O documento descreve as funcionalidades e uso do programa Ntop, um monitor de rede que permite visualizar o tráfego de rede em tempo real. Ele explica como instalar e executar o Ntop, os protocolos monitorados, parâmetros de configuração e como visualizar medidas e estatísticas de tráfego.
1. FACULDADE SUMARÉ
SUPERIOR DE TECNOLOGIA EM REDES DE COMPUTADORES
Trabalho sobre NTOP
Francisco Aldevan Barbosa Costa – RA 1011354
São Paulo/SP
2. Índice
Introdução .................................................................................................................................... 3
Funcionalidades ........................................................................................................................... 3
Protocolos .................................................................................................................................... 4
Parâmetros ................................................................................................................................... 4
Instalação do Ntop ....................................................................................................................... 6
Executando o Ntop ...................................................................................................................... 8
Desempenho ................................................................................................................................ 8
Medidas de tráfego ...................................................................................................................... 9
Monitorando o tráfego ............................................................................................................... 13
3.
4. Introdução
Ntop é uma ferramenta de monitoramento e gerência de rede para sistemas UNIX/Linux e
Win32, e teve seu desenvolvimento e estudo na "University of Pisa", na Itália. Seus variados
recursos são similares ao TOP dos sistemas UNIX, que permitem ao usuário visualizar através de
gráficos e de forma bem detalhada, todas as requisições a internet, podendo haver restrições
impostas pelo gerente, qual a banda consumida, quais endereços das máquinas, reports(avisos) de
falhas entre muitos outros. O Ntop é um programa que monitora passivamente uma rede,
coletando dados sobre os protocolos e sobre os hosts da rede.
Funcionalidades
Tem como característica e funcionalidade:
Analisar os pacotes que trafegam na rede, listar e ordenar o tráfego de rede de acordo com vários
protocolos, exibir estatísticas de tráfego, armazenar estatísticas de forma permanentemente em
bancos de dados, identificar passivamente várias informações sobre os hosts da rede, incluindo o
sistema operacional executado e endereço de e-mail do usuário da estação, exibir a distribuição
do tráfego IP entre vários protocolos da camada de aplicação, decodificar vários protocolos da
camada de aplicação e inclusive os encontrados em softwares do tipo P2P atuar como coletor de
fluxos gerados por roteadores e switches através da tecnologia NETFLOW;
Tendo sua interface em Web. Uma característica boa dessa ferramenta é que pode ser acessada
usando um browser web para gerenciar e visualizar as informações geradas pelo NTop para
melhor entender o status da rede.
3
5. Protocolos
O NTop monitora e gera relatórios sobre o tráfego e suporte dos hosts por estes
protocolos:
TCP/UDP/ICMP;
(R)ARP;
IPX;
DLC;
Decnet;
AppleTalk;
Netbios;
TCP/UDP.
Parâmetros
-A
Altera a senha do administrador. Detalhe o Ntop não verifica a senha de administrador que era
válida, ele apenas pergunta a nova, o que pode dar brechas a "pessoas mal intencionadas"
mudarem a senha.
-a <nome do arquivo>
Grava no arquivo indicado os logs das requisições feitas ao "servidor web" do Ntop. Você poderá
ver o IP de quem fez a requisição, o que foi requisitado, quanto tempo o servidor demorou para
responder, qual usuário fez a requisição, etc.
4
6. -b
Faz que os decodificadores (responsáveis por analisar o tráfego) sejam desativados (isso pode
reduzir a quantidade de detalhes que o programa mostra em sua saída). Esta opção deve ser usada
quando o programa estiver analisando uma rede muito pesada ou quando você perceber que ele
está usando muito dos recursos do computador.
-d
Diz para o programa rodar como um daemon(em segundo plano).
-i interface
Indica qual interface de rede deve ser monitorada. Mais de uma opção pode ser usada, como eth0
e lo (loopback), mas devem ser separadas por vírgulas. Para visualizar mais de uma interface por
vez, o módulo de threads deve estar compilado (na versão 3.1 a compilação desse módulo é
default). Assim, se você deseja monitorar a eth0 e a lo teríamos: ntop -i eth0,lo
-n
Impede que o Ntop faça a conversão de números IPs para nomes.
-p <arquivo>
Caminho do diretório que tem o banco de dados.
-w <porta>
Indica em qual porta o Ntop deve servir o resultado de sua execução com o protocolo http. Se
você especificar a porta padrão do http (que é a 80), não é necessário especificar a porta no
navegador.
-W <porta>
Indica em qual porta o Ntop deve servir o resultado de sua execução com o protocolo https, que é
uma evolução do http, só que com vários recursos de segurança (os dados vão todos
criptografados). Se você deseja um grau maior de segurança, é aconselhável que use esse
5
7. parâmetro. Por padrão o https está desabilitado.
Instalação do Ntop
Primeiramente atualize sua sources.list, você pode acessar a ela através do shell, seguindo
os seguintes passos:
$ sudo su
# kate /etc/apt/sources.list
Nela você ira inserir no campo de # Stable as seguintes linhas:
deb http://ftp.br.debian.org/debian/ stable main
deb-src http://ftp.br.debian.org/debian/ stable main
No campo de # Testing:
deb http://ftp.br.debian.org/debian/ testing main
deb-src http://ftp.br.debian.org/debian/ testing main
deb http://download.unesp.br/linux/debian/ testing main
deb-src http://download.unesp.br/linux/debian/ testing main
A sources.list deverá ficar assim:
6
8. Pronto, agora você já pode executar o:
# apt-get update
Após o termino você deverá executar:
# apt-get install ntop
7
9. Executando o Ntop
Após instalação concluída você executará o ntop através do shell com o seguinte comando:
# ntop
Quando ele iniciar irá pedir para você escolher a interface de rede a qual você deseja conectar
para monitorar. E então ele ira pedir para você inserir uma senha para a conta de admin.
Please enter the password for the admin user:
Please enter the password again:
Após inserir uma senha para a conta admin acesse um navegador web e digite o seguinte
endereço:
http://localhost:3000/ ou qualquer outro IP da rede como http://172.27.169.169:3000/
Pronto, bem vindo ao Ntop.
Desempenho
O desempenho do NTop é bastante satisfatório basicamente por cinco razões:
A performance do Libpcap (ou NDIS em Win32) é excelente;
A quantidade de perda de pacote é muito baixa (se existir), porque os pacotes capturados
são armazenados duas vezes, uma dentro do kernel e a outra no NTop;
Ações de longo tempo de execução (por exemplo, resolução de endereçamento IP) são
implementadas no modo assíncrono;
8
10. O NTop gera várias linhas de comandos que previnem a interação do usuário (por
exemplo, solicitação do usuário HTTP) de interferir na coleta de dados;
O NTop faz uso extenso de tabelas hash cujos índices são fáceis de computar durante a
rápida recuperação de informação devido à natureza de endereços de rede (por exemplo,
eles são únicos e no formato numérico de 32/48 bits).
Em geral, o desempenho do NTop é influenciado pelos outros processos correntes porque
algumas aplicações "gananciosas" de CPU podem utilizar todos os ciclos da CPU durante alguns
segundos causando a perda de pacotes. Para esse tipo de ocorrência o Ntop implementa intervalos
internos e a coleta periódica de lixo para eliminar os dados antigos e refletir sobre o estado de
conexões ativas.
Por exemplo, se não houver dado fluindo em uma conexão por um longo período de
tempo, então a conexão poderia ter sido fechada. Neste caso, o NTop assume que a conexão foi
fechada e então a entrada de conexão é eliminada. Permite-se desta forma que o NTop se
recupere quando alguns pacotes se perderem e não seja impedido de prosseguir esperando por
algum pacote perdido chegar.
Medidas de tráfego
Consiste em coletar e relatar todas atividades da rede, onde não se é necessário estar
conectado a rede para estar gerando tráfego, pois todas as máquinas passam a se relacionar
através de nodos.
# /etc/init.d/ntop start
A partir daí, você pode acessar os relatórios, atualizados em tempo real a partir do
"http://localhost:3000", ou em qualquer outro PC da rede como em "http://172.27.169.169:3000".
