Monitorando redes utilizando Ntop

O NTOP (Network Top) é um programa capaz de monitorar passivamente uma rede, coletando dados sobre protocolos e hosts.

Por Guilherme S ZANONI em 03/03/2008

Hits: 246.325 Categoria: Linux Subcategoria: Segurança

Considerações inicias

A maioria dos administradores de redes de pequeno e médio porte desconhece softwares que auxiliam nessas tarefas. Um deles é o Ntop, software open-source de fácil instalação e interpretação.

Ao final deste artigo você será capaz de:

Instalar e configurar o Ntop
Acessar via browser os relatórios

Utilizaremos duas ferramentas de instalações. A primeira é a urpmi, utilizada em algumas distribuições como a Mandriva etc. A segunda é o APT-GET, utilizado em outras distribuições como Ubuntu etc.

Este artigo é original do livro Mandriva / Cap 6 e adaptado por Guilherme S Zanoni.

Para saber mais:

Network Top - Ntop
http://www.ntop.org/

Ntop e suas funcionalidades

O Ntop é um programa que monitora passivamente uma rede, coletando dados sobre os protocolos e sobre os hosts da rede.

Características e funcionalidades:

Analisa os pacotes que trafegam na rede;
Lista e ordena o tráfego de rede de acordo com vários protocolos;
Exibe estatísticas de tráfego;
Armazena estatísticas de forma permanentemente em bancos de dados;
Identifica passivamente várias informações obre os hosts da rede, incluindo o sistema operacional executado e endereço de e-mail do usuário da estação;
Exibe a distribuição do tráfego IP entre vários protocolos da camada de aplicação;
Decodifica vários protocolos da camada de aplicação, inclusive os encontrados em softwares do tipo P2P;
Atua como coletor de fluxos gerados por roteadores e switches através da tecnologia NETFLOW;
Possui um WebServer integrado que permite consultas às informações através de um browser.

Páginas do artigo

   1. Considerações inicias
   2. Instalação do Ntop
   3. Primeira execução do Ntop
   4. Parâmetros adicionais
   5. Usando o Ntop
   6. Dicas e considerações finais

Outros artigos deste autor

Nenhum artigo encontrado.

Leitura recomendada

Entendendo SQL Injection

Instalar o Nagios 4 no Ubuntu ou Debian

Portal de autenticação wireless (HotSpot)

Squid 3 - Instalação no Debian/Ubuntu

Iptraf Sniffer - noções básicas

Comentários

#1 Comentário enviado por y2h4ck em 03/03/2008 - 13:31h

Só para complementar o artigo do nosso amigo ai acima, não ele falando sobre porém isto é fundamental para o bom funcionamento da solução.

Para que o ntop realmente gere um relatório fiel é imprescindivel que seja criada uma porta SPAN Mirror no Switch principal da rede, jogando todo o trafego na interface do NTOP. Só assim para ele realmente saber tudo que passa :)

[]s

#2 Comentário enviado por lipecys em 03/03/2008 - 14:03h

Ainda não tinha ouvido falar sobre este programa, assim que puder irei testá-lo, muito bacana.

#3 Comentário enviado por gzanoni em 04/03/2008 - 10:15h

Perfeito y2h4ck, muito obrigado pela contribuição.

Abraços a todos!

#4 Comentário enviado por rogerio em 04/03/2008 - 11:53h

Tenho uma rede com muitos roteadores e preciso ver o que passa nas outras redes, então coloquei todas as vlans na interface do servidor pra receber tudo, porém eu não consegui fazer com que ele entenda isso. Como faço ou ele leva um tempo até fazer isso?

Abraços

#5 Comentário enviado por gzanoni em 04/03/2008 - 13:26h

Amigo, não sei se o Ntop seria a melhor ferramenta para esse tipo de "Management" você tem roteadores provavelemten CISCO, NORTEL, IBM enfim, o que acha do HP Open View, CiscoWorks... acredito que SNMP e essas ferramentas podem ser mais útil para redes de maior tamanho.

#6 Comentário enviado por JhoniVieceli em 04/03/2008 - 13:33h

Parabéns pela matéria muito bem escrita!

#7 Comentário enviado por rogerio em 04/03/2008 - 16:12h

Essas ferramentas realmente são melhores, porém eu gostaria de usar no lugar no sflow convencional, e para analise de trafego de alguns links.
Tem algum outro que pode ser usado?

#8 Comentário enviado por gzanoni em 04/03/2008 - 18:00h

Ao Rogério

Procure saber sobre o NAGIOS

www.nagios.org

Abraços

#9 Comentário enviado por brunocontin em 12/05/2008 - 17:15h

Amigo ótimo artigo, só que esse arquivo /etc/sysconfig/ntop não existe, eu to usando o Ubuntu, ele pode estar em outro lugar? Pois eu quero colocar as duas placas de rede para serem analizados.

