ntopng安装和基本使用教程

1.简介

ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。
ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。
主要特点如下:
根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
显示实时网络流量和活动主机
针对多个网络指标生成长期报告,包括吞吐量和应用协议
顶级发言人(发送者/接收者),顶级自治系统,顶级L7应用
监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
在地理地图中对主机进行地理定位和叠加
利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
分析IP流量并根据源/目的对其进行分类
报告IP协议使用情况(按协议类型分类)
生成HTML5 / AJAX网络流量统计信息
完全支持IPv4和IPv6
完全的第2层支持(包括ARP统计信息)
GTP/GRE去隧道
支持MySQL,ElasticSearch和LogStash导出监控数据
交互式历史浏览的监控数据导出到MySQL
警报引擎以捕获异常和可疑主机
SNMP v1 / v2c支持和连续监控SNMP设备
身份管理,包括VPN用户与流量的关联

2.版本说明

ntopng软件有四个版本:Community,Professional,Enterprise M,Enterprise L,每个版本都针对较小的版本解锁附加功能。
ntopng 产品页面中提供了功能的完整列表和比较表。

  • ntopng Community
    社区版本是免费使用的开源软件。完整的源代码可以在Github上找到。
  • ntopng Professional
    专业版提供了一些有关社区的额外功能,这些功能对于中小企业特别有用,包​​括图形报告,流量配置文件和LDAP身份验证。
  • ntopng Enterprise M
    Enterprise M版本相对于Professional版本提供了一些额外的功能,这些功能对于大型组织特别有用,包​​括SNMP支持,快速MySQL导出,高级警报管理,高性能流索引。
  • ntopng Enterprise L
    与Enterprise M版本相比,Enterprise L版本提供了一些额外的功能,包括身份管理(使用户与流量相关联的能力)。此版本还可以解锁n2disk 1 Gbit(连续记录)和nProbe Pro(Flow Collection),而无需其他许可证。

3.安装ntopng

3.1.安装ntop存储库(安装环境:ubuntu 18.04 LTS)

sudo apt-get install software-properties-common wget
sudo add-apt-repository universe
sudo wget http://apt-stable.ntop.org/18.04/all/apt-ntop-stable.deb
sudo apt install ./apt-ntop-stable.deb

注(启用root权限)

3.2.安装ntop软件包

sudo apt-get clean all
sudo apt-get update
sudo apt-get install pfring-dkms nprobe ntopng n2disk cento
sudo apt-get install pfring-drivers-zc-dkms

3.3.启动ntopng

systemctl start ntopng
systemctl status ntopng

ntopng安装和基本使用教程_第1张图片

4.Web GUI

4.1.登录

启动ntopng之后,您可以查看GUI。默认情况下,可以从任何Web浏览器访问GUI 。在ntopng启动期间,可以将其他端口指定为命令行选项。始终弹出的第一页包含登录表单-前提是用户尚未决定在启动过程中关闭身份验证。http://ntopng IP:3000/
查看IP地址:

ifconfig

ntopng安装和基本使用教程_第2张图片
浏览器打开web界面
http://192.168.0.113:3000/
ntopng安装和基本使用教程_第3张图片

4.2.仪表盘

仪表板是一个动态页面,它为ntopng监视的所选接口或接口视图提供当前流量的更新快照。专业版中的仪表板可提供大量信息,包括实时流量-每个受监视的界面和每个应用程序-本地本地通话者和热门目的地。仪表板将动态刷新。表格和图表由ntopng保持更新。仪表板的右侧部分显示了“主要应用程序和网络流量”的实时和最新图表。如果选择了网络接口视图,则将按每个物理接口显示网络流量。只需单击图表键中相应的彩色点,即可动态切换每个图表中显示的项目。
位置:Dashboard->Traffic Dashboard
ntopng安装和基本使用教程_第4张图片

