以利用nProbe做很多事情。而且,如果没有给定的功能,则可以通过将其编码到插件上进行开发并将其添加到nProbe。这是开源软件的真正魅力。
摘自ntop,撰写于2012年1月8日