虹科网络流量监控软件解决方案（二）-- 网络探针nProbe

1.简介

在商业环境中，NetFlow可能是网络流量统计的事实标准。nProbe包括NetFlow v5 / v9 / IPFIX探针和收集器，可用于处理NetFlow流。这意味着可以使用nProbe™：

• 收集并导出边界网关/交换机/路由器或任何其他可以在NetFlow v5/v9中导出的设备生成的NetFlow流。

• 作为可能已部署的嵌入式低速NetFlow探测器的替代产品。

• 在没有(或非常中等)丢包的情况下全速分析数Gbit网络。

• 向收集器（例如开源ntopng或商用收集器）发送监视的流（例如Cisco NetFlow Collector或Plixer）

2.nProbe™ 主要功能

nProbe™适用于IPv4 / v6的可扩展NetFlow v5 / v9 / IPFIX探针,其主要功能有：

• 适用于Linux，Windows和嵌入式环境ARM和MIPS / MIPSEL。
• 第7层应用程序可见性（包括250多个应用程序）。
• NetFlow v5 / v9 / IPFIX支持高效的流处理。
• 它可用于使用商用硬件构建便宜的NetFlow探针。
• 能够将流保存在磁盘上以供以后分析或集成到现有监控应用程序中。
• 完全可由用户配置。
• 可以与ntopng配合使用以可视化，收集和分析受监控的流量。
• …

3.使用 nProbe™

当前的nProbe™版本远不只是一个简单的netflow探针。nProbe™至少可以有下列三种使用方法：
网络探针模式

nprobe -i eth0 –collector 127.0.0.1:2055

收集器模式

nprobe –collector-port 2055nprobe –collector-port 2055

代理模式

nprobe –collector-port 2055 –collector 127.0.0.1:2055 -V 9

它可以是探针，探针+ 收集器，收集器或代理。在代理模式下，可以从IPFIX / NetFlow v5 / v9转换为IPFIX / NetFlow v5 / v9，以便平稳地升级到较新的NetFlow协议版本，同时可以利用以前的协议版本。

4.nProbe™ 性能

nProbe™ 是一个软件工具，那么它的性能到底怎么样？

• 探针模式

nProbe™旨在跟上通用硬件上的数千兆位速度。使用双核CPU，nProbe™可以使用普通PF_RING（无ZC）来捕获1 Gbit的数据包，而不会丢失/很少（<1％）数据包。使用PF_RING ZC内核旁路技术，可以更快地捕获数据包，因为可以在下面读取。请注意，性能数据是单个内核算的。这意味着，例如，通过利用PF_RING ZC，与单核CPU相比，四核CPU可以实现4倍的性能提升。

• 收集器模式

此模式可用于收集NetFlow v5/v9/IPFIX格式的流，并将流传递到ntopng。请查看以下nProbe收集NetFlow并通过ZMQ导出流的性能。

5.怎样部署 nProbe™

nProbe™以二进制格式分发。安装后，nProbe™即可使用，不需要任何其他配置。为了在探针模式下正常工作，nProbe™需要查看/捕获感兴趣的流量。为此，在交换网络的情况下，需要镜像业务(VLAN或端口镜像)或将探针放置在业务的大部分经过的位置(例如，由边界网关)。在正常运行条件下，nProbe™将收集流量数据，并向指定收集器发出NetFlow v5/v9/ipfix流。任何标准的netflow收集器都可以用来分析nprobe™生成的流-尽管并不是所有的商业收集器都支持v9。nProbe™也可以与ntopng一起使用。在后一种情况下，优化的、可选的压缩和加密格式将用于数据交换，从而产生将监视部分与可视化和分析部分分离的轻量级监视体系结构。

6.轻量级探针 nProbe™ Agent

nProbe™代理(以前称为nProbe mini)是一个轻量级探测器，它实现了基于事件的低开销监视，主要基于libebpfflow(基于eBPF)和Netlink等技术。此小型代理通过系统自检增强网络可见性，同时使用最少的CPU和内存。它使用系统自省的进程、用户、容器、协调器和其他性能指标来丰富传统网络数据，如IP地址、字节和数据包。这使nProbe™Agent非常有效地回答了通常仍未解决的一系列新问题，其中：

• 向恶意软件主机生成流量的过程是什么？谁是此过程的所有者？
• 我的容器彼此通信时经历的通信延迟是多少？

nProbe ™是一种流量探测器，能够处理实时流量（网络链路上的原始数据包）或收集Netflow。nProbe™利用深层数据包检查（nDPI）通过查看数据包有效负载来识别应用程序协议。nProbe™Agent更进一步，可提供生成给定流量的应用程序的可见性，运行该应用程序的用户，系统看到的真实指标（例如，延迟）。

7.高速网络探针 nProbe™ Cento

nProbe™Cento是一款高速NetFlow探针，能够保持1/10/100 Gbit的速度。nProbe™Cento不仅是快速的Netflow探针，还被设计为模块化监视系统的第一个组件：除了捕获入口数据包和计算流数据之外，它还可以用于通过DPI（深度数据包检测）对流量进行分类。当与其他应用程序（例如IPS / IDS，流量记录器等）一起用作流量转发器时，对选定的数据包/流执行可选操作。

nProbe™Cento旨在在商品硬件上保持1/10/100 Gigabit速度。在足够的硬件上，nProbe™Cento能够处理每个物理核心10 Gbit，并可以线性地扩展核心数量（只要有足够的可用内存带宽），如下图所示。

8.嵌入式平台 nBox

许多软件网络流解决方案(如nProbe)用户意识到，在PC(或任何其他通用硬件)上运行探测并不总是最佳选择，原因如下：
PC的活动部件可能会断裂，导致无法使用探头。

• PC很大，需要显示器和键盘，而探头通常需要部署在可用空间不大的地方。
• 管理PC并不便宜，它们需要购买OS，安装和维护OS。
• 在划分为多个干线的大型网络中，必须具有多个探针，每个探针都分析一个干线。
• 这要求在网络上部署多个运行nProbe的主机
• 成本(硬件和维护费用)不容忽视，特别是在需要部署多个探针的情况下。

如果您不想费心在PC上安装软件探针，或者希望拥有基于硬件的、可扩展的、专门构建的解决方案，那么您可能是nBox用户，您将拥有低成本的小型无需移动部件的计算机，可使用嵌入式Web界面轻松管理nProbe板载计算机。

9.获取途径

https://hongwangle.com/ntop/netflow/

10.关注我们