Introduzione a Ntop - seconda parte
by admin on Aug.16, 2010, under Hacking, Networking, Sicurezza, Tools
Terminiamo l’esame dei menu di ntop e delle loro gerarchie.
IP:Summary:Traffic - Visualizza una tabella che elenca, per ciascun host (IP) visto, quanti dati tale host abbia trasferito, che percentuale del traffico totale dal momento in cui ntop è entrato in funzione rappresenti, e l’ammontare di traffico inviato per alcuni protocolli chiave TCP/IP (FTP HTTP DNS, Telnet, NBios-IP Mail, DHCP-BOOTP SNMP NNTP, NFS/AFS, VoIP X11, SSH, Gnutella, Kazaa, WinMX, DC++, eDonkey, BitTorrent, Messenger, Other, IP).
Si può visualizzare questa informazione relativamente agli hosts locali, remoti o tutti gli hosts per i dati inviati, ricevuti o sia inviati che ricevuti sia per singola VLAN che per tutte le VLANs.
IP:Summary:Multicast - Visualizza una tabella di tutti i gruppi ed origini multicast e quanti dati ciascuna origine abbia inviato o quanti dati ciascun gruppo ha ricevuto.
IP:Summary:Internet Domain - Visualizza statistiche di traffico per tutti i domini Internet (DNS). Per quanto riguarda TCP/IP, vengono mostrati i dati inviati/riecevuti in kilobytes o come una percentuale per TCP, UDP e per entrambi. Per quanto riguarda ICMP, viene mostrato il traffico inviato/ricevuto per IPv4 ed IPv6.
IP:Summary:ASs - Visualizza un elenco degli Autonomous Systems BGP che il vostro traffico attraversa.
IP:Summary:Host Communities - Fornisce informazioni sul traffico aggregato di gruppi predefiniti di host. Cliccando su un qualsiasi cluster si ottengono le statistiche di traffico degli hosts componenti.
IP:Summary:Distribution - Visualizza un grafico a torta che rappresenta l’ammontare relativo a traffico locale, locale verso remoto, e remoto verso locale. Per ciascuna di queste categorie di traffico, una tabella fornisce maggiori dettagli ulteriormente suddivisa per protocollo IP.
IP:Traffic Directions:Local to Local - Visualizza per ciascun host locale (DNS o NetBIOS name) l’indirizzo IP così come i dati inviati e ricevuti sia in kilobytes che come percentuale. Le piccole icone presenti nella colonna degli hosts costituiscono degli indicatori dei servizi (http, mail, p2p etc) così come le pandierine sullo status. In fondo alla pagina vi è una piccola tabella che sommarizza il traffico totale dei dati inviati e ricevuti così come la banda usata per il periodo di attività di ntop.
IP:Traffic Directions:Local to Remote - Fornisce le stesse informazioni, ma con statistiche limitate al traffico originato da hosts locali e destinato a hosts remoti.
IP:Traffic Directions:Remote to Local - Fornisce le stesse informazioni, ma con statistiche limitate al traffico originato da hosts remoti e destinato a hosts locali.
IP:Traffic Directions:Remote to Remote - Fornisce le stesse informazioni, ma con statistiche limitate al traffico originato da hosts remoti e destinato a hosts remoti.
IP:Local:Ports Used - Visualizza una tabella che elenca per ogni servizio (es. ftp, telnet, ed http), come identificate dalle porte TCP/UDP port, l’indirizzo IP dei clients e dei servers che usano quel servizio.
IP:Local:Active TCP/UDP Sessions.
IP:Local:Host Fingerprint - Visualizza i Sistemi Operativi degli hosts rilevati sulla rete. La accuratezza di questa feature dipende dai database per OS fingerprint usati da ettercap.
IP:Local:Host Characterization - Visualizza una tabella che identifica che tipo di device un host sia (L2 switch, gateway, printer) e che genere di servizi ospiti (VoiP NTP/DNS server, Mail, Directory, HTTP, FTP, DHCP, WINS, se l’ host stia eseguendo qualche programma peer-to-peer e se l’ host sia attivo oppure no)
IP:Local:Network Traffic Map - Traccia una mappa del traffico di rete che mostra graficamente quali hosts accedano a quali altri.
IP:Local:Local Matrix - Visualizza una matrice di hosts sulla subnet locale e quanto traffico scambiano tra loro.
Utils:RRD Alarms:Configure Thresholds
Utils:RRD Alarms:Check Now
Utils:Data Dump - Fornisce una pagina dove impostare il dump delle varie statistiche di ntop relative agli hosts rilevati in vari formati di file (text, xml, perl, python, php e json)
Utils:View Log - Questa pagina mostra gli ultimi 50 log messages di ntop con priority INFO o superiore.
La versione corrente di ntop supporta dei plug-ins, come meccanismo di estensione. All’ amministratore è consentito estendere le funzionalità di ntop con features extra. Esempi di plug-ins sono quelli relativi a ICMP, ARP/RARP e WAP. Possono venire installati opzionalmente, ed avviati selettivamente durante la inizializzazione di ntop.
Plugins:cPacket - Questo plugin viene usato per collezionare statistiche di traffico prodotto da devices cTap di cPacket. Il flusso dei dati ricevuti viene riportato come relative a ‘NIC’ separati nei regolari reports di ntop – proprio come interfaccie NetFlow virtuali.
Plugins:icmpWatch - Questo plugin produce un report riguardante i pacchetti ICMP che ntop ha rilevato.
Plugins:NetFlow - Questo plugin viene usato per impostare, attivare e disattivare il supporto NetFlow, con ntop come collettore NetFlow.
Plugins:RoundRobin Database - Questo plugin viene usato per impostare, attivare e disattivare il supporto di rrd in ntop.
Plugins:sFlow - Questo plugin viene usato per impostare, attivare e disattivare il supporto di sFlow in ntop.
Admin:Configure:Startup Options - Apre una pagina dove è possibile configurare le varie opzioni di avvio per ntop (figura seguente). La maggior parte delle opzioni di ntop specificabili a riga di comando hanno degli equivalenti qui.
Admin:Configure:Preferences - Apre una pagina dove è possibile impostare delle preferences per ntop. Anche qui le opzioni specificabili hanno un equivalente a riga di comando. Tipicamente, si assegna un valore di 0 per disattivare una opzione, o di 1 per attivarla.
Admin:Configure:Packet Filter - Permette di impostare una espressione filtro che definisce che tipo di traffico ntop debba analizzare.
Admin:Configure:Reset Stats - Scarica tutte le informazioni che ntop ha raccolto in memoria e fa ripartire i conteggi da zero.
Admin:Configure:Web Users - Configura l’ insieme di utenti che possono accedere all’interfaccia web di ntop (usernames e passwords)
Admin:Configure:Protect URLs - Configura l’accesso a varie pagine di ntop in base all’utente.
Admin:Shutdown - Termina l’esecuzione di ntop.
August 16th, 2010 on 7:06 pm
Volevo chiederti come settare una password per impedire l’accesso a chiunque in localhost:3000, grazie.
Complimenti per il sito. Semplicemente fantastico.
August 23rd, 2010 on 10:26 am
Rispondo tardivamente perché mi trovavo in vacanza ed avevo staccato la spina.
Gli utenti e le URL cui possono accedere possono essere modificati/aggiunti/cancellati nelle tab Admin dello stesso Ntop.
Nella riga di lancio di puoi settare una password amministrativa alternativa.
Per escludere ad altri l’accesso puoi utilizzare una forma di “port knocking”, come spiegato in un altro post.