ntopng

基于Web的高速流量分析和流收集

ntopng是一个网络流量探针,提供360°网络可视性,它能够从流量镜像、Netflow导出设备、SNMP设备、防火墙日志、入侵检测系统收集流量信息。

ntopng是以一种可移植的方式编写的,以便几乎可以在所有Unix平台上运行,包括Linux和FreeBSD,MacOS和Windows上。Ntopng使用libpcappf_ring(在Linux上)捕获来自SPAN/镜像端口或分路设备的流量,以获得最佳性能。或者你可以把它和nProbe结合使用,从路由器和交换机收集NetFlow/Flow,或者用nProbe Cento来分析全速率的100Gbit链接。

ntopng – 是的,都是小写字母 – 提供一个直观的、加密的网络用户界面,用于探索实时和历史流量信息。

主要特点

  • 根据多种标准对网络流量进行分类,包括IP地址、端口、L7应用协议、吞吐量、自治系统(AS)
  • 显示实时网络流量和活动主机
  • 为包括吞吐量和L7应用协议在内的多个网络指标生成长期报告
  • top talker(发送者/接收者),top ADs,top L7应用
  • 监控和报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,丢失的数据包)以及已传输的字节和数据包
  • 将持久流量统计数据存储在磁盘上,以便将来进行探索和回溯分析
  • 在地理地图中对主机进行地理定位和overlay
  • 利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(QQ,微信,微博等)
  • 分析IP流量并根据源/目的对其进行分类排序
  • 报告IP协议使用情况(按协议类型分类)
  • 生成HTML5 / AJAX网络流量统计信息
  • 完全支持IPv4和IPv6
  • 完全的第2层支持(包括ARP统计信息)
  • GTP/GRE去隧道
  • 支持ClickhouseMySQLElasticSearch导出监控数据
  • 对导出到ClickHouse的监控数据进行交互式历史浏览
  • 灵活的警报处理
  • 支持SNMPv1/v2c/v3并持续监控SNMP设备
  • 身份管理,包括VPN用户与流量的关联
  • 重点关注流量可见性和网络安全
  • 行为流量分析,例如横向移动和定期流量检测
  • REST API,方便与第三方的集成
  • 本机nTap支持从云、虚拟机、容器和物理主机收集流量

技术规格

平台
  • Linux
  • FreeBSD/OPNsense/pfSense
  • Windows x64 (包括最新保本的Windows 10)
  • MacOS
  • RaspbianOS
Web GUI
  • 可通过任何支持HTML5的网络浏览器使用
  • SSL / HTTPS支持
要求
协议
  • Ethernet
  • IPv4 / IPv6
  • TCP / UDP / ICMP
  • GRE
  • DHCP / BOOTP / NetBIOS / DNS…
  • 通过nDPI支持250多种第7层应用协议
  • …还有很多
可扩展性
  • LUA脚本
  • Web界面扩展,而无需更改ntopng C ++引擎
附加功能
  • 通过nProbe支持sFlow,NetFlow(包括v5和v9)和IPFIX(支持从多个nProbes收集)
  • Internet域,AS(自治系统),VLAN(虚拟LAN)统计信息
  • nDPI支持的所有应用程序协议的协议解码器

可用版本

ntopng有三个版本,社区,专业,企业M/L/XL。社区版本是免费使用的,并且是开源的(可以在Github上找到代码)。专业版和企业版提供了一些对中小企业或大型组织特别有用的额外功能。下表中突出显示了功能。

