流量分析ntopng | 终端安全｜数据安全｜全流量监控｜网络可视化

ntopng

基于Web的高速流量分析和流收集

ntopng是原始ntop的下一代版本，ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap，并且以可移植的方式编写，以便实际上可以在每个Unix平台，MacOSX和Windows上运行。

ntopng（是的，都是小写字母）提供了直观的，加密的Web用户界面，用于浏览实时和历史流量信息。

主要特点

根据多种标准对网络流量进行排序，包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
显示实时网络流量和活动主机
针对多个网络指标生成长期报告，包括吞吐量和应用协议
top talker（发送者/接收者），top ADs，top L7应用
监视并报告实时吞吐量，网络和应用程序延迟，往返时间（RTT），TCP统计信息（重传，乱序数据包，数据包丢失）以及已传输的字节和数据包
将持久流量统计数据存储在磁盘上，以便将来进行探索和事后分析
在地理地图中对主机进行地理定位和叠加
利用nDPI和ntop深度数据包检测（DPI）技术发现应用程序协议（Facebook，YouTube，BitTorrent等）
通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
分析IP流量并根据源/目的对其进行分类
报告IP协议使用情况（按协议类型分类）
生成HTML5 / AJAX网络流量统计信息
完全支持IPv4和IPv6
完全的第2层支持(包括ARP统计信息)
GTP/GRE去隧道
支持MySQL，ElasticSearch和LogStash导出监控数据
交互式历史浏览的监控数据导出到MySQL
警报引擎以捕获异常和可疑主机
SNMP v1 / v2c支持和连续监控SNMP设备
身份管理，包括VPN用户与流量的关联
本机nTap支持从云、虚拟机、容器和物理主机收集流量

技术规格

平台	Unix（包括Linux，* BSD和MacOSX） Windows x64（包括最新的Windows 10） RAM
Web GUI	可通过任何支持HTML5的网络浏览器使用 SSL / HTTPS支持
要求	内存使用情况取决于ntop配置，主机数和活动TCP会话数。通常，WAN的范围从几MB（小LAN）到100 MB。 CPU使用率取决于ntop配置和流量条件。在现代PC和大型LAN上，它不到总CPU负载的10％。
协议	Ethernet IPv4 / IPv6 TCP / UDP / ICMP GRE DHCP / BOOTP / NetBIOS / DNS… 通过nDPI支持250多种第7层应用协议 …还有很多
可扩展性	LUA脚本 Web界面扩展，而无需更改ntopng C ++引擎
附加功能	通过nProbe支持sFlow，NetFlow（包括v5和v9）和IPFIX（支持从多个nProbes收集） Internet域，AS（自治系统），VLAN（虚拟LAN）统计信息 nDPI支持的所有应用程序协议的协议解码器

可用版本

ntopng有四个版本，社区，专业，企业M，企业L。社区版本是免费使用的，并且是开源的（可以在Github上找到代码）。专业版和企业版提供了一些额外的功能，这些功能对于中小企业或大型组织特别有用。下表中突出显示了功能。

特征	社区	专业版	企业M	企业L
监控网络的活动流和主机（接口数）†	8	8	16	32
使用主动监控(ICMP、持续ICMP、HTTP/S、吞吐量、速度测试)监视远程主机	✓	✓	✓	✓
监视系统、运行ntopng的计算机、运行状况(CPU使用情况、RAM使用情况、磁盘空间使用情况，…)	✓	✓	✓	✓
识别网络中的应用程序协议（Facebook，Youtube，BitTorrent等）	✓	✓	✓	✓
记录和可视化主机的历史应用协议使用情况	✓	✓	✓	✓
按VLAN，操作系统，国家/地区和自治系统对主机进行分组	✓	✓	✓	✓
获取您与世界其他地方的网络通信的地理地图	✓	✓	✓	✓
发现连接到本地网络的设备(网络发现)	✓	✓	✓	✓
以分钟分辨率识别top talker（发送者和接收者）主机	✓	✓	✓	✓
可视化主机联系的top HTTP站点	✓	✓	✓	✓
将过期的流信息导出到MySQL，可能会使用nProbe数据进行扩充**	✓	✓	✓	✓
当检测到某些条件(阈值超标，可疑行为，…)时，生成警报(针对流，主机，接口，…)	✓	✓	✓	✓
在ntopng生成的GUI中的警报中导航以查找问题	✓	✓	✓	✓
通过电子邮件得到警报通知，Discord, Telegram, WebHook, Slack, Syslog消息或执行Shell脚本	✓	✓	✓	✓
拆分，合并和可视化基于VLAN的流量	✓	✓	✓	✓
从nProbe收集数据以将远程nProbe监视的接口和流导出器设备（例如路由器和交换机）视为本地接口	✓	✓	✓	✓
拆分，合并和可视化从nProbe收集的数据	✓	✓	✓	✓
将本地主机分组为IP地址和MAC地址的逻辑集，称为主机池††	✓	✓	✓	✓
在ntopng中添加/编辑应用协议(如果配置了协议文件)，并编辑协议类别	✓	✓	✓	✓
实时查看top talker和应用协议，并将其与日常活动进行比较	✗	✓	✓	✓
在任何可配置的时间范围内，生成具有top主机，应用协议，国家，网络和自治系统的图形报告	✗	✓	✓	✓
使用用户定义的流量配置文件标记流量并对其进行历史化处理，以使用BPF语法匹配主机，端口和应用程序 ‡	✗	✓	✓	✓
使用自定义的按协议策略限制或阻止主机的流量*	✗	✓	✓	✓
将ntopng登录与LDAP身份验证服务器集成在一起*	✗	✓	✓	✓
发送警报Elasticsearch,MS team或Fail2Ban	✗	✓	✓	✓
能够访问其他ntopng检查(警报)	✗	✓	✓	✓
添加创建Network Matrix时间序列的可能性(提供了检查本地网络之间通信的可能性)	✗	✓	✓	✓
可视化和历史化其他ntopng数据(接口得分异常，Top Talkers，…)	✗	✓	✓	✓
查询SNMP设备数据，例如端口状态，流量和MAC地址信息	✗	✗	✓	✓
获取任何给定主机，网络或接口的总流量和活动报告	✗	✗	✓	✓
通过警报仪表板实时识别过去的攻击者和受害者	✗	✗	✓	✓
可视化主机池的历史应用协议使用情况	✗	✗	✓	✓
浏览和过滤过去的流量警报	✗	✗	✓	✓
可视化和历史化SNMP每设备端口流量	✗	✗	✓	✓
可视化和历史化NetFlow / sFlow设备数据	✗	✗	✓	✓
为客户端应用按协议的每日流量和时间配额*	✗	✗	✓	✓
高性能流导出到ClickHouse和浏览器(聚合数据浏览器和历史流浏览器)†††*	✗	✗	✓	✓
连续流量记录*	✗	✗	✓	✓
自定义界面分解†	✗	✗	✓	✓
监控其他ntopng实例（基础设施监控）	✗	✗	✓	✓
主机映射(查找主机异常值)	✗	✗	✓	✓
服务/周期地图	✗	✗	✗	✓
身份管理	✗	✗	✗	✓
能访问所有的ntopng check吗	✗	✗	✗	✓
本机ntap支持	✗	✗	✗	✓
包括连续记录许可证（n2disk 1Gbit）	✗	✗	✗	bundle
包括流量收集许可证（nProbe Pro）	✗	✗	✗	bundle
功能在Windows上不可用 *功能在FreeBSD / OPNsense / pfsense上不可用 †我们建议每个ntopng实例最多监控8个接口。企业版本允许同时监视多达16个(Enterprise M)和32个(Enterprise L)网络接口，并且有足够的硬件，所有其他版本限制为8个不同的接口。无论ntopng的版本是什么，nIndex最多支持16个接口。 ††企业版允许创建多达128个不同的主机池和无限数量的池成员。专业版和社区版允许创建最多3个不同的主机池，每个池最多8个成员。 ‡企业版允许创建多达128个不同的流量配置文件。专业版允许创建多达16个流量配置文件。 †††Pro上最多保存3天数据，Enterprise上无限制保存时间 †††† 在这里你可以阅读更多关于企业L版捆绑软件的信息