2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。
本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。
是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードはこちらからお願いします。
第1章 ntopng,nProbeとは
1.1 ntopngとは
ntopngとは、フローとトラフィック統計に焦点を当てたトラフィック監視・分析ツールです。
文:ジュピターテクノロジー よしひろ
RITE(Router IP Traffic Export ), SPAN/RSPAN, TAPを利用した対象トラフィックのミラーポートからトラフィックを受信、フロー及びトラフィック分析情報を軽量なWeb GUIに描画します。
1.2 nProbeとは
Cisco標準のNetFlow v5,v9やIPFIX, sFlowをネットワークデバイスから受信し、ntopngを含む任意のフローコレクターにNetFlow v5,v9/IPFIXを送信することができます。
起動モードは以下の3つがあります。
- 自ホストに接続されたNICからNetFlow/IPFIXを生成して、フローコレクターに送信するProbeモード
- データーベース/Diskにフローデータを収集するコレクタモード
- 受信した異なるフロープロトコルをNetFlow v5,v9/IPFIXに変換してコレクターに送信するProxyモード
1.3 ntopng,nProbeアーキテクチャ
図1-1はntopng単独での利用及びnProbeとの連携を表した絵となります。
nProbeと連携することで、NetFlowをエクスポートに対応していない、遠隔拠点にあるネットワークデバイスのトラフィックをフロー化し、ntopngにフローデータを送信することができます。
また、ntopngはコレクター(nProbe)抜きで、監視対象トラフィックが流入するNIC(ミラーポートに接続されたNIC)が自ホストに接続されていれば、トラフィック解析を開始します。
さらに、nProbeはネットワークデバイスからエクスポートされたNetFlow,sFlow,IPFIXを受信してntopngにエクスポートすることもできます。
1.4 ntopng,nProbeのサポート範囲
表1にトラフィック分析で活用できる代表的な3方式を記載しました。
SNMPはスイッチやルーターに対するポート単位のトラフィック量分析に向いていますが、トラフィックの中身を分析することはできません。
DPIは、アプリケーション分析できることが最大の強みですが、大量のパケットを保管する必要があり、コストが高くなる傾向があります。
NetFlow,sFlowといったxFlow方式は、TCPやUDPのポート番号の表示にとどまりアプリケーション分析はできません(例えば、443ポートの通信は全てHTTPSと報告してくるでしょう)。
ntopngはアプリケーション分析が可能で、かつ保管データ量も少なく、DPIとxFlowの弱点を補ったソフトウェアとなります。
また、他の市販コレクターでは分析単位(トラフィック統計グラフのX軸の最小単位)が5分という製品が多いの対して、ntopngはInfluxDB利用により10秒単位でグラフを描画できることが特徴です。
次章はこちらをご覧ください。
お問い合わせ・製品情報
本記事で扱っているntop社のnProbe, ntopngという製品について、ご興味のある方は以下のリンクから弊社までお問い合わせください!
