Ntop
Upcoming SlideShare
Loading in...5
×

Like this? Share it with your network

Share

Ntop

  • 2,643 views
Uploaded on

ntop

ntop

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
2,643
On Slideshare
2,643
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
89
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. FACULDADE SUMARÉSUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES Trabalho sobre NTOP Francisco Aldevan Barbosa Costa – RA 1011354 São Paulo/SP
  • 2. Índice Introdução .................................................................................................................................... 3 Funcionalidades ........................................................................................................................... 3 Protocolos .................................................................................................................................... 4 Parâmetros ................................................................................................................................... 4 Instalação do Ntop ....................................................................................................................... 6 Executando o Ntop ...................................................................................................................... 8 Desempenho ................................................................................................................................ 8 Medidas de tráfego ...................................................................................................................... 9 Monitorando o tráfego ............................................................................................................... 13
  • 3. Introdução Ntop é uma ferramenta de monitoramento e gerência de rede para sistemas UNIX/Linux eWin32, e teve seu desenvolvimento e estudo na "University of Pisa", na Itália. Seus variadosrecursos são similares ao TOP dos sistemas UNIX, que permitem ao usuário visualizar através degráficos e de forma bem detalhada, todas as requisições a internet, podendo haver restriçõesimpostas pelo gerente, qual a banda consumida, quais endereços das máquinas, reports(avisos) defalhas entre muitos outros. O Ntop é um programa que monitora passivamente uma rede,coletando dados sobre os protocolos e sobre os hosts da rede.FuncionalidadesTem como característica e funcionalidade:Analisar os pacotes que trafegam na rede, listar e ordenar o tráfego de rede de acordo com váriosprotocolos, exibir estatísticas de tráfego, armazenar estatísticas de forma permanentemente embancos de dados, identificar passivamente várias informações sobre os hosts da rede, incluindo osistema operacional executado e endereço de e-mail do usuário da estação, exibir a distribuiçãodo tráfego IP entre vários protocolos da camada de aplicação, decodificar vários protocolos dacamada de aplicação e inclusive os encontrados em softwares do tipo P2P atuar como coletor defluxos gerados por roteadores e switches através da tecnologia NETFLOW;Tendo sua interface em Web. Uma característica boa dessa ferramenta é que pode ser acessadausando um browser web para gerenciar e visualizar as informações geradas pelo NTop paramelhor entender o status da rede. 3
  • 4. Protocolos O NTop monitora e gera relatórios sobre o tráfego e suporte dos hosts por estesprotocolos:TCP/UDP/ICMP;(R)ARP;IPX;DLC;Decnet;AppleTalk;Netbios;TCP/UDP.Parâmetros-AAltera a senha do administrador. Detalhe o Ntop não verifica a senha de administrador que eraválida, ele apenas pergunta a nova, o que pode dar brechas a "pessoas mal intencionadas"mudarem a senha.-a <nome do arquivo>Grava no arquivo indicado os logs das requisições feitas ao "servidor web" do Ntop. Você poderáver o IP de quem fez a requisição, o que foi requisitado, quanto tempo o servidor demorou pararesponder, qual usuário fez a requisição, etc. 4
