ntop: ein bedeutsames Tool für die Netzwerkanalyse

ntop ist für Netzwerke das, was top für Prozesse auf dem lokalen System ist. Mit top kann lassen sich Prozess-Informationen aller Art einsehen: Speicher- und Prozessorauslastung, Systemauslastung und so weiter. ntop macht ähnliche Informationen transparent, nur in Bezug auf Netzwerkprozesse: Netzwerkdurchsatz, aktive Verbindungen, welche Hostrechner mit welchen Sites verbunden sind, die Bandbreitenmenge, die an eine bestimmte Site übertragen wird, welche Protokolle genutzt werden und mehr. ntop bietet so viele Informationen, dass es eine Weile dauert, bis man einen Überblick bekommt und findet, was einen interessiert.

Eine Reihe von Linux-Distributionen liefern ntop als fertiges Installationspaket, sodass es sich bequem mit yum, urpmi oder apt-get aufspielen lässt. Wenn es installiert ist, sollte es zuerst manuell gestartet werden, damit ein Administrator-Passwort festgelegt werden kann. Statt service ntop start auszuführen, startet man ntop direkt. Es fragt dann nach einem Passwort, bevor es den eigentlichen Dienst initialisiert. Ist ein Passwort festgelegt, kann man mit CTRL-C den Dienst beenden. Damit der Dienst im Hintergrund laufen kann, muss jetzt service ntop start ausgeführt werden.

Die Verbindung mit dem Host, auf dem ntop läuft, klappt standardmäßig über Port 3000. Möglicherweise bestehen Zugriffsbeschränkungen, die den Zugriff auf alles andere als Verbindungen, die vom lokalen Host ausgehen, verbieten. Wer von einem anderen Host aus eine Verbindung herstellen möchte, muss eventuell die ntop-Konfigurationsdatei (/etc/ntop.conf bei Fedora) bearbeiten. Bei Fedora zum Beispiel hört ntop auf 127.0.0.1:3000 für http-Verbindungen. Um die Adresse erreichbar zu machen, muss sie geändert werden, zum Beispiel in 192.168.10.1:3000. Ein Neustart macht die Änderungen wirksam. Jetzt kann sich der Nutzer mit einem Webbrowser über die Adresse http://[ip_address]:3000 einloggen oder über https://[ip_address]:3001, wenn der HTTPS-Server aktiviert ist (siehe Konfigurationsdatei).

Nach dem Einloggen bietet ntop jede Menge Informationen über den Datenverkehr im Netzwerk. Auf der Hauptseite findet man allgemeine Traffic-Statistiken, die unter anderem folgende Informationen liefern:

  • Gesamtanzahl der Pakete nach Art (TCP, UDP und so weiter)
  • Gesamtanzahl der Pakete nach Paketgröße
  • fehlerhafte Datenpakete
  • Anzahl der Teilstrecken zu entfernten Rechnern
  • aktuelle und durchschnittliche Netzwerkauslastung
  • Protokollverteilung (nach aktiven Protokollen wie HTTP, SSH oder FTP)

Oben auf der Seite befinden sich Links zur Konfiguration verschiedener Plug-ins und Konfigurationsoptionen für ntop. Es gibt auch Links zu anderen Darstellungsmöglichkeiten der Daten, etwa die Statistik zur Netzwerkauslastung in Form von RRD-Grafiken oder eine Darstellung der Verbindungen nach Host. Letzteres ist wirklich praktisch, wenn man wissen möchte, welche Systeme mit einer bestimmten Domäne verbunden sind und auf welche Weise.

Ein Beispiel: Wer auf einen Link wie „www.facebook.com“ klickt, kann genau sehen, wann in den letzten 24 Stunden Daten dorthin geschickt wurden, welche Hosts im lokalen Subnetz sich damit verbunden haben und welches Protokoll verwendet wurde (etwa HTTP oder HTTPS). Es gibt sogar Links, bei denen man mithilfe von Google Maps sehen kann, wo der Zielhost geografisch steht, und mit einem einfachen Klick sind sogar WHOIS-Informationen verfügbar.

Die Informationsmenge, die ntop bereitstellt, ist sehr beeindruckend. Wer Fehler beseitigen oder die Netzwerkauslastung und den Durchsatz überwachen muss, ist mit ntop definitiv gut bedient.

ZDNet.de Redaktion

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

3 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago