ntopng
基于Web的高速流量分析和流量收集工具
ntopng是原始ntop的下一代版本,它是一个监视网络使用情况的网络流量探测器。 ntopng以libpcap为基础,可以在Unix、MacOSX、freeBSD、linux和Windows平台上运行。
ntopng –提供了直观的,并进行了加密的Web用户界面,用于实时查看和历史流量信息分析。
主要功能包括:
根据多种标准(包括IP地址,端口,L7协议,吞吐量,自治系统(AS))对网络流量进行分类
显示实时网络流量和活动主机
可以为包括吞吐量和应用协议在内的多种网络指标生成长期报告
监控和报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重新传输,无序数据包,丢包)以及传输的字节和数据包
在磁盘上存储持续流量统计数据,以便将来进行探索和事后分析
地理定位
通过利用nDPI,ntop深度包检测(DPI)技术发现应用协议(Facebook,YouTube,BitTorrent等)
分析IP流量并根据源/目的地对其进行分类。
报告按协议类型排序的IP协议使用情况
生成HTML5 / AJAX网络流量统计信息
全面支持IPv4和IPv6
全面的第二层支持(包括ARP统计)
支持GTP/GRE协议
支持监控数据的MySQL,ElasticSearch和LogStash导出
监控数据导出到MySQL的交互式历史探索
警报引擎可以捕获异常和可疑的主机
提供对SNMP v1 / v2c的支持并可以持续监视SNMP设备
| 平台 |
|
|
|---|---|---|
| Web GUI |
|
|
| 运行要求 |
|
|
| 协议 |
|
|
| 扩展性 |
|
|
| 其他功能 |
|
|
版本区分
ntopng有三个版本,社区、专业和企业版。 社区版本可以免费使用,并有开源版本提供(代码可以在Github上找到)。 专业版和企业版提供了一些针对中小企业或大型组织特别有用的的功能。
在pfSense插件中集成的是社区版本。社区版本主要少了限流及一些高级分析功能,常用功能也基本具备,一般用户使用没问题。
下面以pfSense4.2p1中集成的ntopng3.0.2017.08.12版本为例来介绍ntopng的安装、配置和使用方法。
ntopng安装
ntopng配置
ntopng登录
ntopng简介
ntopng安装
进入pfSense的 WEB GUI界面
导航到系统>插件管理>可用插件
找到ntopng插件,点右侧的安装图标进行安装
等待插件安装完成
安装完成以后,在系统诊断菜单下方会出现ntopng和ntopng settings两个子菜单
ntopng配置
导航到系统诊断>ntopng settings,常规设置选项卡
按下图进行设置(为描述方便,使用本人汉化的版本,更方便理解)
接口根据需要进行选择,一般只选内网接口
配置完成,保存设置
ntopng登录
点击右则访问ntopng或导航到系统诊断>ntopng菜单
进入ntopng登录页面
输入默认用户名admin,输入在常规设置页面配置的密码
登录ntopng,
ntopng的默认访问端口为3000,如果要通过外网进行访问,必须在WAN接口上开放3000端口。
ntopng简介
进入ntopng以后,首先显示仪表大厅,这里包含了一些基本会话信息。根据不同的分类,分别显示不同的信息。
1、仪表盘
2、关于ntopng
3、运行状态
4、警报
5、活动连接
这里可以看到每个IP的实时速率。
6、 主机信息
7、网络
8、主机池
9、独立系统
10、主机按国别分类
11、主机按操作系统分类
12、本地主机实时下载量
13、HTTP服务器
14、本地主机列表
15、主机树地图
16、本地主机矩阵图
17、Geo地图
18、2层设备
19、接口信息
20、接口信息累计协议统计
22、用户管理
这里可以修改用户密码,也可以添加新用户,并赋予用户不同的管理权限。
23、ntopng参数设置
24、导出数据