  • 5. -bFaz que os decodificadores (responsáveis por analisar o tráfego) sejam desativados (isso podereduzir a quantidade de detalhes que o programa mostra em sua saída). Esta opção deve ser usadaquando o programa estiver analisando uma rede muito pesada ou quando você perceber que eleestá usando muito dos recursos do computador.-dDiz para o programa rodar como um daemon(em segundo plano).-i interfaceIndica qual interface de rede deve ser monitorada. Mais de uma opção pode ser usada, como eth0e lo (loopback), mas devem ser separadas por vírgulas. Para visualizar mais de uma interface porvez, o módulo de threads deve estar compilado (na versão 3.1 a compilação desse módulo édefault). Assim, se você deseja monitorar a eth0 e a lo teríamos: ntop -i eth0,lo-nImpede que o Ntop faça a conversão de números IPs para nomes.-p <arquivo>Caminho do diretório que tem o banco de dados.-w <porta>Indica em qual porta o Ntop deve servir o resultado de sua execução com o protocolo http. Sevocê especificar a porta padrão do http (que é a 80), não é necessário especificar a porta nonavegador.-W <porta>Indica em qual porta o Ntop deve servir o resultado de sua execução com o protocolo https, que éuma evolução do http, só que com vários recursos de segurança (os dados vão todoscriptografados). Se você deseja um grau maior de segurança, é aconselhável que use esse 5
  • 6. parâmetro. Por padrão o https está desabilitado.Instalação do Ntop Primeiramente atualize sua sources.list, você pode acessar a ela através do shell, seguindoos seguintes passos:$ sudo su# kate /etc/apt/sources.listNela você ira inserir no campo de # Stable as seguintes linhas:deb http://ftp.br.debian.org/debian/ stable maindeb-src http://ftp.br.debian.org/debian/ stable mainNo campo de # Testing:deb http://ftp.br.debian.org/debian/ testing maindeb-src http://ftp.br.debian.org/debian/ testing maindeb http://download.unesp.br/linux/debian/ testing maindeb-src http://download.unesp.br/linux/debian/ testing mainA sources.list deverá ficar assim: 6
  • 7. Pronto, agora você já pode executar o:# apt-get updateApós o termino você deverá executar:# apt-get install ntop 7
  • 8. Executando o NtopApós instalação concluída você executará o ntop através do shell com o seguinte comando:# ntopQuando ele iniciar irá pedir para você escolher a interface de rede a qual você deseja conectarpara monitorar. E então ele ira pedir para você inserir uma senha para a conta de admin.Please enter the password for the admin user:Please enter the password again:Após inserir uma senha para a conta admin acesse um navegador web e digite o seguinteendereço:http://localhost:3000/ ou qualquer outro IP da rede como http://172.27.169.169:3000/Pronto, bem vindo ao Ntop.DesempenhoO desempenho do NTop é bastante satisfatório basicamente por cinco razões: A performance do Libpcap (ou NDIS em Win32) é excelente; A quantidade de perda de pacote é muito baixa (se existir), porque os pacotes capturados são armazenados duas vezes, uma dentro do kernel e a outra no NTop; Ações de longo tempo de execução (por exemplo, resolução de endereçamento IP) são implementadas no modo assíncrono; 8
  • 9. O NTop gera várias linhas de comandos que previnem a interação do usuário (por exemplo, solicitação do usuário HTTP) de interferir na coleta de dados; O NTop faz uso extenso de tabelas hash cujos índices são fáceis de computar durante a rápida recuperação de informação devido à natureza de endereços de rede (por exemplo, eles são únicos e no formato numérico de 32/48 bits). Em geral, o desempenho do NTop é influenciado pelos outros processos correntes porquealgumas aplicações "gananciosas" de CPU podem utilizar todos os ciclos da CPU durante algunssegundos causando a perda de pacotes. Para esse tipo de ocorrência o Ntop implementa intervalosinternos e a coleta periódica de lixo para eliminar os dados antigos e refletir sobre o estado deconexões ativas. Por exemplo, se não houver dado fluindo em uma conexão por um longo período detempo, então a conexão poderia ter sido fechada. Neste caso, o NTop assume que a conexão foifechada e então a entrada de conexão é eliminada. Permite-se desta forma que o NTop serecupere quando alguns pacotes se perderem e não seja impedido de prosseguir esperando poralgum pacote perdido chegar.Medidas de tráfego Consiste em coletar e relatar todas atividades da rede, onde não se é necessário estarconectado a rede para estar gerando tráfego, pois todas as máquinas passam a se relacionaratravés de nodos.# /etc/init.d/ntop startA partir daí, você pode acessar os relatórios, atualizados em tempo real a partir do"http://localhost:3000", ou em qualquer outro PC da rede como em "http://172.27.169.169:3000".Caso o suporte a SSL tenha sido ativado durante a compilação do pacote (ele é um componenteopcional, que vem desativado por padrão em muitas distribuições), você poderá acessar ainterface vista através do "https://172.27.169.169:3000": 9
