-2020.png)
ntopng
基于Web的高速流量分析和流收集
ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。
ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。
主要特点
ntopng用户界面
点击查看详细用户界面信息
- 根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
- 显示实时网络流量和活动主机
- 针对多个网络指标生成长期报告,包括吞吐量和应用协议
- 顶级发言人(发送者/接收者),顶级自治系统,顶级L7应用
- 监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
- 将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
- 在地理地图中对主机进行地理定位和叠加
- 利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
- 通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
- 分析IP流量并根据源/目的对其进行分类
- 报告IP协议使用情况(按协议类型分类)
- 生成HTML5 / AJAX网络流量统计信息
- 完全支持IPv4和IPv6
- 完全的第2层支持(包括ARP统计信息)
- GTP/GRE去隧道
- 支持MySQL,ElasticSearch和LogStash导出监控数据
- 交互式历史浏览的监控数据导出到MySQL
- 警报引擎以捕获异常和可疑主机
- SNMP v1 / v2c支持和连续监控SNMP设备
- 身份管理,包括VPN用户与流量的关联
技术规格
| 平台 |
|
|
|---|---|---|
| Web GUI |
|
|
| 要求 |
|
|
| 协议 |
|
|
| 可扩展性 |
|
|
| 附加功能 |
|
|
可用版本
ntopng有四个版本,社区,专业,企业M,企业L。社区版本是免费使用的,并且是开源的(可以在Github上找到代码)。专业版和企业版提供了一些额外的功能,这些功能对于中小企业或大型组织特别有用。下表中突出显示了功能。
| 特征 | 社区 | 专业版 | 企业M | 企业L |
|---|---|---|---|---|
| 监控网络的活动流和主机† | ✓ | ✓ | ✓ | ✓ |
| 识别网络中的应用程序协议(Facebook,Youtube,BitTorrent等) | ✓ | ✓ | ✓ | ✓ |
| 记录和可视化主机的历史应用协议使用情况 | ✓ | ✓ | ✓ | ✓ |
| 按VLAN,操作系统,国家/地区和自治系统对主机进行分组 | ✓ | ✓ | ✓ | ✓ |
| 获取您与世界其他地方的网络通信的地理地图 | ✓ | ✓ | ✓ | ✓ |
| 以分钟分辨率识别顶级通话者(发送者和接收者)主机 | ✓ | ✓ | ✓ | ✓ |
| 可视化主机联系的顶级HTTP站点 | ✓ | ✓ | ✓ | ✓ |
| 将过期的流信息导出到MySQL,可能会使用nProbe数据进行扩充 | ✓ | ✓ | ✓ | ✓ |
| 当主机超过可配置的时间/流量阈值或具有可疑行为时生成警报 | ✓ | ✓ | ✓ | ✓ |
| 以Slack消息形式获取警报通知 | ✓ | ✓ | ✓ | ✓ |
| 拆分,合并和可视化基于VLAN的流量 | ✓ | ✓ | ✓ | ✓ |
| 从nProbe收集数据以将远程nProbe监视的接口和流导出器设备(例如路由器和交换机)视为本地接口 | ✓ | ✓ | ✓ | ✓ |
| 拆分,合并和可视化从nProbe收集的数据 | ✓ | ✓ | ✓ | ✓ |
| 将本地主机分组为称为主机池 ††IP和MAC地址的逻辑集 | ✓ | ✓ | ✓ | ✓ |
| 实时查看主要发言人和应用协议,并将其与日常活动进行比较 | ✗ | ✓ | ✓ | ✓ |
| 探索记录的MySQL数据以确定网络问题的原因 | ✗ | ✓ | ✓ | ✓ |
| 在任何可配置的时间范围内,生成具有顶级主机,应用协议,国家,网络和自治系统的图形报告 | ✗ | ✓ | ✓ | ✓ |
| 使用用户定义的流量配置文件标记流量并对其进行历史化处理,以使用BPF语法匹配主机,端口和应用程序 | ✗ | ✓ | ✓ | ✓ |
| 使用自定义的按协议策略限制或阻止主机的流量* | ✗ | ✓ | ✓ | ✓ |
| 将ntopng登录与LDAP身份验证服务器集成在一起* | ✗ | ✓ | ✓ | ✓ |
| 将生成的ntopng警报发送给nagios * | ✗ | ✓ | ✓ | ✓ |
| 查询SNMP设备数据,例如端口状态,流量和MAC地址信息 | ✗ | ✗ | ✓ | ✓ |
| 先进的MySQL插入使数据库写入速度提高了5倍 | ✗ | ✗ | ✓ | ✓ |
| 优化的MySQL聚合,可更快地浏览历史流数据 | ✗ | ✗ | ✓ | ✓ |
| 获取任何给定主机,网络或接口的总流量和活动报告 | ✗ | ✗ | ✓ | ✓ |
| 通过警报仪表板实时识别过去的攻击者和受害者 | ✗ | ✗ | ✓ | ✓ |
| 可视化主机池的历史应用协议使用情况 | ✗ | ✗ | ✓ | ✓ |
| 浏览和过滤过去的流量警报 | ✗ | ✗ | ✓ | ✓ |
| 可视化和历史化SNMP每设备端口流量 | ✗ | ✗ | ✓ | ✓ |
| 可视化和历史化NetFlow / sFlow设备数据 | ✗ | ✗ | ✓ | ✓ |
| 将按协议的每日流量和时间配额应用于您的客户* | ✗ | ✗ | ✓ | ✓ |
| 高性能嵌入式流量指数*††† | ✗ | ✓ | ✓ | ✓ |
| 连续路况记录* | ✗ | ✗ | ✓ | ✓ |
| 自定义界面分解 | ✗ | ✗ | ✓ | ✓ |
| 身份管理 | ✗ | ✗ | ✗ | ✓ |
| 包括连续记录许可证(n2disk 1Gbit) | ✗ | ✗ | ✗ | ✓ |
| 包括流量收集许可证(nProbe Pro) | ✗ | ✗ | ✗ | ✓ |
| * Windows上不提供的功能 †企业版允许同时监视多达128个不同的网络接口。专业版和社区版最多可以监视32个不同的接口。 ††企业版最多可以创建128个不同的主机池,且池成员的数量不受限制。专业版和社区版最多可以创建3个不同的主机池,每个池最多可以有8个成员。 •企业版最多可创建128个不同的流量配置文件。专业版最多可创建16个流量配置文件。 †††专业版最多保留3天,企业版无限保留 | ||||
所有版本都应该在“成熟的PC”(如x86机器)上使用。计划在嵌入式设备上安装ntopng的用户应考虑使用ARM可用的嵌入式软件包。
用例
监控物理接口
只需将物理NIC卡的接口名称指定为
ntopng -i eth0
流采集
流采集要求ntopng与nProbe结合使用,nProbe可以充当探测/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种允许ntopng与nProbe通信的发布-订阅协议。远程nProbe从NIC物理监视并将受监视的流发送到ntopng的环境可以部署为:
nprobe -i eth1 –zmq tcp://192.168.1.1:5556 -T @NTOPNG@
ntopng -i tcp://192.168.1.1:5556
在此配置中,ntopng能够在Intel Xeon E3-1230 v3 3 GHz上每秒处理超过100‘000个流量(注意:ntopng和nProbe运行在不同的主机上,在同一主机上运行可能会导致性能下降)。
许可证license
ntopng社区是在GNU GPLv3许可下分发的。专业版和企业版也受EULA条款的约束。
Enterprise L版本已经包括n2disk 1 Gbit(连续录制)和nProbe Pro(流采集)许可证。
