ntopng

基于Web的高速流量分析和流收集

ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。

ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。

主要特点

ntopng用户界面

点击查看详细用户界面信息

  • 根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
  • 显示实时网络流量和活动主机
  • 针对多个网络指标生成长期报告,包括吞吐量和应用协议
  • 顶级发言人(发送者/接收者),顶级自治系统,顶级L7应用
  • 监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
  • 将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
  • 在地理地图中对主机进行地理定位和叠加
  • 利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
  • 通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
  • 分析IP流量并根据源/目的对其进行分类
  • 报告IP协议使用情况(按协议类型分类)
  • 生成HTML5 / AJAX网络流量统计信息
  • 完全支持IPv4和IPv6
  • 完全的第2层支持(包括ARP统计信息)
  • GTP/GRE去隧道
  • 支持MySQLElasticSearchLogStash导出监控数据
  • 交互式历史浏览的监控数据导出到MySQL
  • 警报引擎以捕获异常和可疑主机
  • SNMP  v1 / v2c支持和连续监控SNMP设备
  • 身份管理,包括VPN用户与流量的关联

技术规格

平台
  • Unix(包括Linux,* BSD和MacOSX)
  • Windows x64(包括最新的Windows 10)
  • RAM
Web GUI
  • 可通过任何支持HTML5的网络浏览器使用
  • SSL / HTTPS支持
要求
  • 内存使用情况 取决于ntop配置,主机数和活动TCP会话数。通常,WAN的范围从几MB(小LAN)到100 MB。
  • CPU使用率 取决于ntop配置和流量条件。在现代PC和大型LAN上,它不到总CPU负载的10%。
协议
  • Ethernet
  • IPv4 / IPv6
  • TCP / UDP / ICMP
  • GRE
  • DHCP / BOOTP / NetBIOS / DNS…
  • 通过nDPI支持250多种第7层应用协议
  • …还有很多
可扩展性
  • LUA脚本
  • Web界面扩展,而无需更改ntopng C ++引擎
附加功能
  • 通过nProbe支持sFlow,NetFlow(包括v5和v9)和IPFIX(支持从多个nProbes收集)
  • Internet域,AS(自治系统),VLAN(虚拟LAN)统计信息
  • nDPI支持的所有应用程序协议的协议解码器

可用版本

ntopng有四个版本,社区,专业,企业M,企业L。社区版本是免费使用的,并且是开源的(可以在Github上找到代码)。专业版和企业版提供了一些额外的功能,这些功能对于中小企业或大型组织特别有用。下表中突出显示了功能。

特征 社区 专业版 企业M 企业L
监控网络的活动流和主机†
识别网络中的应用程序协议(Facebook,Youtube,BitTorrent等)
记录和可视化主机的历史应用协议使用情况
按VLAN,操作系统,国家/地区和自治系统对主机进行分组
获取您与世界其他地方的网络通信的地理地图
以分钟分辨率识别顶级通话者(发送者和接收者)主机
可视化主机联系的顶级HTTP站点
将过期的流信息导出到MySQL,可能会使用nProbe数据进行扩充
当主机超过可配置的时间/流量阈值或具有可疑行为时生成警报
以Slack消息形式获取警报通知
拆分,合并和可视化基于VLAN的流量
从nProbe收集数据以将远程nProbe监视的接口和流导出器设备(例如路由器和交换机)视为本地接口
拆分,合并和可视化从nProbe收集的数据
将本地主机分组为称为主机池 ††IP和MAC地址的逻辑集
实时查看主要发言人和应用协议,并将其与日常活动进行比较
探索记录的MySQL数据以确定网络问题的原因
在任何可配置的时间范围内,生成具有顶级主机,应用协议,国家,网络和自治系统的图形报告
使用用户定义的流量配置文件标记流量并对其进行历史化处理,以使用BPF语法匹配主机,端口和应用程序
使用自定义的按协议策略限制或阻止主机的流量*
将ntopng登录与LDAP身份验证服务器集成在一起*
将生成的ntopng警报发送给nagios *
查询SNMP设备数据,例如端口状态,流量和MAC地址信息
先进的MySQL插入使数据库写入速度提高了5倍
优化的MySQL聚合,可更快地浏览历史流数据
获取任何给定主机,网络或接口的总流量和活动报告
通过警报仪表板实时识别过去的攻击者和受害者
可视化主机池的历史应用协议使用情况
浏览和过滤过去的流量警报
可视化和历史化SNMP每设备端口流量
可视化和历史化NetFlow / sFlow设备数据
将按协议的每日流量和时间配额应用于您的客户*
高性能嵌入式流量指数*†††
连续路况记录*
自定义界面分解
身份管理
包括连续记录许可证(n2disk 1Gbit)
包括流量收集许可证(nProbe Pro)
* Windows上不提供的功能 †企业版允许同时监视多达128个不同的网络接口。专业版和社区版最多可以监视32个不同的接口。 ††企业版最多可以创建128个不同的主机池,且池成员的数量不受限制。专业版和社区版最多可以创建3个不同的主机池,每个池最多可以有8个成员。 •企业版最多可创建128个不同的流量配置文件。专业版最多可创建16个流量配置文件。 †††专业版最多保留3天,企业版无限保留

所有版本都应该在“成熟的PC”(如x86机器)上使用。计划在嵌入式设备上安装ntopng的用户应考虑使用ARM可用的嵌入式软件包。

用例

监控物理接口

只需将物理NIC卡的接口名称指定为

ntopng -i eth0

流采集

流采集要求ntopng与nProbe结合使用,nProbe可以充当探测/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种允许ntopng与nProbe通信的发布-订阅协议。远程nProbe从NIC物理监视并将受监视的流发送到ntopng的环境可以部署为:
nprobe -i eth1 –zmq tcp://192.168.1.1:5556 -T @NTOPNG@
ntopng -i tcp://192.168.1.1:5556
在此配置中,ntopng能够在Intel Xeon E3-1230 v3 3 GHz上每秒处理超过100‘000个流量(注意:ntopng和nProbe运行在不同的主机上,在同一主机上运行可能会导致性能下降)。

许可证license

ntopng社区是在GNU GPLv3许可下分发的。专业版和企业版也受EULA条款的约束。
Enterprise L版本已经包括n2disk 1 Gbit(连续录制)和nProbe Pro(流采集)许可证。

得到它

如果您正在考虑获得许可证,请查看下载页面以获取安装说明以及联系我们购买。与所有其他ntop产品一样,ntopng许可证包括安装支持

屏幕截图