流量分析ntopng – 虹科网络安全

ntopng

基于Web的高速流量分析和流收集

ntopng是一个网络流量探针，提供360°网络可视性，它能够从流量镜像、Netflow导出设备、SNMP设备、防火墙日志、入侵检测系统收集流量信息。

ntopng是以一种可移植的方式编写的，以便几乎可以在所有Unix平台上运行，包括Linux和FreeBSD，MacOS和Windows上。Ntopng使用libpcap或pf_ring(在Linux上)捕获来自SPAN/镜像端口或分路设备的流量，以获得最佳性能。或者你可以把它和nProbe结合使用，从路由器和交换机收集NetFlow/Flow，或者用nProbe Cento来分析全速率的100Gbit链接。

ntopng – 是的，都是小写字母 – 提供一个直观的、加密的网络用户界面，用于探索实时和历史流量信息。

主要特点

根据多种标准对网络流量进行分类，包括IP地址、端口、L7应用协议、吞吐量、自治系统(AS)
显示实时网络流量和活动主机
为包括吞吐量和L7应用协议在内的多个网络指标生成长期报告
top talker（发送者/接收者），top ADs，top L7应用
监控和报告实时吞吐量，网络和应用程序延迟，往返时间（RTT），TCP统计信息（重传，乱序数据包，丢失的数据包）以及已传输的字节和数据包
将持久流量统计数据存储在磁盘上，以便将来进行探索和回溯分析
在地理地图中对主机进行地理定位和overlay
利用nDPI和ntop深度数据包检测（DPI）技术发现应用程序协议（QQ，微信，微博等）
分析IP流量并根据源/目的对其进行分类排序
报告IP协议使用情况（按协议类型分类）
生成HTML5 / AJAX网络流量统计信息
完全支持IPv4和IPv6
完全的第2层支持(包括ARP统计信息)
GTP/GRE去隧道
支持Clickhouse，MySQL，ElasticSearch导出监控数据
对导出到ClickHouse的监控数据进行交互式历史浏览
灵活的警报处理
支持SNMPv1/v2c/v3并持续监控SNMP设备
身份管理，包括VPN用户与流量的关联
重点关注流量可见性和网络安全
行为流量分析，例如横向移动和定期流量检测
REST API，方便与第三方的集成
本机nTap支持从云、虚拟机、容器和物理主机收集流量

技术规格

平台	Linux FreeBSD/OPNsense/pfSense Windows x64 (包括最新保本的Windows 10) MacOS RaspbianOS
Web GUI	可通过任何支持HTML5的网络浏览器使用 SSL / HTTPS支持
要求	硬件大小调整
协议	Ethernet IPv4 / IPv6 TCP / UDP / ICMP GRE DHCP / BOOTP / NetBIOS / DNS… 通过nDPI支持250多种第7层应用协议 …还有很多
可扩展性	LUA脚本 Web界面扩展，而无需更改ntopng C ++引擎
附加功能	通过nProbe支持sFlow，NetFlow（包括v5和v9）和IPFIX（支持从多个nProbes收集） Internet域，AS（自治系统），VLAN（虚拟LAN）统计信息 nDPI支持的所有应用程序协议的协议解码器

可用版本

ntopng有三个版本，社区，专业，企业M/L/XL。社区版本是免费使用的，并且是开源的（可以在Github上找到代码）。专业版和企业版提供了一些对中小企业或大型组织特别有用的额外功能。下表中突出显示了功能。