4.3.流量报告

专业版的ntopng允许为受监视的一个或多个接口生成自定义流量报告。可从主工具栏的下拉主菜单访问“报告”页面,该页面为用户提供了多个配置选项。
左侧有固定宽度的时间间隔。它们分别是1h(一个小时),1d(一天),1w(一周),1M(一个月),6M(六个月)和1Y(一年)。单击这些间隔中的任何一个都会生成一个自动报告,该报告的时间范围从当前开始,并且时间倒退直到达到单击间隔。
位置:Dashboard->Traffic Report
ntopng安装和基本使用教程_第5张图片
可以选择顶部工具栏中的“流”条目,以可视化当前活动流的实时交通信息。可以将流视为两个主机之间的逻辑双向通信通道。同一对主机之间可以存在多个并发流。
ntopng安装和基本使用教程_第6张图片
IP搜索
ntopng安装和基本使用教程_第7张图片
搜索后可以知道特定ip的详细信息如下:
ntopng安装和基本使用教程_第8张图片
点击图表图标可查看历史流信息
ntopng安装和基本使用教程_第9张图片

4.5.历史图表

ntopng可以将流数据转储到持久性存储中,并提供视图以浏览过去记录的流数据。
传统上,为了提供历史数据,ntopng需要连接的MySQL数据库。传统上,为了提供历史数据,ntopng需要连接的MySQL数据库。请查看Flows Dump文档,以获取有关如何设置连接的更多详细信息以及此模式可用的历史视图。
但是,由于用户对MySQL的低性能和高流插入率的反馈,ntopng现在集成了一个称为nIndex的专用流转储数据库,它克服了MySQL的限制。当前仅在Linux / x86_64体系结构的ntopng企业版中可用。
为了将流转储到磁盘,ntopng要求指定-F nindex选项。

sudo ntopng -i ens33 -F nindex

位置:interface->图表图标
ntopng安装和基本使用教程_第10张图片
通过单击图示图标,可以选择特定的通信或主机并分析原始流。
ntopng安装和基本使用教程_第11张图片
点击后,何以看到每个用户的流量使用情况
ntopng安装和基本使用教程_第12张图片
再次点击该图标可以看到每个用户的流量使用情况:
ntopng安装和基本使用教程_第13张图片

4.6.首选项

Setings->Preferences中可以配置ntopng,例如我们可以设置时间序列的分辨率,
ntopng安装和基本使用教程_第14张图片

3.7.获取license并激活

Help->About查看软件版本获取License,点击图中所示位置。
ntopng安装和基本使用教程_第15张图片

点击后会跳转到生成license 生成界面:
ntopng安装和基本使用教程_第16张图片
在上图中输入购买license得到的 Order id和Email再点击Creat ntopng License即可生成License,依据生成License后界面提示信息即可完成激活。

5.在nprobe上使用ntopng示例

5.1.nprobe简介

ntopng可用于可视化nProbe生成或收集的交通数据。在几种情况下,将ntopng与nProbe一起使用很方便,包括:
通常由路由器,交换机和网络设备产生的NetFlow / sFlow数据的可视化。在这种情况下,nProbe从设备收集并解析NetFlow / sFlow流量,并将结果流发送到ntopng以进行可视化。
监视连接到远程系统的物理网络接口。在这种情况下,ntopng无法直接监视网络接口,也无法看到其数据包。一个或多个nProbe可用于捕获远程网络接口流量并将结果流发送到中央ntopng,以进行分析和可视化。
下图总结了上面突出显示的两种情况,并说明了它们也可以组合在一起。
ntopng安装和基本使用教程_第17张图片

5.2.多个nProbe到一个ntopng

使用单个ntopng从多个nProbe收集流对于单个位置负责可视化和存档交通数据可能很有用。
ntopng安装和基本使用教程_第18张图片
要从多个nProbe收集流,ntopng必须以额外的开始 C(为收集器)在ZMQ端点的末尾,而每个nProbe都需要选择–zmq-probe-mode。在这种配置中,nProbes会启动与充当服务器的ntopng的连接,反之亦然。因此,您必须确保ntopng正在侦听ANY地址(即通配符)* 在ZMQ端点地址中)或在各种nProbe可以访问的另一个地址上。
以下是这种配置的示例

ntopng -i tcp://*:5556c
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i eth1 -n none -T "@NTOPNG@"
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i none -n none --collector-port 2055 -T "@NTOPNG@"
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i none -n none --collector-port 6343 -T "@NTOPNG@"

5.3.NAT

nProbe和ntopng的IP可达性不能总是被认为是理所当然的。有时,ntopng可能有必要从单独网络中的nProbe收集流,该网络可能位于NAT之后,甚至被防火墙屏蔽。同样,NAT后的ntopng可能有必要从另一个网络中的nProbe收集流。幸运的是,要处理这些情况,可以将ntopng(和nProbe)配置为可互换地充当JSON-Over-ZMQ通信的客户端或服务器。 这样就避免了在网络设备中插入冗长,耗时且可能不安全的规则,因为这足以确保客户端可以访问服务器,而NAT将自动处理通信中返回的服务器到客户端部分。
当nProbe和ntopng都在同一网络上,或者当ntopng在另一个网络中但可以到达nProbe时,应使用以下配置
ntopng安装和基本使用教程_第19张图片

ntopng -i tcp://<nProbe的IP地址>:5556
nprobe --zmq "tcp:// *:5556" -i eth1 -n none -T "@NTOPNG@"

上述是最简单nprobe和ntopng 的示例如:

ntopng -i tcp://127.0.0.1:5556
nprobe --zmq "tcp://*:5556" -i eth1 -n none -T "@ NTOPNG@"

当ntopng无法达到nProbe,但nProbe可以达到ntopng时,应使用的配置为:
ntopng安装和基本使用教程_第20张图片

ntopng -i tcp://*:5556c
nprobe --zmq "tcp://:5556" --zmq-probe-mode -i eth1 -n none -T "@NTOPNG@"

请注意,更改ntopng和nProbe的客户端/服务器角色不会影响后续的流收集,因此两种配置可以互换使用。

5.4.在同一个设备上监视某个接口流量示例

配置ntopng:

sudo ntopng -i tcp://127.0.0.1:5556

配置nprobe:

sudo nprobe --zmq "tcp://*:5556" -i ens33 -n none -T "@NTOPNG@"

配置完成后即可打开web界面:
ntopng安装和基本使用教程_第21张图片
打开Web GUI界面以后可以看见此时的接口变为tcp://127.0.0.1:5556
在这里插入图片描述

6.在n2disk上使用ntopng示例

6.1.流量记录简介

当需要解决网络问题或分析安全事件时,及时回溯并深入到数据包级别对于找到导致问题的确切网络活动至关重要。连续流量记录提供了进入网络历史记录的窗口,使您可以检索和分析该时间段内的所有原始流量。
注意:
ntopng Enterprise L已经包含一个n2disk 1 Gbit许可证,如果安装了ntopng Enterprise L许可证,则无需购买n2disk许可证。

6.2.启动流量记录

为了实际开始记录流量,您需要从“ Interface”菜单中选择一个接口,单击图标,然后配置记录实例:
1.选择“Traffic Recording”
2.配置所需的“Max Disk Space”值。这使您可以控制用于pcap文件的最大磁盘空间,这也会影响数据保留时间(超过最大磁盘空间时,最早的pcap文件将被覆盖)。请注意,数据保留时间还取决于被监视网络的流量吞吐量。
3.按“Save Setting”按钮实际开始记录。
ntopng安装和基本使用教程_第22张图片

7.ntopng时间序列和流的磁盘要求

详解计算网址:
https://www.ntop.org/ntopng/ntopng-disk-requirements-for-timeseries-and-flows/

8.购买license

可在如下网址联系我们购买:
https://hongwangle.com/ntop/traffic-analysis-and-enforcement/

6.关注我们

想了解跟多信息,可扫描下方二维码关注&联系我们。
ntopng安装和基本使用教程_第23张图片

你可能感兴趣的:(虹科网络安全与可视化,网络流量监控,网络流量分析,ntop/ntopng,网络可视化,服务器流量捕获和分析)