前言
Ntop是一個基於libpcap開發的流量分析和flow收集系統,遵守GPLv3。版本分爲pro與community版本,其中community爲免費版,它的功能如下:
.根據網絡流量的使用狀況來排序協議。
.查看網絡流量和IPv4/v6的活動主機。
.數據以RRD格式存儲在磁盤並可持續流量統計。
.通過利用由谷歌和HTTP Blacklist提供黑名單服務的分析HTTP流量。
.顯示各種協議的IP流量分佈。
.分析IP流量並按照源/目的排序。
.顯示IP子網流量矩陣
.報告IP協議使用排序按協議類型。
.生成HTML5/AJAX網絡流量統計報告。
我們主要使用ISO 多層協議分析與sflow功能。
1.版本信息
plat | info |
centos | 6.4 |
Ntopng&nprobe | 2.0 |
2.部署信息
2.1 查看系統信息
[root@ntopng~]# lsb_release -a
LSB Version: :base-4.0-amd64:base-4.0-noarch:core-4.0-amd64:core-4.0-noarch:graphics-4.0-amd64:graphics-4.0-noarch:printing-4.0-amd64:printing-4.0-noarch
Distributor ID: CentOS
Description: CentOS release 6.4 (Final)
Release: 6.4
Codename: Final
2.2 安裝epel擴展庫
[root@ntopng ~]# mkdir code
[root@ntopng ~]# cd code/
[root@ntopng code]# wgethttp://mirrors.opencas.cn/epel//6/x86_64/epel-release-6-8.noarch.rpm
[root@ntopng code]# rpm -ivh epel-release-6-8.noarch.rpm
warning: epel-release-6-8.noarch.rpm:Header V3 DSA signature: NOKEY, key ID 217521f6
Preparing... ########################################### [100%]
1:epel-release ########################################### [100%]
[root@ntopng code]#yum --disablerepo=epel–y update ca–certificates
[root@ntopng src]# yum list
[root@ntopng ~]# yum install -y ntp
[root@ntopng ~]# ntpdate time.windows.com
13 Jul 12:01:32 ntpdate[2148]: step timeserver 104.41.150.68 offset 104.068333 sec
[root@ntopng ~]# hwclock –w
2.3 安裝ntopng的依賴包
[root@ntopng ~]# yum install -y GeoIP-devel GeoIP redis
[root@ntopng ~]# yum install -ylibpcap-devel glib2-devel glibc libxml2-devel redis autoconf automake sqlite-devel numactl
[root@ntopng ~]# yum install -y rrdtool* gcc gcc-c++
[root@ntopng ~]# service redis start
Starting redis-server: [確定]
2.4安裝ntopng
自動安裝
This directory contains nightly builds (SVNcode) of 64 bit binary packages for RedHat/CentOS (latest OS version). Pleaseuse rpm-stable.ntop.org for stable builds.
In order to use the repository you need tocreate a file named /etc/yum.repos.d/ntop.repo containing
# cat /etc/yum.repos.d/ntop.repo
[ntop]
name=ntop packages
baseurl=http://www.nmon.net/centos/$releasever/$basearch/
enabled=1
gpgcheck=1
gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri
[ntop-noarch]
name=ntop packages
baseurl=http://www.nmon.net/centos/$releasever/noarch/
enabled=1
gpgcheck=1
gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri
and also install the/etc/yum.repos.d/epel.repo extra repositories
# cat /etc/yum.repos.d/epel.repo
[epel]
name=Extra Packages for Enterprise Linux X- $basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-X&arch=$basearch
failovermethod=priority
enabled=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-X
Note: replace X with 6 (for CentOS 6) or 7(for CentOS 7) then do:
yum clean all
yum update
yum install pfring n2disk nprobe ntopngntopng-data nbox
手工安裝
離線安裝:
RPM格式
網站:http://www.nmon.net/packages/rpm/x86_64/
wget http://www.nmon.net/packages/Packages/ntopng-2.0.150630-216.x86_64.rpm
wget http://www.nmon.net/packages/Packages/ntopng-data-2.0.150630-216.noarch.rpm
源代碼格式:
網站:http://sourceforge.net/projects/ntop/files/ntopng/
tar -zxvf ntopng-2.0.tar.gz
在線安裝:使用流行的github.com作爲源
nDPI
git clone https://github.com/ntop/nDPI.git
cd nDPI
./configure –with-pic
make
git clonehttps://github.com/ntop/ntopng.git
cd ntopng
./autogen.sh
./configure
make
make install
-------------------
2.5 ntopng 配置詳解
需要添加配置文件
[root@ntopng]#mkdir –p /etc/ntopng/
[root@ntopng]#vi /etc/ntopng/ntopng.conf
ntopng.conf是ntopng啓動時需要的配置文件。下面我們來查看一下具體文件,
[root@ntopng ntopng]# vi ntopng.conf
-G=/var/tmp/ntopng.gid #-G指定運行所用進程號文件。
--local-networks 192.168.60.0/22 #--local-network指定本地子網段
--interface eth0 #--interface 0 指定監聽eth0網卡上的流量
--user nobody #匿名登陸,可選
--http-port 8000 #指定web服務端口,如果不指定默認爲3000
2.6啓動ntopng服務
在運行ntopng之前,要確認先啓動redis服務,redis爲ntopng提供鍵值存儲。我們這邊重新啓動一下redis服務。
[root@ntopng ntopng]# service redis restart
Stopping redis-server: [確定]
Starting redis-server: [確定]
[root@ntopng ntopng]# /usr/local/bin/ntopng /etc/ntopng/ntopng.conf
[root@ntopng ntopng]# netstat -ntulp
Active Internet connections (onlyservers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 127.0.0.1:6379 0.0.0.0:* LISTEN 2069/redis-server
tcp 0 0 0.0.0.0:779 0.0.0.0:* LISTEN 2717/rpc.statd
tcp 0 0 0.0.0.0:111 0.0.0.0:* LISTEN 2674/portmap
tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 3013/sshd
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN 3026/cupsd
tcp 0 0 0.0.0.0:8000 0.0.0.0:* LISTEN 3084/ntopng
tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 3051/sendmail
tcp 0 0 :::22 :::* LISTEN 3013/sshd
2.7.正常訪問
(1).http://192.168.60.4:8000,默認的用戶名和密碼是admin。
現在爲普通流量監控模式,將需要的監控的端口鏡像給ntopng。
2.7.1 活動的流
BOGON,表示不應該出現在公共網絡中的私有IP資源,特指10.0.0.0/8、172.16-31.0.0/16、192.168.0.0/24
其實我們可以檢測到所有網內主機的通信流,使用的IP地址,對端IP,端口號,協議,持續時間,速率等。
2.7.2 檢測到的主機
2.7.3 自治系統
網絡中IP地址涉及到的Internet AS區域,依據NTOP檢測到的ip匹配GeoIP離線數據庫的結果。
2.7.4 主機國別歸屬
2.7.5 網內主機關聯圖
2.7.6 主機相關信息
2.7.7協議分析狀態
3.配置sflow
DataCollector (ntopng)
ntopng -i tcp://127.0.0.1:5556
Probe (nProbe)
nprobe--zmq "tcp://*:5556" -i eth1 -n none (probe mode)
nprobe--zmq "tcp://*:5556" -i none -n none --collector-port 2055(sFlow/NetFlow collector mode)
[root@ntopng ntopng]# ntopng -i tcp://127.0.0.1:5556 -d /var/tmp -w 8000
[root@ntopng nprobe]# nprobe --collector-port 6343 --zmq tcp://127.0.0.1:5556
Cisco device:
(config)#sflow enable
(config)#sflow destination 192.168.6.106343
(config)#sflow polling-interval 1
(config)#sflow sample 10240
(config)#interface ethernet 1/6
(config-if-e1000-1/6)#sflow forwarding
H3C device:
<Device> system-view
[Device] interface vlan-interface 1
[Device-Vlan-interface1] ip address 192.168.6.254 24
[Device-Vlan-interface1] quit
[Device] sflow agent ip 192.168.6.254
[Device] sflow collector ip 192.168.6.10 port 6343
[Device] sflow interval 30
[Device] interface gigabitethernet2/0/1
[Device-GigabitEthernet2/0/1] sflow enable inbound
[Device-GigabitEthernet2/0/1] sflow enable outbound
[Device-GigabitEthernet2/0/1] sflow sampling-rate 100000
[Device-GigabitEthernet2/0/1] sflow sampling-mode random
[Device-GigabitEthernet2/0/1] display sflow
sFlow Version: 5
sFlow Global Information:
Agent IP:192.168.6.254
Collector IP:192.168.6.10 Port:6343
Interval(s): 30
sFlow Port Information:
Interface Direction Rate Mode Status
GE2/0/1 In/Out 100000 Random Active
以上爲NTOP的普通模式與使用sflow分析網絡的部署全過程,希望對需要的friends有所幫助。
sflow對於網絡分析是非常重要的技術之一。