  • 10. O relatório do ntop pode parecer simples à primeira vista, mas ele esconde um volumesurpreendente de detalhes sobre as conexões. Acessando a seção "All Protocols > Traffic" (nomenu superior), por exemplo, você tem acesso a um relatório dos hosts de internet que foramacessados através da conexão, organizados de acordo com o volume de dados transferidos: 10
  • 11. Os hosts recebem um ícone de classificação de acordo com o tipo de tráfego predominante. Umabandeira verde indica um site que hospeda arquivos legítimos, enquanto um "K" indica umservidor do Kazaa ou um tracker Bittorrent. Clicando sobre os hosts, você tem acesso a umrelatório detalhado com o tipo de tráfego, horários de maior acesso e, o mais importante, umalista dos endereços IP da rede que acessaram o servidor, o que permite localizar estações rodandoprogramas P2P ou outros aplicativos que consomem muito tráfego da rede:Diferente do relatório do Sarg, que loga apenas o tráfego que passa pelo Squid, o ntop realmentemonitora todo o tráfego de dados que passa pelo servidor, independentemente do protocolousado. Desde que todo o tráfego de internet realmente passe pelo servidor (ou seja, que ele seja oúnico gateway disponível), você pode ter certeza de que tudo será logado. Da próxima vez quealguém reclamar que a rede está lenta, bastará olhar o relatório para descobrir o motivo.Abaixo as atividades registradas pelo Ntop em host:DATASENT/RECEIVED - Tráfego total dos volumes e pacotes gerados ou recebidos pelo host,classificados de acordo com o protocolo na rede.USEDBANDWIDTH - Média de uso da banda.IP MULTICAST - Valor total do tráfego de múltiplo envio gerado ou recebido pelo host.TCP SESSIONS HISTORY - Sessões ativas de TCP e ações associadas as estatísticas de tráfego. 11
  • 12. UDP TRAFFIC - Tráfego total de UDP por portas.TCP/UDP USER SERVICES - Relaciona os IPS que utilizam estes serviços.TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ousem fio.IP TRAFFIC - Lista qual distribuição é usada e qual o nome do host.Abaixo as atividades relacionadas para tráfego global (internet):TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ousem fio.PACKETS DISTRIBUTION - Total de pacotes listados por tamanho, unicast vs. broadcast vs.multicast e IP vs. non-IP traffic.USEDBANDWIDTH - Média de uso da banda.PROTOCOL UTILIZATION AND DISTRIBUCTION - Observa tráfego conforme protocolo equal seu destino (local/remoto).LOCAL SUBNET TRAFFIC MATRIX - Monitora o tráfego da internet entre pares os de hosts.NETWORK FLOWS - Estatísticas dos tráfegos a destinos pré-definidos (tráfego de interesseparticular do usuário.- Informações sobre a relação das atividades retiradas do site do fabricante (www.ntop.org).A ferramenta ainda permite ao usuário adicionar plugins (aplicativos complementares) para 12
  • 13. conseguir um melhor relatório das atividades, assim como a restrição aos sites, desde quandohouver uma tentativa de acesso, qual host efetuou a tentativa, qual número de tentativas e osmomentos exatos das tentativas.Monitorando o tráfego Está é a habilidade concedida a um gerente da rede, onde é ele que identifica cada tipo deação efetuada na rede e também definir quais são sua políticas.O NTop é ainda capaz de identificar:O uso de um endereço IP duplicado;Identificar quem são os hosts da rede;Configurar aplicativos que podem ser ativados para a rede;Identificar Proxys; 13
  • 14. Identificar quais protocolos podem ou não ser utilizados;Utilização de banda.Tendo em vista isso, o NTop prove a uma rede uma otimização e planejamento, pois o mesmo apartir que uma máquina é conectada a rede e envia algo a algum host, é identificada e nomeada. 14