Caso o suporte a SSL tenha sido ativado durante a compilação do pacote (ele é um componente
opcional, que vem desativado por padrão em muitas distribuições), você poderá acessar a
interface vista através do "https://172.27.169.169:3000":
9
11. O relatório do ntop pode parecer simples à primeira vista, mas ele esconde um volume
surpreendente de detalhes sobre as conexões. Acessando a seção "All Protocols > Traffic" (no
menu superior), por exemplo, você tem acesso a um relatório dos hosts de internet que foram
acessados através da conexão, organizados de acordo com o volume de dados transferidos:
10
12. Os hosts recebem um ícone de classificação de acordo com o tipo de tráfego predominante. Uma
bandeira verde indica um site que hospeda arquivos legítimos, enquanto um "K" indica um
servidor do Kazaa ou um tracker Bittorrent. Clicando sobre os hosts, você tem acesso a um
relatório detalhado com o tipo de tráfego, horários de maior acesso e, o mais importante, uma
lista dos endereços IP da rede que acessaram o servidor, o que permite localizar estações rodando
programas P2P ou outros aplicativos que consomem muito tráfego da rede:
Diferente do relatório do Sarg, que loga apenas o tráfego que passa pelo Squid, o ntop realmente
monitora todo o tráfego de dados que passa pelo servidor, independentemente do protocolo
usado. Desde que todo o tráfego de internet realmente passe pelo servidor (ou seja, que ele seja o
único gateway disponível), você pode ter certeza de que tudo será logado. Da próxima vez que
alguém reclamar que a rede está lenta, bastará olhar o relatório para descobrir o motivo.
Abaixo as atividades registradas pelo Ntop em host:
DATASENT/RECEIVED - Tráfego total dos volumes e pacotes gerados ou recebidos pelo host,
classificados de acordo com o protocolo na rede.
USEDBANDWIDTH - Média de uso da banda.
IP MULTICAST - Valor total do tráfego de múltiplo envio gerado ou recebido pelo host.
TCP SESSIONS HISTORY - Sessões ativas de TCP e ações associadas as estatísticas de tráfego.
11
13. UDP TRAFFIC - Tráfego total de UDP por portas.
TCP/UDP USER SERVICES - Relaciona os IPS que utilizam estes serviços.
TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ou
sem fio.
IP TRAFFIC - Lista qual distribuição é usada e qual o nome do host.
Abaixo as atividades relacionadas para tráfego global (internet):
TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ou
sem fio.
PACKETS DISTRIBUTION - Total de pacotes listados por tamanho, unicast vs. broadcast vs.
multicast e IP vs. non-IP traffic.
USEDBANDWIDTH - Média de uso da banda.
PROTOCOL UTILIZATION AND DISTRIBUCTION - Observa tráfego conforme protocolo e
qual seu destino (local/remoto).
LOCAL SUBNET TRAFFIC MATRIX - Monitora o tráfego da internet entre pares os de hosts.
NETWORK FLOWS - Estatísticas dos tráfegos a destinos pré-definidos (tráfego de interesse
particular do usuário.
- Informações sobre a relação das atividades retiradas do site do fabricante (www.ntop.org).
A ferramenta ainda permite ao usuário adicionar plugins (aplicativos complementares) para
12
14. conseguir um melhor relatório das atividades, assim como a restrição aos sites, desde quando
houver uma tentativa de acesso, qual host efetuou a tentativa, qual número de tentativas e os
momentos exatos das tentativas.
Monitorando o tráfego
Está é a habilidade concedida a um gerente da rede, onde é ele que identifica cada tipo de
ação efetuada na rede e também definir quais são sua políticas.
O NTop é ainda capaz de identificar:
O uso de um endereço IP duplicado;
Identificar quem são os hosts da rede;
Configurar aplicativos que podem ser ativados para a rede;
Identificar Proxys;
13
15. Identificar quais protocolos podem ou não ser utilizados;
Utilização de banda.
Tendo em vista isso, o NTop prove a uma rede uma otimização e planejamento, pois o mesmo a
partir que uma máquina é conectada a rede e envia algo a algum host, é identificada e nomeada.
14