#10 Comentário enviado por silent-man em 21/05/2008 - 09:03h

BrunoContin

Verifique em /var/lib/ntop/init.cfg
lá terá a eth0. Adicione as outras placas que deseja monitorar.

[]s

#11 Comentário enviado por reinaldodf em 22/09/2008 - 11:42h

Quero utilizar o ntop apenas como coletor de fluxo, mas não encontro o arquivo /etc/sysconfig/ntop no ubuntu

#12 Comentário enviado por mbtec em 06/11/2008 - 15:51h

Olá, parabéns pela matéria.

Após digitar "ntop" aparece a seguinte mensagem:

[root@roteador sysconfig]# ntop
Thu Nov 6 15:43:04 2008 Initializing gdbm databases
Thu Nov 6 15:43:04 2008 ntop will be started as user nobody
Thu Nov 6 15:43:04 2008 ntop v.3.1 MT (SSL)
Thu Nov 6 15:43:04 2008 Configured on Jul 13 2005 20:17:00, built on Jul 13 2005 20:17:58.
Thu Nov 6 15:43:04 2008 Copyright 1998-2004 by Luca Deri <deri@ntop.org>
Thu Nov 6 15:43:04 2008 Get the freshest ntop from http://www.ntop.org/
Thu Nov 6 15:43:04 2008 Initializing ntop
Thu Nov 6 15:43:04 2008 Checking eth0 for additional devices
Thu Nov 6 15:43:04 2008 Resetting traffic statistics for device eth0
Thu Nov 6 15:43:04 2008 DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Falha de segmentação (core dumped)
[root@roteador sysconfig]#

Assim o serviço não start. Podem me auxiliar?
Estou com mandriva2006.

Obrigado.

#13 Comentário enviado por ailonj em 04/12/2010 - 11:47h

Obrigado Guilherme, seu tutorial ajudou-me bastante...só quem bate muito a cabeça instalando softwares,correndo atrás de informação errando e começando tudo de novo sabe a felicidade que é quando tudo funciona.As dúvidas e todos os comentários foram muito valiosos.
Valeu Pessoal!!!

#14 Comentário enviado por gregh em 30/11/2011 - 09:40h

Na hora da criacao da senha, deu erro:
Wed Nov 30 08:39:23 2011 NOTE: Interface merge enabled by default
Wed Nov 30 08:39:23 2011 Initializing gdbm databases
Wed Nov 30 08:39:23 2011 Setting administrator password...
Wed Nov 30 08:39:23 2011 Admin password set...

Qual login e senha? :/

#15 Comentário enviado por gregh em 30/11/2011 - 09:40h

#16 Comentário enviado por marcosabadi em 14/05/2012 - 14:48h

Olá amigo,
aqui voce diz que:
* Armazena estatísticas de forma permanentemente em bancos de dados;

Como faço para ativar essa funcionalidade?

#17 Comentário enviado por afdominguez em 15/05/2012 - 18:12h

Boa tarde a todos.

Possuo uma maquina com o ubunto e o squid rodando nela com o sarg para gerar os relatorios.
Achei que o sarg gera os relatorios mas gera muita coisa inutil no meio do srelatorios, gostaria de analisar o trafego
por portas, entao fiquei sabendo o NTOP faz este trabalho.
Instalei ele e achei bastante interessante sua interface, mas tambem nao achei oque queria, provavelmente por nao
saber configurar, entao ai vai minha duvida.

como devo fazer para ele monitorar o acesso a rede e me mostrar os graficos com os ips das maquinas que possuo na minha rede.
por exemplo a maquina de ip 10.15.84.100 gerou trafego nas portas tal tal e tal.

isso é possivel?

#18 Comentário enviado por rodolfo9292 em 29/06/2012 - 18:04h

Boa noite pessoal,

Preciso instalar o Ntop no Scientific Linux porem quando executo o yum search ntop não vem nenhum arquivo pra download, pesquisei no rpmsearch e quando vou instalar aparece a mensagem que precisa de alguns pacotes, direto no site do Ntop tambem não consegui instalar o arquivo.

Instalei o Scientific completo, no fedora e no ubunto esse problema de pacote não aparece, se vcs puderem dar uma força, agradeceria muito.

#19 Comentário enviado por networkclcc em 27/09/2012 - 10:29h

Otimo artigo recomendo o uso do Ntop para
monitoramento .

#20 Comentário enviado por Rnavero em 28/05/2013 - 17:18h

Boa Tarde,
Instalei o Ntop no Suse 11, porem estou me deparando com problema. Cadastro um equipamento sem problemas, porem ao efetuar a coleta do Flow ele mostra a informação abaixo sempre sinalizado por uma bandeira amarela, já fiz tudo que sabia , mas sem sucesso. Alguem poderia me informar o por que acontece isso.
1-Medium RiskUnexpected packets (e.g. traffic to closed port or connection reset):

Rodolfo Navero