第1章 ntopng,nProbeとは
(2022年2月9日(水) ebookの記載を追加)
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
1.1 ntopngとは
ntopngとは、フローとトラフィック統計に焦点を当てたトラフィック監視・分析ツールです。
RITE(Router IP Traffic Export ), SPAN/RSPAN, TAPを利用した対象トラフィックのミラーポートからトラフィックを受信、フロー及びトラフィック分析情報を軽量なWeb GUIに描画します。
1.2 nProbeとは
Cisco標準のNetFlow v5,v9やIPFIX, sFlowをネットワークデバイスから受信し、ntopngを含む任意のフローコレクターにNetFlow v5,v9/IPFIXを送信することができます。
起動モードは以下の3つがあります。
- 自ホストに接続されたNICからNetFlow/IPFIXを生成して、フローコレクターに送信するProbeモード
- データーベース/Diskにフローデータを収集するコレクタモード
- 受信した異なるフロープロトコルをNetFlow v5,v9/IPFIXに変換してコレクターに送信するProxyモード
1.3 ntopng,nProbeアーキテクチャ
図1-1 ntopng,nProbeアーキテクチャ
図1-1はntopng単独での利用及びnProbeとの連携を表した絵となります。
nProbeと連携することで、NetFlowをエクスポートに対応していない、遠隔拠点にあるネットワークデバイスのトラフィックをフロー化し、ntopngにフローデータを送信することができます。
また、ntopngはコレクター(nProbe)抜きで、監視対象トラフィックが流入するNIC(ミラーポートに接続されたNIC)が自ホストに接続されていれば、トラフィック解析を開始します。
さらに、nProbeはネットワークデバイスからエクスポートされたNetFlow,sFlow,IPFIXを受信してntopngにエクスポートすることもできます。
1.4 ntopng,nProbeのサポート範囲
表1-1 トラフィック分析方式比較
表1にトラフィック分析で活用できる代表的な3方式を記載しました。
SNMPはスイッチやルーターに対するポート単位のトラフィック量分析に向いていますが、トラフィックの中身を分析することはできません。
DPIは、アプリケーション分析できることが最大の強みですが、大量のパケットを保管する必要があり、コストが高くなる傾向があります。
NetFlow,sFlowといったxFlow方式は、TCPやUDPのポート番号の表示にとどまりアプリケーション分析はできません(例えば、443ポートの通信は全てHTTPSと報告してくるでしょう)。
ntopngはアプリケーション分析が可能で、かつ保管データ量も少なく、DPIとxFlowの弱点を補ったソフトウェアとなります。
また、他の市販コレクターでは分析単位(トラフィック統計グラフのX軸の最小単位)が5分という製品が多いの対して、ntopngはInfluxDB利用により10秒単位でグラフを描画できることが特徴です。
本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
