Traffic-Analyse mit Open-Source-Tools Netzwerk-Monitoring mit ntopng

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

Die Analyse des Netzwerkverkehrs spielt bei der Fehlersuche und der Optimierung von Netzwerken eine wichtige Rolle. Mit ntopng steht ein Open-Source-Tool zur Verfügung, das unter Windows, Linux und macOS genutzt werden kann. Wir erläutern den Einstieg.

Firma zum Thema

Das Netzwerkanalyse-Tool ntopng steht in der Community Edition kostenlos zur Verfügung.
Das Netzwerkanalyse-Tool ntopng steht in der Community Edition kostenlos zur Verfügung.
(Bild: ntop)

Das Netzwerkanalyse-Tool ntopng ist der Nachfolger des Tools ntop. Die Community Edition steht kostenlos zur Verfügung, die Versionen Professional und Enterprise müssen lizenziert werden. ntop auf Github findet sich hier.

Bildergalerie
Bildergalerie mit 12 Bildern

ntopng installieren – Linux nutzen

Die Installation von ntopng erfolgt am Beispiel von Ubuntu über die Paketverwaltung. Im ersten Schritt kann es sinnvoll sein, Linux und die Paketquellen zu aktualisieren und den Computer neu zu starten. Das ist natürlich optional, stellt aber sicher, dass Linux auf dem neusten Stand ist. Danach kann ntopng installiert werden:

sudo apt-get install ntopng

Die Einrichtung von ntopng erfolgt über die Konfigurationsdatei. Diese kann zum Beispiel mit Nano bearbeitet werden:

sudo nano /etc/ntopng.conf

Hier kann auch der Port eingestellt werden, auf den ntopng für den Zugriff auf seine Web-UI auf Anfragen wartet. Nach Anpassungen der Konfiguration muss die Datei gespeichert und ntopng neu gestartet werden:

sudo systemctl restart ntopng

Damit auf die Web-UI von ntopng zugegriffen werden kann, muss in der Firewall zunächst der Port freigeschaltet werden. Standardmäßig nutzt ntopng den TCP-Port 3000. Geändert werden kann dieser in der Konfigurationsdatei. Auf Ubuntu-Servern kann der Port mit dem folgenden Befehl freigeschaltet werden:

sudo ufw allow 3000

Danach kann der Zugriff auf ntopng getestet werden. Dazu wird ein Webbrowser genutzt und die URL http://<IP-Adresse>:3000. Der Standard-Anmeldename für ntopng ist „admin“, das Kennwort ist ebenfalls „admin“. Das Kennwort kann nach der Anmeldung gleich geändert werden, das gilt auch für die Sprache der Oberfläche.

Erste Schritte mit ntopng

Nach der Anmeldung zeigt ntopng ein Dashboard mit den wichtigsten Informationen an. Über das Zahnradsymbol kann ntopng angepasst werden. Hier können über „Preferences“ Einstellungen vorgegeben werden. Über „Alerts“ können zum Beispiel Benachrichtigungen gesteuert werden, um bestimmte Probleme aber auch Angriffe auf das Netzwerk zu erkennen und in ntopng anzuzeigen. In den Einstellungen kann die Konfiguration von ntopng auch gespeichert und bei Bedarf wiederhergestellt werden. Bei „Interfaces“ kann wiederum zwischen den verschiedenen Netzwerkadaptern auf dem Computer umgeschaltet werden, auf dem ntopng gestartet ist.

Netzwerke mit ntopng untersuchen

Nach der Anmeldung an der Weboberfläche sind zunächst die aktivsten Geräte in der Oberfläche angezeigt. Im unteren Bereich zeigt ntopng Informationen zu den Geräten im Netzwerk an und listet auf, wie viele Geräte gefunden wurden und wie der Datenverkehr abgewickelt wird.

Bei „Refresh frequency“ kann die Aktualisierung der Anzeige gestoppt und gestartet werden. Durch einen Klick unten rechts auf die gefundenen Geräte wechselt die Anzeige und zeigt den Datenverkehr aller Geräte an. Durch einen Klick auf ein Gerät in der Liste werden die Daten des Gerätes und der Datenverkehr von und zu diesem Gerät angezeigt.

Im Dashboard von ntopng kann mit dem Menüpunkt „Hosts“ im oberen Bereich eine Anzeige aktiviert werden, mit der die aktivsten Geräte im Netzwerk aufgelistet werden. Mit einem Klick auf „Ports“ zeigt das Web-UI wiederum die am häufigsten angefragten Ports für Clients und den Zugriff auf den Server-Part von Ports an. Diese Anzeigen werden ebenfalls in Echtzeit aktualisiert. Bei „Senders“ sind die Geräte zu sehen, die am häufigsten Daten in das Netzwerk senden. Auch diese Anzeige wird in Echtzeit aktualisiert.

Bildergalerie
Bildergalerie mit 12 Bildern

Host-Informationen und Datenverkehr anzeigen

Im oberen Menübereich von ntopng sind die drei Menüpunkte „Flows“, „Hosts“ und „Interfaces“ zu finden. Hier können Daten des Netzwerks im Web-UI abhängig von verschiedenen Bereichen angezeigt werden. Durch einen Klick auf „Hosts“ steht zum Beispiel der Menüpunkt „Mac Addresses“ zur Verfügung. Wird der Menüpunkt ausgewählt, zeigt ntopng eine Liste der Geräte im Netzwerk sortiert nach MAC-Adressen an. Hier werden auch der Hersteller der Geräte und der Datenverkehr angezeigt. Durch einen Klick auf einen Host springt die Anzeige wiederum in die Details für den entsprechenden Host und zeigt mehr Informationen an.

Über „Hosts“ und „Networks“ wiederum werden die verschiedenen Subnetze im Rechenzentrum angezeigt. Auch hier besteht die Möglichkeit durch Klicks auf die einzelnen Links ausführlichere Informationen anzuzeigen. Mit „Hosts“ und „Operating Systems“ kann eine Liste sortiert nach Betriebssystemen angezeigt werden. Wie bei den anderen Menüpunkten stehen auch hier Links zur Verfügung, mit denen Administratoren zwischen den verschiedenen Informationen, die ntopng sammelt, hin und her springen können. Eine Weltkarte auf Basis von Google Maps kann über „Hosts“ und „Geo Maps“ eingeblendet werden.

(ID:47024723)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist