ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。
ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。
主要特点如下:
根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
显示实时网络流量和活动主机
针对多个网络指标生成长期报告,包括吞吐量和应用协议
顶级发言人(发送者/接收者),顶级自治系统,顶级L7应用
监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
在地理地图中对主机进行地理定位和叠加
利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
分析IP流量并根据源/目的对其进行分类
报告IP协议使用情况(按协议类型分类)
生成HTML5 / AJAX网络流量统计信息
完全支持IPv4和IPv6
完全的第2层支持(包括ARP统计信息)
GTP/GRE去隧道
支持MySQL,ElasticSearch和LogStash导出监控数据
交互式历史浏览的监控数据导出到MySQL
警报引擎以捕获异常和可疑主机
SNMP v1 / v2c支持和连续监控SNMP设备
身份管理,包括VPN用户与流量的关联
ntopng软件有四个版本:Community,Professional,Enterprise M,Enterprise L,每个版本都针对较小的版本解锁附加功能。
ntopng 产品页面中提供了功能的完整列表和比较表。
sudo apt-get install software-properties-common wget
sudo add-apt-repository universe
sudo wget http://apt-stable.ntop.org/18.04/all/apt-ntop-stable.deb
sudo apt install ./apt-ntop-stable.deb
注(启用root权限)
sudo apt-get clean all
sudo apt-get update
sudo apt-get install pfring-dkms nprobe ntopng n2disk cento
sudo apt-get install pfring-drivers-zc-dkms
systemctl start ntopng
systemctl status ntopng
启动ntopng之后,您可以查看GUI。默认情况下,可以从任何Web浏览器访问GUI 。在ntopng启动期间,可以将其他端口指定为命令行选项。始终弹出的第一页包含登录表单-前提是用户尚未决定在启动过程中关闭身份验证。http://ntopng IP:3000/
查看IP地址:
ifconfig
浏览器打开web界面
http://192.168.0.113:3000/
仪表板是一个动态页面,它为ntopng监视的所选接口或接口视图提供当前流量的更新快照。专业版中的仪表板可提供大量信息,包括实时流量-每个受监视的界面和每个应用程序-本地本地通话者和热门目的地。仪表板将动态刷新。表格和图表由ntopng保持更新。仪表板的右侧部分显示了“主要应用程序和网络流量”的实时和最新图表。如果选择了网络接口视图,则将按每个物理接口显示网络流量。只需单击图表键中相应的彩色点,即可动态切换每个图表中显示的项目。
位置:Dashboard->Traffic Dashboard
专业版的ntopng允许为受监视的一个或多个接口生成自定义流量报告。可从主工具栏的下拉主菜单访问“报告”页面,该页面为用户提供了多个配置选项。
左侧有固定宽度的时间间隔。它们分别是1h(一个小时),1d(一天),1w(一周),1M(一个月),6M(六个月)和1Y(一年)。单击这些间隔中的任何一个都会生成一个自动报告,该报告的时间范围从当前开始,并且时间倒退直到达到单击间隔。
位置:Dashboard->Traffic Report
可以选择顶部工具栏中的“流”条目,以可视化当前活动流的实时交通信息。可以将流视为两个主机之间的逻辑双向通信通道。同一对主机之间可以存在多个并发流。
IP搜索
搜索后可以知道特定ip的详细信息如下:
点击图表图标可查看历史流信息
ntopng可以将流数据转储到持久性存储中,并提供视图以浏览过去记录的流数据。
传统上,为了提供历史数据,ntopng需要连接的MySQL数据库。传统上,为了提供历史数据,ntopng需要连接的MySQL数据库。请查看Flows Dump文档,以获取有关如何设置连接的更多详细信息以及此模式可用的历史视图。
但是,由于用户对MySQL的低性能和高流插入率的反馈,ntopng现在集成了一个称为nIndex的专用流转储数据库,它克服了MySQL的限制。当前仅在Linux / x86_64体系结构的ntopng企业版中可用。
为了将流转储到磁盘,ntopng要求指定-F nindex选项。
sudo ntopng -i ens33 -F nindex
位置:interface->图表图标
通过单击图示图标,可以选择特定的通信或主机并分析原始流。
点击后,何以看到每个用户的流量使用情况
再次点击该图标可以看到每个用户的流量使用情况:
在Setings->Preferences中可以配置ntopng,例如我们可以设置时间序列的分辨率,
在Help->About查看软件版本获取License,点击图中所示位置。
