ntopngとは
ntopng(エヌトップエヌジー)は、リアルタイム性が高いL7高速トラフィック分析を実現し、フローコレクターとして長期のトラフィック分析ができます。基幹ルーターのミラーポート/RITE/TAPと直接接続することで、高速のトラフィック分析ツールとして動作します。
また、ntop社が販売する NetFlow プローブ*1 nProbe と連携することで対象ルーターが分散した環境でもNetFlow v5,v9/IPFIXによるトラフィック分析が可能となる高速トラフィック分析ツールです。
*1 NetFlowプローブに関しての説明は、こちら をご参照ください。
なぜ、他製品の追随を許さない高速トラフィック分析ツールなのか
- PF_RING™*2を利用することで他にない高速パケットキャプチャ、フィルタリングを実現
- Blacklist, 障害ルールを活用してネットワークの異常な振る舞いを高速で検知するアラートエンジン
- nDPI(ntop Deep Packet Inspection)*3 を利用することでL7まで可視化
*2 PF_RINGに関しての説明は、こちら をご参照ください。
*3 nDPIに関しての説明は、こちら をご参照ください
進化し続ける高速トラフィック分析ツールntopngが選ばれる理由
ntop社のプロダクトは、日々ものすごいスピードで進化しています。
開発はgithub上で行われており、誰でも開発状況を確認することができます。
以下の主要機能を有しています。
L7サポート
nDPI(ntop Deep Packet Inspection)テクノロジーを活用して、アプリケーションプロトコル(Facebook、YouTube、 BitTorrentなど)を発見
リアルタイム表示
リアルタイムネットワークトラフィックとアクティブなホストを表示
マップサポート
地理的マップでホストをジオロケーションおよびオーバーレイ
L2サポート
完全なレイヤー2サポート
(ARP統計を含む)
外部データベースと連携したアラートエンジン
マルウェア対策のために外部リソースを利用して、ローカルネットワーク内の異常な振る舞いをアラート
一般のフローコレクタを超越した機能と性能
- リアルタイムスループット、ネットワーク及びアプリケーションのレイテンシ、ラウンドトリップタイム(RTT)、TCP統計(再送信、順序の乱れたパケット、パケットの損失)及び送信されたバイトとパケットの監視とレポート
- 永続的なトラフィック統計をディスクに保存、将来の調査と事後分析を実現
- トップトーカー(送信者/受信者)、トップAS、 トップL7アプリケーションを確認
- IPアドレス、ポート、L7プロトコル、スループット、自律システム(AS)など多くの基準に従ってネットワークトラフィックを並べ替え
ntopng 活用例
コンテナ/クラウドのトラフィック可視化に
Dockerのブリッジインターフェイスからトラフィックを抽出し、各コンテナのL7アプリケーション分析を実現します。
Azure、AWSといった主要なクラウドに関して、AWSのTAP利用や 他社Virtual TAPソリューション と連携してのトラフィック見える化環境を容易に実現することができます。
帯域の詳細調査やトラブルシューティングに
ディープパケットインスペクション(DPI)ライブラリのバンドルによって、通常のフローコレクターでは分析できない詳細なトラフィックの解析が可能となります。
任意の時間に対するトラフィックを調査といった要望は頻繁にあります。L7アプリケーション分析に加え、分析粒度が1秒からといった詳細なグラフで今まで分析できなかった精度でネットワークを可視化・分析することができます。
トラフィックを一定期間保存しWiresharkで分析に
ntop社が開発する n2disk と連携すれば、ディスク容量が許す限りのトラフィックを保存し設定した容量を超えた場合、古いデーターから上書きするといった運用ができます。
トラフィックレコーディングのご用命にもntopngは応えることができます。大容量トラフィックレコーディングのアプライアンス BlueVault io-BX 20TB、50TB、100TBモデルを発売しております。
任意の特定PC(IPアドレス)に対する5W1H分析に
ntopngは、単一ホストの振る舞い、行動を詳細にドリルダウンし、最終的には単一のrawフローまで解析することができます。この特長を使って、特定PCの1日の行動を把握したいといったご要望にも応えることができます。
通常のフローコレクターでは実現できない追跡能力がある特別な製品です。
セキュリティインシデントの発生に備える
Luaスクリプトで実装されているChecksにより、例えばSYNフラッド攻撃者やフローフラッド攻撃者を特定することができます。
先にご紹介したトラフィックレコーディング機能と合わせて、セキュリティインシデントが発生した場合の調査ツールとしてntopngをご活用いただけます。
その他の活用例
- 帯域占有アプリの調査
- デバイス情報収集、アセット管理
- ネットワーク更改に対するトラフィック分析
- 不要なネットワークと不信なネットワークの是正
- フローログの長期保存 (nprobeのダンプ機能)
- SIEM製品との連携
ntopngシステム導入イメージ
単一拠点であれば、ntopngをインストールしたPCのみで高速パケット分析が可能です。
- 既設のルータでミラー/RITE/TAPを使ってパケット複製。設定いらず。ケーブルを挿すだけ
- xFlowに対応していないルーターでも1台のPCを準備するだけ
- 同メーカ製品のnProbeと組み合わせて、本社Proxyモード、支社Probeモード利用で分散配置も可
- 他社にないプローブ・コレクターの集約モデルを実現
ntopng の機能一覧
- 複数インターフェイスサポート
- リアルタイム分析
- L7アプリケーション分析
- C/S・ローカル/リモート判別
- フローコレクター
- 脅威検知
- 振る舞い検知
- 高性能トラフィック追跡
- ホストジオマップ
- SNMP監視
- アクティブモニタ
- 詳細機能一覧
評価版ダウンロードと製品ガイド
ntopngは10分間、機能制限なしで起動します。
nProbeは2万5千フローを受信することができます。
それぞれ、インスタンスを再起動することで、評価を継続することができます。
製品に関する詳細は、機能や特長をまとめた資料「製品ガイド」をご覧ください。