ntopng

基于Web的高速流量分析和流收集

ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。

ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。

主要特点

ntopng用户界面

点击查看详细用户界面信息

  • 根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
  • 显示实时网络流量和活动主机
  • 针对多个网络指标生成长期报告,包括吞吐量和应用协议
  • top talker(发送者/接收者),top ADs,top L7应用
  • 监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
  • 将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
  • 在地理地图中对主机进行地理定位和叠加
  • 利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
  • 通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
  • 分析IP流量并根据源/目的对其进行分类
  • 报告IP协议使用情况(按协议类型分类)
  • 生成HTML5 / AJAX网络流量统计信息
  • 完全支持IPv4和IPv6
  • 完全的第2层支持(包括ARP统计信息)
  • GTP/GRE去隧道
  • 支持MySQLElasticSearchLogStash导出监控数据
  • 交互式历史浏览的监控数据导出到MySQL
  • 警报引擎以捕获异常和可疑主机
  • SNMP  v1 / v2c支持和连续监控SNMP设备
  • 身份管理,包括VPN用户与流量的关联
  • 本机nTap支持从云、虚拟机、容器和物理主机收集流量

技术规格

平台
  • Unix(包括Linux,* BSD和MacOSX)
  • Windows x64(包括最新的Windows 10)
  • RAM
Web GUI
  • 可通过任何支持HTML5的网络浏览器使用
  • SSL / HTTPS支持
要求
  • 内存使用情况 取决于ntop配置,主机数和活动TCP会话数。通常,WAN的范围从几MB(小LAN)到100 MB。
  • CPU使用率 取决于ntop配置和流量条件。在现代PC和大型LAN上,它不到总CPU负载的10%。
协议
  • Ethernet
  • IPv4 / IPv6
  • TCP / UDP / ICMP
  • GRE
  • DHCP / BOOTP / NetBIOS / DNS…
  • 通过nDPI支持250多种第7层应用协议
  • …还有很多
可扩展性
  • LUA脚本
  • Web界面扩展,而无需更改ntopng C ++引擎
附加功能
  • 通过nProbe支持sFlow,NetFlow(包括v5和v9)和IPFIX(支持从多个nProbes收集)
  • Internet域,AS(自治系统),VLAN(虚拟LAN)统计信息
  • nDPI支持的所有应用程序协议的协议解码器

可用版本

ntopng有四个版本,社区,专业,企业M,企业L。社区版本是免费使用的,并且是开源的(可以在Github上找到代码)。专业版和企业版提供了一些额外的功能,这些功能对于中小企业或大型组织特别有用。下表中突出显示了功能。

特征社区专业版企业M企业L
监控网络的活动流和主机(接口数)†881632
使用主动监控(ICMP、持续ICMP、HTTP/S、吞吐量、速度测试)监视远程主机
监视系统、运行ntopng的计算机、运行状况(CPU使用情况、RAM使用情况、磁盘空间使用情况,…)
识别网络中的应用程序协议(Facebook,Youtube,BitTorrent等)
记录和可视化主机的历史应用协议使用情况
按VLAN,操作系统,国家/地区和自治系统对主机进行分组
获取您与世界其他地方的网络通信的地理地图
发现连接到本地网络的设备(网络发现)
以分钟分辨率识别top talker(发送者和接收者)主机
可视化主机联系的top HTTP站点
将过期的流信息导出到MySQL,可能会使用nProbe数据进行扩充**
当检测到某些条件(阈值超标,可疑行为,…)时,生成警报(针对流,主机,接口,…)
在ntopng生成的GUI中的警报中导航以查找问题
通过电子邮件得到警报通知,Discord, Telegram, WebHook, Slack, Syslog消息或执行Shell脚本
拆分,合并和可视化基于VLAN的流量
从nProbe收集数据以将远程nProbe监视的接口和流导出器设备(例如路由器和交换机)视为本地接口
拆分,合并和可视化从nProbe收集的数据
将本地主机分组为IP地址和MAC地址的逻辑集,称为主机池††
在ntopng中添加/编辑应用协议(如果配置了协议文件),并编辑协议类别
实时查看top talker和应用协议,并将其与日常活动进行比较
在任何可配置的时间范围内,生成具有top主机,应用协议,国家,网络和自治系统的图形报告
使用用户定义的流量配置文件标记流量并对其进行历史化处理,以使用BPF语法匹配主机,端口和应用程序 ‡
使用自定义的按协议策略限制或阻止主机的流量*
将ntopng登录与LDAP身份验证服务器集成在一起*
发送警报Elasticsearch,MS team或Fail2Ban
能够访问其他ntopng检查(警报)
添加创建Network Matrix时间序列的可能性(提供了检查本地网络之间通信的可能性)
可视化和历史化其他ntopng数据(接口得分异常,Top Talkers,…)
查询SNMP设备数据,例如端口状态,流量和MAC地址信息
获取任何给定主机,网络或接口的总流量和活动报告
通过警报仪表板实时识别过去的攻击者和受害者
可视化主机池的历史应用协议使用情况
浏览和过滤过去的流量警报
可视化和历史化SNMP每设备端口流量
可视化和历史化NetFlow / sFlow设备数据
为客户端应用按协议的每日流量和时间配额*
高性能流导出到ClickHouse和浏览器(聚合数据浏览器和历史流浏览器)†††*
连续流量记录*
自定义界面分解†
监控其他ntopng实例(基础设施监控)
主机映射(查找主机异常值)
服务/周期地图
身份管理
能访问所有的ntopng check吗
本机ntap支持
包括连续记录许可证(n2disk 1Gbitbundle
包括流量收集许可证(nProbe Probundle
*功能在Windows上不可用
**功能在FreeBSD / OPNsense / pfsense上不可用
†我们建议每个ntopng实例最多监控8个接口。企业版本允许同时监视多达16个(Enterprise M)和32个(Enterprise L)网络接口,并且有足够的硬件,所有其他版本限制为8个不同的接口。无论ntopng的版本是什么,nIndex最多支持16个接口。
††企业版允许创建多达128个不同的主机池和无限数量的池成员。专业版和社区版允许创建最多3个不同的主机池,每个池最多8个成员。
‡企业版允许创建多达128个不同的流量配置文件。专业版允许创建多达16个流量配置文件。
†††Pro上最多保存3天数据,Enterprise上无限制保存时间
†††† 在这里你可以阅读更多关于企业L版捆绑软件的信息

所有版本都应该在“成熟的PC”(如x86机器)上使用。计划在嵌入式设备上安装ntopng的用户应考虑使用ARM可用的嵌入式软件包。

用例

监控物理接口

只需将物理NIC卡的接口名称指定为

ntopng -i eth0

流采集

流采集要求ntopng与nProbe结合使用,nProbe可以充当探测/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种允许ntopng与nProbe通信的发布-订阅协议。远程nProbe从NIC物理监视并将受监视的流发送到ntopng的环境可以部署为:
nprobe -i eth1 –zmq tcp://192.168.1.1:5556 -T @NTOPNG@
ntopng -i tcp://192.168.1.1:5556
在此配置中,ntopng能够在Intel Xeon E3-1230 v3 3 GHz上每秒处理超过100‘000个流量(注意:ntopng和nProbe运行在不同的主机上,在同一主机上运行可能会导致性能下降)。

许可证license

ntopng社区是在GNU GPLv3许可下分发的。专业版和企业版也受EULA条款的约束。
Enterprise L版本已经包括n2disk 1 Gbit(连续录制)和nProbe Pro(流采集)许可证。

得到它

如果您正在考虑获得许可证,请查看下载页面以获取安装说明以及联系我们购买。与所有其他ntop产品一样,ntopng许可证包括安装支持

屏幕截图