点击后会跳转到生成license 生成界面:
在上图中输入购买license得到的 Order id和Email再点击Creat ntopng License即可生成License,依据生成License后界面提示信息即可完成激活。
ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:
通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。
监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。一个或多个nProbe可用于捕获远程网络接口流量并将结果流发送到中央ntopng,以进行分析和可视化。
下图总结了上面突出显示的两种情况,并说明了它们也可以组合在一起。
使用单个ntopng从多个nProbe收集流对于单个位置负责可视化和存档交通数据可能很有用。
要从多个nProbe收集流,ntopng必须以额外的开始 C(为收集器)在ZMQ端点的末尾,而每个nProbe都需要选择–zmq-probe-mode。在这种配置中,nProbes会启动与充当服务器的ntopng的连接,反之亦然。因此,您必须确保ntopng正在侦听ANY地址(即通配符)* 在ZMQ端点地址中)或在各种nProbe可以访问的另一个地址上。
以下是这种配置的示例
ntopng -i tcp://*:5556c
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i eth1 -n none -T "@NTOPNG@"
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i none -n none --collector-port 2055 -T "@NTOPNG@"
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i none -n none --collector-port 6343 -T "@NTOPNG@"
nProbe和ntopng的IP可达性不能总是被认为是理所当然的。有时,ntopng可能有必要从单独网络中的nProbe收集流,该网络可能位于NAT之后,甚至被防火墙屏蔽。同样,NAT后的ntopng可能有必要从另一个网络中的nProbe收集流。幸运的是,要处理这些情况,可以将ntopng(和nProbe)配置为可互换地充当JSON-Over-ZMQ通信的客户端或服务器。 这样就避免了在网络设备中插入冗长,耗时且可能不安全的规则,因为这足以确保客户端可以访问服务器,而NAT将自动处理通信中返回的服务器到客户端部分。
当nProbe和ntopng都在同一网络上,或者当ntopng在另一个网络中但可以到达nProbe时,应使用以下配置
ntopng -i tcp://<nProbe的IP地址>:5556
nprobe --zmq "tcp:// *:5556" -i eth1 -n none -T "@NTOPNG@"
上述是最简单nprobe和ntopng 的示例如:
ntopng -i tcp://127.0.0.1:5556
nprobe --zmq "tcp://*:5556" -i eth1 -n none -T "@ NTOPNG@"
当ntopng无法达到nProbe,但nProbe可以达到ntopng时,应使用的配置为:
ntopng -i tcp://*:5556c
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i eth1 -n none -T "@NTOPNG@"
请注意,更改ntopng和nProbe的客户端/服务器角色不会影响后续的流收集,因此两种配置可以互换使用。
配置ntopng:
sudo ntopng -i tcp://127.0.0.1:5556
配置nprobe:
sudo nprobe --zmq "tcp://*:5556" -i ens33 -n none -T "@NTOPNG@"
配置完成后即可打开web界面:
打开Web GUI界面以后可以看见此时的接口变为tcp://127.0.0.1:5556
当需要解决网络问题或分析安全事件时,及时回溯并深入到数据包级别对于找到导致问题的确切网络活动至关重要。连续流量记录提供了进入网络历史记录的窗口,使您可以检索和分析该时间段内的所有原始流量。
注意:
ntopng Enterprise L已经包含一个n2disk 1 Gbit许可证,如果安装了ntopng Enterprise L许可证,则无需购买n2disk许可证。
为了实际开始记录流量,您需要从“ Interface”菜单中选择一个接口,单击图标,然后配置记录实例:
1.选择“Traffic Recording”
2.配置所需的“Max Disk Space”值。这使您可以控制用于pcap文件的最大磁盘空间,这也会影响数据保留时间(超过最大磁盘空间时,最早的pcap文件将被覆盖)。请注意,数据保留时间还取决于被监视网络的流量吞吐量。
3.按“Save Setting”按钮实际开始记录。
详解计算网址:
https://www.ntop.org/ntopng/ntopng-disk-requirements-for-timeseries-and-flows/
可在如下网址联系我们购买:
https://hongwangle.com/ntop/traffic-analysis-and-enforcement/