Ntopng: мощный монитор сетевого трафика в Linux

Ntopng — это современная сетевая утилита для мониторинга трафика в режиме реального времени. Она представляет собой расширенную версию классического ntop с улучшенным интерфейсом и дополнительными функциями.

🔹 Основные возможности:

1. Анализ трафика
   Детализация по протоколам (HTTP, DNS, SSH, BitTorrent и др.).
   Геолокация IP-адресов (через интеграцию с GeoIP).
   Обнаружение аномалий (DDoS, сканирование портов).
2. Визуализация
   Интерактивные графики и дашборды.
   Динамические карты сети (отображает узлы и связи).
3. Гибкость работы
   Режимы:
   Сетевой мост (прозрачный анализ).
   Агент (сбор данных с удалённых узлов).
   Поддержка PFRING для ускоренной обработки пакетов.
4. Интеграции
   Экспорт данных в Elasticsearch, Kafka, MySQL.
   REST API для автоматизации.

В этом руководстве вы шаг за шагом настроите Ntopng — мощный инструмент для мониторинга сетевого трафика на сервере под управлением Debian 12. Вы научитесь:

1. Устанавливать Ntopng из официальных репозиториев.
2. Активировать Network Discovery (обнаружение устройств в сети).
3. Настраивать Active Monitoring (активный сбор данных о трафике).
4. Анализировать трафик в реальном времени через веб-интерфейс Ntopng.
   

Требования

Перед началом работы убедитесь, что у вас есть:

• Сервер с Debian 12.
• Пользователь с правами администратора (не root).

Установка Ntopng

Для установки Ntopng необходимо добавить официальный репозиторий и установить пакет через APT. После завершения установки убедитесь, что служба ntopng запущена, используя команду systemctl. Также можно проверить открытые порты с помощью ss — если Ntopng работает, вы увидите порт 3000 в состоянии LISTEN.

Обновление системы и установка зависимостей

Выполните следующие команды, чтобы обновить индекс пакетов Debian и установить необходимые утилиты (software-properties-common и wget). При запросе подтверждения введите Y:

sudo apt update
sudo apt install software-properties-common wget

Загрузка и установка репозитория Ntopng для Debian

1. Скачайте репозиторий Ntopng с помощью команды wget:bashCopywget https://packages.ntop.org/apt/bookworm/all/apt-ntop.deb
   
2. Установите репозиторий с помощью менеджера пакетов apt:

apt install ./apt-ntop.deb

После выполнения этих команд:

• Официальный репозиторий Ntopng будет добавлен в вашу систему
• Вы сможете устанавливать и обновлять Ntopng через стандартный менеджер пакетов APT

Примечание: Эти команды предназначены для Debian версии Bookworm. Убедитесь, что используете правильную версию для вашей системы.

Установка Ntopng после добавления репозитория

После успешного добавления репозитория Ntopng в вашу систему выполните следующие команды:

1. Обновите список пакетов:

sudo apt update

1. Установите пакет ntopng:

sudo apt install ntopng

1. Подтвердите установку:
   Когда система запросит подтверждение, введите Y и нажмите Enter.

После завершения установки:

• Ntopng будет готов к настройке и использованию
• Служба автоматически запустится и будет доступна на порту 3000

Совет: Для проверки статуса службы используйте команду:bashCopysudo systemctl status ntopng

Проверка работы Ntopng после установки

После завершения установки выполните следующие команды для проверки состояния службы Ntopng:

1. Проверить, включена ли автозагрузка службы:

sudo systemctl is-enabled ntopng

• В случае успеха команда вернет enabled

1. Проверить текущий статус службы:

sudo systemctl status ntopng

Пример корректного вывода:

● ntopng.service - ntopng network monitoring tool
Loaded: loaded (/lib/systemd/system/ntopng.service; enabled; vendor preset: enabled)
Active: active (running) since Thu 2023-11-02 14:30:45 UTC; 1min 23s ago
Docs: man:ntopng(1)
Main PID: 12345 (ntopng)
Tasks: 15 (limit: 4915)
Memory: 45.7M
CGroup: /system.slice/ntopng.service
└─12345 /usr/bin/ntopng -i eth0

Что означает вывод:

• ✅ enabled - служба будет автоматически запускаться при загрузке системы
• ✅ active (running) - Ntopng работает корректно
• В логах отображается используемый сетевой интерфейс (в примере - eth0)

Если служба не запущена, вы можете запустить ее вручную:

Для подтверждения, что Ntopng действительно работает и прослушивает нужный порт, выполните команду:

ss -tulpn

Настройка Ntopng

После установки Ntopng необходимо настроить мониторинг сетевых интерфейсов. В этом примере мы настроим мониторинг для двух интерфейсов (локального и публичного), отредактировав конфигурационные файлы.

1. Настройка интерфейсов и порта

Откройте конфигурационный файл /etc/ntopng/ntopng.conf в редакторе nano:

sudo nano /etc/ntopng/ntopng.conf

Добавьте следующие параметры:

# Мониторинг интерфейсов eth0 и eth1
-i=eth0
-i=eth1

# Порт веб-интерфейса (по умолчанию 3000)
-w=3000

Сохраните изменения и закройте редактор (Ctrl+X, затем Y и Enter).

2. Указание локальной сети

Откройте файл /etc/ntopng/ntopng.start:

sudo nano /etc/ntopng/ntopng.start

Добавьте подсеть вашей локальной сети и интерфейс:

--local-networks "192.168.1.0/24"
--interface 1

Сохраните файл и выйдите из редактора.

3. Перезапуск службы

Примените изменения, перезапустив Ntopng:

sudo systemctl restart ntopng

4. Доступ к веб-интерфейсу

1. Откройте браузер и перейдите по адресу:
   http://<IP_вашего_сервера>:3000/
   Например:
   http://192.168.10.60:3000/
2. На странице входа используйте:
   Логин: admin
   Пароль: admin

Важные замечания

• 🔒 Смените пароль по умолчанию после первого входа.

🌐 Для доступа извне разрешите порт 3000 в брандмауэре:

sudo ufw allow 3000/tcp

• 📊 Настройка завершена! Теперь Ntopng будет отслеживать трафик на указанных интерфейсах.

После первого входа в систему вас попросят изменить стандартный пароль для доступа к панели управления Ntopng. Это критически важный шаг для безопасности вашей сетевой инфраструктуры.

При успешной настройке вы увидите основной дашборд Ntopng, который включает:

Активация Network Discovery в Ntopng

В этом разделе вы научитесь включать функцию Network Discovery, которая позволяет Ntopng автоматически обнаруживать активные устройства в вашей сети.

Пошаговая инструкция:

1. Перейдите в настройки:
   В веб-интерфейсе Ntopng кликните на:
   Settings (Настройки) → Preferences (Конфигурация)
2. Выберите раздел Network Discovery:
   В меню слева найдите и выберите пункт Network Discovery (Обнаружение сети)
3. Активируйте функцию:
   Переведите переключатель Network Discovery в положение "On" (Вкл)
   Нажмите кнопку Save (Сохранить) для применения изменений

Что дает эта функция?

• 🔍 Автоматическое сканирование сети на наличие активных устройств
• 📋 Формирование списка всех обнаруженных хостов
• 🕒 Постоянное обновление информации о новых/пропавших устройствах

Дополнительные настройки (опционально):

• Можно указать интервал сканирования (по умолчанию 5 минут)
• Возможность исключить определенные IP-адреса/подсети из сканирования
• Настройка типов сканирования (ARP, ICMP и др.)

Настройка Active Monitoring в Ntopng

Теперь, когда включено обнаружение сети, активируем функцию Active Monitoring для отслеживания состояния хостов. В этом примере мы будем использовать ICMP для проверки доступности узлов.

Доступные методы мониторинга:

• ICMP/ICMPv6 – проверка доступности IP-адресов
• HTTP/HTTPS – тестирование работы веб-серверов
• Throughput – измерение пропускной способности
• Speedtest – проверка интернет-канала

Пошаговая настройка:

1. Перейдите в раздел настроек:
   В веб-интерфейсе Ntopng откройте:
   Settings → Preferences
2. Выберите "Active Monitoring":
   В меню слева найдите пункт Active Monitoring
3. Активируйте функцию:
   Переведите переключатель Active Monitoring в положение "On"
   Нажмите Save для сохранения настроек

Добавление нового Active Monitoring в Ntopng

1. Перейдите в раздел мониторинга:
   В верхнем меню интерфейса Ntopng кликните на Monitoring (Мониторинг)
   В выпадающем списке выберите Active Monitoring (Активный мониторинг)
2. Добавление нового правила:
   Нажмите кнопку + (плюс) в правом верхнем углу экрана
   Откроется форма создания нового правила мониторинга

Пример: Настройка мониторинга хоста через ICMP/ping

1. Заполнение параметров:
   В открывшейся форме создания нового мониторинга укажите:

Target Host: 192.168.10.41 # IP-адрес вашего хоста
Protocol: ICMP # Выбранный метод проверки (ping)
Check Interval: 60 # Проверка каждые 60 секунд
Timeout: 3 # Максимальное время ожидания ответа (сек)
Alerts: Enabled # Включить уведомления

1. Подтверждение:
   Нажмите кнопку Add (Добавить), чтобы сохранить правило.
2. Результат:
   В списке Active Monitoring появится новая запись

Просмотр сетевого трафика в реальном времени через Ntopng

Теперь, когда вы настроили Network Discovery и Active Monitoring, давайте посмотрим живой трафик вашей сети через панель управления Ntopng.

Перейдите в раздел Live Traffic:
В главном меню кликните: Flow → Live
В верхней панели выберите нужный сетевой интерфейс (например, eth0)

Что вы увидите:
🌐 Внешний трафик сервера через выбранный интерфейс
📶 Графики нагрузки (пакеты/биты в секунду)
🔄 Активные соединения с указанием:
IP-адресов источника/назначения
Портів
Протоколов (TCP/UDP/ICMP)
Объема переданных данных

Заключение

Поздравляем! Вы успешно:
✅ Установили Ntopng на Debian 12
✅ Настроили Network Discovery для автоматического обнаружения устройств
✅ Активировали Active Monitoring для отслеживания хостов через ICMP/HTTP
✅ Научились анализировать живой трафик через интерфейс Ntopng

Теперь ваша сеть под полным контролем! 🛡️

Совет: Для более глубокого анализа:
Используйте фильтры в разделе Flows
Настройте алерты для подозрительной активности
Экспортируйте отчеты в CSV/JSON для дальнейшего анализа

Ntopng — ваш мощный инструмент для профессионального мониторинга сети!