特征	社区	专业	企业
			M	L	XL
监控网络的活动流和主机（接口数量）†	8	8	16	32	64
使用主动监控（ICMP、连续 ICMP、HTTP/S、吞吐量、SpeedTest）监控远程主机	✓	✓	✓	✓	✓
监控系统、运行 ntopng 的计算机、运行状况（CPU 使用率、RAM 使用率、使用的磁盘空间等）	✓	✓	✓	✓	✓
识别网络中的应用协议（QQ，微信，微博等）	✓	✓	✓	✓	✓
记录和可视化主机的历史应用协议使用情况	✓	✓	✓	✓	✓
按 VLAN、操作系统、国家/地区和自治系统对主机进行分组	✓	✓	✓	✓	✓
获取您与世界其他地区的网络通信的地理地图	✓	✓	✓	✓	✓
发现连接到本地网络的设备（网络发现）	✓	✓	✓	✓	✓
以分钟分辨率识别top talker（发送方和接收方）主机	✓	✓	✓	✓	✓
可视化一个主机联系的top HTTP 站点	✓	✓	✓	✓	✓
将过期的流信息导出到 MySQL，可能会使用 nProbe 数据进行扩充**	✓	✓	✓	✓	✓
在检测到某些条件（超过阈值、可疑行为等）时生成警报（针对流、主机、接口等）	✓	✓	✓	✓	✓
从 GUI 中浏览由 ntopng 生成的警报以查找问题	✓	✓	✓	✓	✓
通过电子邮件，Discord，Telegram，WebHook，Slack，Syslog消息或执行Shell脚本获取警报通知	✓	✓	✓	✓	✓
拆分、合并和可视化基于 VLAN 的流量	✓	✓	✓	✓	✓
从 nProbe 收集数据，将远程 nProbe 监控的接口和流导出器设备（例如路由器和交换机）视为本地接口	✓	✓	✓	✓	✓
拆分、合并和可视化从 nProbe 收集的数据	✓	✓	✓	✓	✓
将本地主机分组到 IP 和 MAC 地址的逻辑集中，称为主机池††	✓	✓	✓	✓	✓
添加/编辑应用程序协议到 ntopng（如果配置了协议文件）并编辑协议类别	✓	✓	✓	✓	✓
实时查看top talker和应用协议，并将其与日常活动进行比较	✗	✓	✓	✓	✓
在任何可配置的时间范围内生成包含top主机、应用协议、国家/地区、网络和自治系统的图形报告	✗	✓	✓	✓	✓
使用用户定义的流量配置文件标记流量并对其进行历史记录，以使用BPF语法(配置文件数量)匹配主机、端口和应用程序	✗	16	128	128	128
使用定制的每应用程序策略限制或阻止主机的流量*	✗	✓	✓	✓	✓
将 ntopng 登录与 LDAP 身份验证服务器集成 *	✗	✓	✓	✓	✓
向 Elasticsearch、MS Teams 或 Fail2Ban 发送警报	✗	✓	✓	✓	✓
有权访问其他 ntopng 检查（警报）	✗	✓	✓	✓	✓
添加创建网络矩阵时间序列的可能性（可以检查本地网络之间的流量）	✗	✓	✓	✓	✓
可视化和历史化其他 ntopng 数据（接口分数异常、top talker,…）	✗	✓	✓	✓	✓
查询 SNMP 设备数据，例如端口状态、流量和 MAC 地址信息	✗	✗	✓	✓	✓
获取任何给定主机、网络或接口的总流量和活动报告	✗	✗	✓	✓	✓
通过实时和过去的警报仪表板识别攻击者和受害者	✗	✗	✓	✓	✓
可视化主机池的历史应用程序协议使用情况	✗	✗	✓	✓	✓
浏览和筛选过去的流警报	✗	✗	✓	✓	✓
当出现 SNMP 意外行为时触发警报	✗	✗	✓	✓	✓
有权访问其他 ntopng 检查（警报，例如 SNMP 警报）	✗	✗	✓	✓	✓
可视化和历史化每个设备端口的 SNMP 流量	✗	✗	✓	✓	✓
可视化和历史化 NetFlow/sFlow 设备数据	✗	✗	✓	✓	✓
对您的客户端应用每个协议的每日流量和时间配额*	✗	✗	✓	✓	✓
高性能流导出到 ClickHouse 和资源管理器（聚合数据资源管理器和历史流资源管理器） ††† *	✗	✗	✓	✓	✓
连续流量记录 *	✗	✗	✓	✓	✓
自定义接口分解†	✗	✗	✓	✓	✓
监控其他 ntopng 实例（基础设施监控）	✗	✗	✓	✓	✓
主机地图（查找主机异常值）	✗	✗	✓	✓	✓
NetFlow输出设备和端口监控（输出设备数量）	✗	✗	256	256	1024
服务/周期地图	✗	✗	✗	✓	✓
使用防火墙和活动目录进行身份管理	✗	✗	✗	✓	✓
有权访问所有行为检查	✗	✗	✗	✓	✓
原生 nTap 支持	✗	✗	✗	✓	✓
Kafka支持	✗	✗	✗	✓	✓
包括连续记录许可证（n2disk 1Gbit）†††† **	✗	✗	✗	bundle	✗
包括流采集许可证（nProbe Pro）††††	✗	✗	✗	bundle	✗
* 该功能在 Windows上不可用 ** 该功能在 FreeBSD / OPNsense / pfsense上不可用 † 在足够的硬件上（根据系统资源，实际限制可能更低）。 †† 企业版允许创建多达 128 个不同的主机池，池成员数量不受限制。专业版和社区版允许创建最多 3 个不同的主机池，每个池最多 8 个成员。 ††† Pro 最多保留 3 天，企业无限制保留 ††††这里你可以阅读更多关于企业L bundle版的软件。