ntopng
ntopng是原始ntop的下一代版本,ntop是监视网络使用情况的网络流量探测器。ntopng基于libpcap,并且以可移植的方式编写,以便实际上可以在每个Unix平台,MacOSX和Windows上运行。
ntopng(是的,都是小写字母)提供了直观的,加密的Web用户界面,用于浏览实时和历史流量信息。
主要特点
根据多种标准对网络流量进行排序,包括IP地址、端口、L7协议、吞吐量、自治系统(AS)
显示实时网络流量和活动主机
针对多个网络指标生成长期报告,包括吞吐量和应用协议
顶级发言人(发送者/接收者),顶级自治系统,顶级L7应用
监视并报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重传,乱序数据包,数据包丢失)以及已传输的字节和数据包
将持久流量统计数据存储在磁盘上,以便将来进行探索和事后分析
在地理地图中对主机进行地理定位和叠加
利用nDPI和ntop深度数据包检测(DPI)技术发现应用程序协议(Facebook,YouTube,BitTorrent等)
通过利用Google和HTTP黑名单提供的特征化服务来表征HTTP流量
分析IP流量并根据源/目的对其进行分类
报告IP协议使用情况(按协议类型分类)
生成HTML5 / AJAX网络流量统计信息
完全支持IPv4和IPv6
完全的第2层支持(包括ARP统计信息)
GTP/GRE去隧道
支持MySQL,ElasticSearch和LogStash导出监控数据
交互式历史浏览的监控数据导出到MySQL
警报引擎以捕获异常和可疑主机
SNMP v1 / v2c支持和连续监控SNMP设备
身份管理,包括VPN用户与流量的关联
技术规格
可用版本
ntopng有四个版本,社区,专业,企业M,企业L。社区版本是免费使用的,并且是开源的(可以在Github上找到代码)。专业版和企业版提供了一些额外的功能,这些功能对于中小企业或大型组织特别有用。下表中突出显示了功能。
所有版本都应该在“成熟的PC”(如x86机器)上使用。计划在嵌入式设备上安装ntopng的用户应考虑使用ARM可用的嵌入式软件包。
用例
监控物理接口
只需将物理NIC卡的接口名称指定为
ntopng -i eth0
流采集
流采集要求ntopng与nProbe结合使用,nProbe可以充当探测/代理。nProbe和ntopng之间的通信通过ZeroMQ进行,ZeroMQ是一种允许ntopng与nProbe通信的发布-订阅协议。远程nProbe从NIC物理监视并将受监视的流发送到ntopng的环境可以部署为:
nprobe -i eth1 –zmq tcp://192.168.1.1:5556 -T @NTOPNG@
ntopng -i tcp://192.168.1.1:5556
在此配置中,ntopng能够在Intel Xeon E3-1230 v3 3 GHz上每秒处理超过100‘000个流量(注意:ntopng和nProbe运行在不同的主机上,在同一主机上运行可能会导致性能下降)。