Abbildung 1: Das Diagramm zeigt die Verbindungen mit dem größten Datenaufkommen an. Auf der rechten Seite erscheint der Namen des Clients, auf der linken jener des Servers.
Darüber hinaus erscheinen links unten der Benutzername, mit dem Sie sich angemeldet haben, sowie die Schnittstelle, auf der Ntopng gerade lauscht. Zudem blendet Ntopng rechts unten die Zahl der Hosts ein, gruppiert nach Remote Hosts, Local Hosts und der zweiten Schicht L2 des OSI-Referenzmodells.
Klicken Sie in der interaktiven Weboberfläche auf die Datenflüsse oder andere Statistiken, erhalten Sie zusätzliche Informationen. So erfahren Sie als Anwender durch einen Doppelklick auf einen der Top-Datenflüsse, über welches Protokoll die Verbindung zwischen Server und Client abläuft (Abbildung 2).
Abbildung 2: Durch einen Klick im Dashboard auf einen Top-Flow erhalten Sie Informationen darüber, welche Protokolle Client und Server verwenden.
Mit dem Strom gehen
Im Hauptmenü Flows stellt Ntopng detailliert die Verbindung zwischen Client und Server dar. So listet das System neben dem Protokoll der Anwendungsschicht weitere Details auf wie beispielsweise das L4-Protokoll. Bei Protokollen wie HTTP, die zusätzlich einen Port benötigen, um die Verbindung als einmalig zu kennzeichnen, zeigt Ntopng diesen ebenfalls an.
Durch einen Klick auf den Info-Link einer Datenverbindung erfahren Sie zusätzlich, wie viele Bytes und Pakete in jede Richtung fließen. Außerdem können Sie in der Flow-Ansicht die Aktivitäten nach Port, Protokoll oder Host filtern, indem Sie oberhalb der Tabelle auf einen der Filter klicken.
Gegenstellen
Unter Hosts | Hosts erscheinen alle Hosts, die sich im Netzwerk aufhalten. Ntopng zeigt zudem das Betriebssystem, die IP-Adresse, die Betriebszeit, den Datendurchsatz sowie den Namen des Hosts an. In der Spalte IP-Adresse taucht hin und wieder ein Symbol mit Pfeilen in alle vier Richtungen auf, was auf einen Router hindeutet.
Sämtliche von Ntopng erkannten Netzwerke finden Sie inklusive der übertragenen Datenmenge unter Hosts | Networks. Alle georteten Webserver führt Ntopng mitsamt der Zahl der gesendeten sowie empfangenen Bytes unter Hosts | HTTP Servers auf. Interessant ist zudem das Download-Volumen im Untermenü Looking Glass. Dort lässt sich ablesen, wie viele Daten die einzelnen Hosts insgesamt heruntergeladen haben (Abbildung 3).
Abbildung 3: Die Ansicht »Download-Volumen« zeigt das Verhältnis zwischen gesendeten und empfangenen Daten pro Host in der Spalte »Breakdown« an.
Über Hosts | Geo Map öffnen Sie eine Karte von Google mit den Standorten der Hosts. Bevor Ntopng die Standorte anzeigt, müssen Sie dem Dienst allerdings erst erlauben, seinen Standort mitzuteilen. Die Datenflussmatrix unter Hosts | Local Flow Matrix listet auf, wie viele Daten zwischen zwei Hosts empfangen beziehungsweise gesendet wurden. Im Prinzip sehen Sie hier dieselben Daten wie im Dashboard, allerdings in einer übersichtlicheren Visualisierung.
Möchten Sie die Aktivität der Hosts über einen bestimmten Zeitraum beobachten, dann wählen Sie dazu den Menüpunkt Hosts | Top Hosts. Es erscheint ein Balkendiagramm, das die Aktivität der einzelnen Hosts darstellt. Ein breiter Balken steht für eine besonders hohe Aktivität, ein leeres Feld für keinerlei Datenübertragungen im betrachteten Zeitraum (Abbildung 4).
Abbildung 4: Die Top-Hosts-Seite zeigt die Aktivitäten der Hosts über einen gewissen Zeitraum an.
Im Menü Devices | Layer 2 listet Ntopng alle Computer und netzwerkfähigen Geräte anhand ihrer einmaligen MAC-Adresse auf. Nach einem Klick auf einen der Einträge blendet die Anwendung zunächst die Details zur zugehörigen MAC-Adresse ein. Über den Link Show Hosts können Sie dann die Hosts betrachten, die diese MAC-Adresse benutzen.
Schnittstellen
Die Auswahl eines Netzwerkgeräts unter dem Menüpunkt Interfaces ermöglicht es Ntopng, sämtliche Daten über das betreffende Device zu sammeln. In der Schnittstellenansicht finden Sie den Reiter Packets, der in Form von diversen Kuchendiagrammen Informationen zur Verteilung von Paketen aufbereitet. Solche Statistiken helfen unter anderem, TCP-Flag-basierte Angriffe zu entdecken. Idealerweise sollten die Paare SYN – SYN|ACK und RST – FIN im Verhältnis 1:1 stehen (Abbildung 5).
Abbildung 5: Anhand der TCP-Flag-Verteilung lassen sich TCP-Flag-basierte Angriffe ermitteln.
Im Reiter Protocols signalisieren weitere Kuchendiagramme die Verteilung der Daten hinsichtlich der Protokolle. Dort lässt sich beispielsweise beobachten, wie viele Daten insgesamt über das HTTP-Protokoll laufen. Das Untermenü Charts zeigt den Datenfluss auf der markierten Netzwerkschnittstelle über einen auswählbaren Zeitraum an. Über das Zahnradsymbol lassen sich eine Reihe von Einstellungen zur markierten Schnittstelle treffen. Beispielsweise aktivieren Sie über die Option Trigger Interface Alerts einen Alarm für den Fall von TCP-Flag-basierten Angriffen (Abbildung 6).
Abbildung 6: Um TCP-Flag-basierte Angriffe zu entdecken, sollten Sie die Option »Trigger Interface Alerts« aktivieren.
Sicherheit
Über das Dashboard beziehungsweise die Active-Flow-Ansicht spüren Sie auch Teilnehmer im Netzwerk auf, die sich seltsam verhalten [4]. Dazu zählen etwa Hosts mit geringer Bandbreite (etwa 0 bit/s), solche mit selbst signierten SSL-Zertifikaten oder Geräte aus Ländern, von denen man keine Verbindung erwartet (unter Hosts | Geo Map).
