ntopng

基于Web的高速流量分析与流量采集

ntopng-icon-150x150

ntopng是Originalntop的下一代版本,该版本是监视网络使用情况的网络流量探测器。ntopng基于OnlibPcap/PF_RING和它的编写方式,便于在每个Unix平台,MacOS和Windows上实际运行。

ntopng – yes,全部都是小写 – 提供了一个直观的,加密的Web用户界面,用于探索实时和历史流量信息

主要特点

  • 根据许多标准对网络流量进行分类,包括IP地址、端口、第7层(L7)应用协议、吞吐量、自治系统(ASs)
  • 显示实时网络流量和活动主机
  • 为多个网络指标(包括吞吐量和L7应用协议)生成长期报告
  • 顶级通话器(发送器/接收器)、顶级ASs、顶级L7应用协议
  • 监视并报告实时吞吐量、网络和应用程序延迟、往返时间(RTT)、TCP统计数据(重传、无序数据包、数据包丢失)以及传输的字节和数据包
  • 在磁盘上存储持久的流量统计信息,以便将来进行探索和事后分析
  • 地理定位和覆盖地理地图中的主机
  • 利用 nDPI,ntop深度包检测(DPI)技术
  • 分析IP流量并根据源/目标进行排序
  • 报告按协议类型排序的IP协议使用情况
  • 生成HTML5/AJAX网络流量统计
  • 完全支持IPv4和IPv6
  • 完全2层支持(包括ARP统计)
  • GTP/GRE爆轰
  • 支持 ClickHouse公司 ,MySQL数据库 ,弹性搜索导出监控数据
  • 将监控数据导出到ClickHouse的交互式历史探索
  • 灵活的警报搬运
  • SNMP协议对SNMP设备的v1/v2c/v3支持和连续监视
  • 身份管理,包括相关性VPN用户流量
  • 专注于 网络安全
  • 行为交通分析,如横向移动和周期性交通侦查
  • REST API简化与第三方的集成

技术规格

平台

  • Linux系统
  • FreeBSD/OPNsense/pfSense
  • Windows x64(包括最新的Windows 10)
  • MacOS
  • RaspbianOS

Web GUI

  • 可通过任何支持HTML5的web浏览器使用
  • TLS/HTTPS支持

需求

协议

  • 以太网
  • IPv4/IPv6
  • TCP/UDP/ICMP协议
  • GRE
  • DHCP/BOOTP/NetBIOS/DNS…
  • nDPI支持250+ 7层应用协议
  • ……还有更多

可扩展性

  • Lua scriptability
  • 无需更改ntopng C++引擎的Web接口扩展

附加功能

  • 通过nProbe支持sFlow, NetFlow(包括v5和v9)和IPFIX(支持从多个nProbe收集)
  • Internet域、AS、VLAN(虚拟局域网)统计信息
  • nDPI支持的所有应用协议的协议解码器

可用版本

ntopng有四个版本,社区版、专业版、企业M版、企业L版。社区版是免费使用的,并且是开源的(代码可以在Github上找到)。专业版和企业版提供了一些对中小型企业或更大的组织特别有用的额外功能。下表突出显示了特性。

功能社区版专业版企业M企业L
监控您的网络的活动流和主机(接口的数量)†881632
使用主动监视(ICMP、持续ICMP、HTTP/S、吞吐量、速度测试)监视远程主机
监视系统、运行ntopng的计算机、运行状况(CPU使用情况、RAM使用情况、磁盘空间使用情况,…)
识别网络中的应用协议(Facebook, Youtube, BitTorrent等)
记录和可视化主机应用协议的历史使用情况
按VLAN、操作系统、国家和自治系统对主机进行分组
获取您与世界其他地方的网络通信的地理地图
发现连接到本地网络的设备(网络发现)
以最小分辨率识别顶级通话者(发送者和接收者)主机
可视化主机接触的顶级HTTP站点
导出过期的流信息到MySQL,可能用nProbe数据**增强
当检测到某些条件(阈值超标,可疑行为,…)时,生成警报(针对流,主机,接口,…)
在ntopng生成的GUI中的警报中导航以查找问题
得到警报通知作为电子邮件,Discord, Telegram, WebHook, Slack, Syslog消息或执行Shell脚本
划分、合并和可视化基于VLAN的流量
从nProbe收集数据,将nProbe监视的远程接口和流导出设备(例如路由器和交换机)视为本地设备
拆分、合并和可视化从nProbe收集的数据
将本地主机分组为IP地址和MAC地址的逻辑集,称为主机池组合
在ntopng中添加/编辑应用协议(如果配置了协议文件),并编辑协议类别
实时查看热门会话和应用协议,并将其与日常活动进行比较
在任何可配置的时间框架内生成包含顶级主机、应用程序协议、国家、网络和自治系统的图形化报告
使用用户定义的流量配置文件标记和历史化流量,以使用BPF语法匹配主机、端口和应用程序
使用自定义的应用程序策略限制或阻塞主机流量*
集成ntopng登录与LDAP认证服务器*
发送警报Elasticsearch,女士的团队Fail2Ban
能够访问其他ntopng检查(警报)
添加创建Network Matrix时间序列的可能性(提供了检查本地网络之间通信的可能性)
可视化和历史化其他ntopng数据(接口得分异常,Top Talkers,…)
查询SNMP设备数据,如端口状态、流量和MAC地址信息
高级MySQL插入产生5倍的数据库写入速度**
优化MySQL聚合,以更快的历史流数据探索**
获取任何给定主机、网络或接口的总流量和活动报告
通过警报仪表板实时和过去识别攻击者和受害者
查看主机池的历史应用程序协议使用情况
研究和过滤过去的流警报
当SNMP意外行为出现时触发警报
能够访问其他ntopng检查(警报,如SNMP警报)
可视化和历史化SNMP每设备端口流量
可视化和历史化NetFlow/sFlow设备数据
为客户端应用按协议的每日流量和时间配额*
高性能流导出到ClickHouse和浏览器(聚合数据浏览器和历史流浏览器)†††*
连续行车记录*
自定义接口分解†
监视其他ntopng实例(基础设施监视)
主机映射(查找主机异常值)
服务/周期性映射
身份管理
能访问所有的ntopng check吗
连续录音许可包含(n2disk 1Gbit)†††**
流量收集许可证包括(nProbe Pro)††††
*功能在Windows上不可用
**功能在FreeBSD / OPNsense / pfsense上不可用
†我们建议每个ntopng实例最多监控8个接口。企业版本允许同时监视多达16个(Enterprise M)和32个(Enterprise L)网络接口,并且有足够的硬件,所有其他版本限制为8个不同的接口。无论ntopng的版本是什么,nIndex最多支持16个接口。
††企业版允许创建多达128个不同的主机池和无限数量的池成员。专业版和社区版允许创建最多3个不同的主机池,每个池最多8个成员。
‡企业版允许创建多达128个不同的流量配置文件。专业版允许创建多达16个流量配置文件。
†††Pro上最多3天留存率,Enterprise上无限留存率
†††† 在这里你可以阅读更多关于企业L版捆绑软件的信息

所有版本都要在“完备的PC”上使用,比如x86机器。想要在Raspberry设备上安装ntopng的用户应该考虑使用可用于ARM的RaspberryOS数据包。

应用案例

监控物理接口

只需将物理网卡的接口名称指定为ntopng -i eth0,就可以对其进行监测

流量采集

流量采收集需要ntopng与nProbe一起使用,nProbe可以充当探针/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种发布-订阅协议,允许ntopng与nProbe通信。远程nProbe从NIC进行物理监视并将监视流发送到ntopng的环境可以部署为

nprobe -i eth1——zmq tcp://192.168.1.1:5556 -T @NTOPNG@

ntopng – tcp: / / 192.168.1.1:5556

这里给出了性能数据。

许可证

ntopng Community是在GNU GPLv3许可下发布的。专业版和企业版也受EULA条款的约束。企业L版本已经包括n2disk 1gbit(连续记录)和nProbe Pro(流量收集)许可证。

如果您正在考虑获得许可证,请查看下载页面的安装说明和商店。与所有其他ntop产品一样,获得许可的ntopng包含安装支持。