pfSense ntopng插件的使用

ntopng是一款基于Web的高速流量分析和流量收集工具,ntopng是原始ntop的下一代版本,它是一个监视网络使用情况的网络流量探测器。 ntopng以libpcap为基础,可以在Unix、MacOSX、freeBSD、linux和Windows平台上运行。

ntopng –提供了直观的,并进行了加密的Web用户界面,用于实时查看和历史流量信息分析。

主要功能包括:

  • 根据多种标准(包括IP地址,端口,L7协议,吞吐量,自治系统(AS))对网络流量进行分类
  • 显示实时网络流量和活动主机
  • 可以为包括吞吐量和应用协议在内的多种网络指标生成长期报告
  • 监控和报告实时吞吐量,网络和应用程序延迟,往返时间(RTT),TCP统计信息(重新传输,无序数据包,丢包)以及传输的字节和数据包
  • 在磁盘上存储持续流量统计数据,以便将来进行探索和事后分析
  • 地理定位
  • 通过利用nDPI,ntop深度包检测(DPI)技术发现应用协议(Facebook,YouTube,BitTorrent等)
  • 通过利用GoogleHTTP黑名单提供的特征化服务来标识HTTP流量
  • 分析IP流量并根据源/目的地对其进行分类。
  • 报告按协议类型排序的IP协议使用情况
  • 生成HTML5 / AJAX网络流量统计信息
  • 全面支持IPv4和IPv6
  • 全面的第二层支持(包括ARP统计)
  • 支持GTP/GRE协议
  • 支持监控数据的MySQL,ElasticSearch和LogStash导出
  • 监控数据导出到MySQL的交互式历史探索
  • 警报引擎可以捕获异常和可疑的主机
  • 提供对SNMP v1 / v2c的支持并可以持续监视SNMP设备

28.png

平台
  • Unix (包含 Linux, *BSD, 和 MacOSX)
  • Windows x64 (包含 Windows 10)
  • ARM
Web GUI
  • 可通过任何支持HTML5的网页浏览器进行浏览
  • 支持SSL/HTTPS
运行要求
  • 内存用量
    这取决于ntop配置、主机数量和活动的TCP会话数量。通常情况下,广域网的范围从几MB(小局域网)到100 MB。
  • CPU负载
    这取决于ntop配置和流量状况。在当前PC和大型局域网上,它不到整个CPU负载的10%。
协议
  • IPv4/IPv6
  • TCP/UDP/ICMP
  • GRE
  • DHCP/BOOTP/NetBIOS/DNS…
  • 250多种nDPI支持的Layer-7应用协议
  • ……
扩展性
  • LUA 脚本
  • Web界面扩展,不必更改ntopng C ++引擎。
其他功能
  • sFlow,NetFlow(包括v5和v9)以及通过nProbe支持IPFIX(支持从多个nProbe收集)
  • Internet域,AS(自治系统),VLAN(虚拟LAN)统计信息。
  • 协议解码器,用于nDPI支持的所有应用协议。

版本区分

ntopng有三个版本,社区、专业和企业版。 社区版本可以免费使用,并有开源版本提供(代码可以在Github上找到)。 专业版和企业版提供了一些针对中小企业或大型组织特别有用的的功能。

在pfSense插件中集成的是社区版本。社区版本主要少了限流及一些高级分析功能,常用功能也基本具备,一般用户使用没问题。

下面以pfSense4.2p1中集成的ntopng3.0.2017.08.12版本为例来介绍ntopng的安装、配置和使用方法。

  • ntopng安装
  • ntopng配置
  • ntopng登录
  • ntopng简介

ntopng安装

  • 进入pfSense的 WEB GUI界面
  • 导航到系统>插件管理>可用插件
  • 找到ntopng插件,点右侧的安装图标进行安装
  • 等待插件安装完成

安装完成以后,在系统诊断菜单下方会出现ntopng和ntopng settings两个子菜单

ntopng配置

  • 导航到系统诊断>ntopng settings,常规设置选项卡
  • 按下图进行设置(为描述方便,使用本人汉化的版本,更方便理解)
  • 接口根据需要进行选择,一般只选内网接口
  • 配置完成,保存设置

1.png

ntopng登录

  • 点击右则访问ntopng或导航到系统诊断>ntopng菜单
  • 进入ntopng登录页面
  • 输入默认用户名admin,输入在常规设置页面配置的密码
  • 登录ntopng,

2.png

ntopng的默认访问端口为3000,如果要通过外网进行访问,必须在WAN接口上开放3000端口。

ntopng简介

进入ntopng以后,首先显示仪表大厅,这里包含了一些基本会话信息。根据不同的分类,分别显示不同的信息。

1、仪表盘

1.png

2、关于ntopng

2.png

3、运行状态

3.png

4、警报

4.png

5、活动连接

这里可以看到每个IP的实时速率。

5.png

6、 主机信息

6.png

7、网络

7.png

8、主机池

8.png

9、独立系统

9.png

10、主机按国别分类

10.png

11、主机按操作系统分类

11.png

12、本地主机实时下载量

12.png

13、HTTP服务器

13.png

14、本地主机列表

14.png

15、主机树地图

15.png

16、本地主机矩阵图

16.png

17、Geo地图

25.png

18、2层设备

18.png

19、接口信息

19.png

20、接口信息累计协议统计

20.png

22、用户管理

这里可以修改用户密码,也可以添加新用户,并赋予用户不同的管理权限。

21.png

22.png

23、ntopng参数设置

23.png

24、导出数据

24.png

此条目发表在pfSense分类目录。将固定链接加入收藏夹。