特征社区专业企业
   MLXL
监控网络的活动流和主机(接口数量)†88163264
使用主动监控(ICMP、连续 ICMP、HTTP/S、吞吐量、SpeedTest)监控远程主机
监控系统、运行 ntopng 的计算机、运行状况(CPU 使用率、RAM 使用率、使用的磁盘空间等)
识别网络中的应用协议(QQ,微信,微博等)
记录和可视化主机的历史应用协议使用情况
按 VLAN、操作系统、国家/地区和自治系统对主机进行分组
获取您与世界其他地区的网络通信的地理地图
发现连接到本地网络的设备(网络发现)
以分钟分辨率识别top talker(发送方和接收方)主机
可视化一个主机联系的top HTTP 站点
将过期的流信息导出到 MySQL,可能会使用 nProbe 数据进行扩充**
在检测到某些条件(超过阈值、可疑行为等)时生成警报(针对流、主机、接口等)
从 GUI 中浏览由 ntopng 生成的警报以查找问题
通过电子邮件,Discord,Telegram,WebHook,Slack,Syslog消息或执行Shell脚本获取警报通知
拆分、合并和可视化基于 VLAN 的流量
从 nProbe 收集数据,将远程 nProbe 监控的接口和流导出器设备(例如路由器和交换机)视为本地接口
拆分、合并和可视化从 nProbe 收集的数据
将本地主机分组到 IP 和 MAC 地址的逻辑集中,称为主机池††
添加/编辑应用程序协议到 ntopng(如果配置了协议文件)并编辑协议类别
实时查看top talker和应用协议,并将其与日常活动进行比较
在任何可配置的时间范围内生成包含top主机、应用协议、国家/地区、网络和自治系统的图形报告
使用用户定义的流量配置文件标记流量并对其进行历史记录,以使用BPF语法(配置文件数量)匹配主机、端口和应用程序16128128128
使用定制的每应用程序策略限制或阻止主机的流量*
将 ntopng 登录与 LDAP 身份验证服务器集成 *
向 ElasticsearchMS Teams 或 Fail2Ban 发送警报
有权访问其他 ntopng 检查(警报)
添加创建网络矩阵时间序列的可能性(可以检查本地网络之间的流量)
可视化和历史化其他 ntopng 数据(接口分数异常、top talker,…)
查询 SNMP 设备数据,例如端口状态、流量和 MAC 地址信息
获取任何给定主机、网络或接口的总流量和活动报告
通过实时和过去的警报仪表板识别攻击者和受害者
可视化主机池的历史应用程序协议使用情况
浏览和筛选过去的流警报
当出现 SNMP 意外行为时触发警报
有权访问其他 ntopng 检查(警报,例如 SNMP 警报)
可视化和历史化每个设备端口的 SNMP 流量
可视化和历史化 NetFlow/sFlow 设备数据
对您的客户端应用每个协议的每日流量和时间配额*
高性能流导出到 ClickHouse 和资源管理器(聚合数据资源管理器和历史流资源管理器) ††† *
连续流量记录 *
自定义接口分解†
监控其他 ntopng 实例(基础设施监控)
主机地图(查找主机异常值)
NetFlow输出设备和端口监控(输出设备数量)2562561024
服务/周期地图
使用防火墙和活动目录进行身份管理
有权访问所有行为检查
原生 nTap 支持
Kafka支持
包括连续记录许可证(n2disk 1Gbit)†††† **bundle
包括流采集许可证 (nProbe Pro)††††bundle

* 该功能在 Windows上不可用

** 该功能在 FreeBSD / OPNsense / pfsense上不可用

† 在足够的硬件上 (根据系统资源,实际限制可能更低)。

†† 企业版允许创建多达 128 个不同的主机池,池成员数量不受限制。专业版和社区版允许创建最多 3 个不同的主机池,每个池最多 8 个成员。

††† Pro 最多保留 3 天,企业无限制保留

††††这里你可以阅读更多关于企业L bundle版的软件。

 

所有版本都旨在用于“成熟的PC”,例如x86机器。计划在 Raspberry 设备上安装 ntopng 的用户应考虑使用可用于ARM的RaspberryOS软件包。

用例

监控物理接口

只需将物理NIC卡的接口名称指定为

ntopng -i eth0

流采集

流采集要求ntopng与nProbe结合使用,nProbe可以充当探测/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种允许ntopng与nProbe通信的发布-订阅协议。远程nProbe从NIC物理监视并将受监视的流发送到ntopng的环境可以部署为:
nprobe -i eth1 –zmq tcp://192.168.1.1:5556 -T @NTOPNG@
ntopng -i tcp://192.168.1.1:5556
在此配置中,ntopng能够在Intel Xeon E3-1230 v3 3 GHz上每秒处理超过100‘000个流量(注意:ntopng和nProbe运行在不同的主机上,在同一主机上运行可能会导致性能下降)。

许可证license

ntopng社区是在GNU GPLv3许可下分发的。专业版和企业版也受EULA条款的约束。
Enterprise L版本已经包括n2disk 1 Gbit(连续录制)和nProbe Pro(流采集)许可证。

屏幕截图

高效监控网络流量