Software de monitoreo NTOP

Ntop (Network TOP)

Permite monitorizar en tiempo real los usuarios y aplicaciones que estn consumiendo recursos de red en un
instante concreto, es capaz de desglosar el trfico que atraviesa la red o que afecta a un host en concreto y
mostrar informes con mediciones del trfico, uso por hosts, por protocolo, deteccin de anomalas y adems
es capaz de ayudarnos a la hora de detectar malas configuraciones de algn equipo (esto salta a la vista
porque al lado del host sale un bandern amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de
servicio adems facilita la labor de diagnstico de red ya que permite obtener estadsticas de la utilizacin de
nuestro canal que pueden ser consultadas desde el navegador Web todo ello en tiempo real.
Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP
de forma remota con cualquier navegador, y adems es GNU.
Caractersticas

Es un proyecto de software libre.

Su interfaz muy sencilla y via web.
Dispone de gran variedad de informes: globales de carga de red, de trfico entre elementos, de
sesiones activas de cada elemento, etc.
Para capturar los paquetes, la interfaz de red de la mquina que ejecute NTOP debe entrar en modo
promiscuo, lo que implica que hay que disponer de * permisos de administrador en dicha mquina.
NTOP usa por defecto el puerto 3000/TCP para el servidor web de la interfaz.
En Linux, NTOP est presente en las principales distribuciones y es fcilmente instalable desde el
gestor de paquetes de software de la distribucin.
Analiza protocolos TCP/UDP/ICMP.

1.2 Protocolos
Ntop se basa en SNMP El Protocolo Simple de Administracin de Red que un protocolo de la capa de
aplicacin que facilita el intercambio de informacin de administracin entre dispositivos de red. SNMP
permite a los administradores supervisar el funcionamiento de la red, buscar y resolver sus problemas, y
planear su crecimiento
Servicios
Ntop provee el servicio de monitorizacin de red con capacidades de reportes en tiempo real y deteccin en
anomalas o malas configuraciones en equipos.

Los protocolos que es capaz de monitorizar ste ltimo son: TCP/UDP/ICMP, (R)ARP, IPX, DLC,
Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS,
Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.
Dispone de gran variedad de informes: informes globales de carga de red, de trfico entre elementos,
de sesiones activas de cada elemento, etc.
Detecta posibles paquetes perniciosos.
Es capaz de analizar datos proporcionados por dispositivos de red que soporten NetFlowsFlow.
Ofrece al mnimo detalle informacin de los interfaces, el trfico y los host de red. Indica a qu hora se
utiliza la red, durante cunto tiempo se est conectado a un servicio, pgina web, que web se visitan,
donde estn estas web, que sistemas operativos usan.
Nos muestra grficas del uso de la red, en sus diferentes dispositivos, con sus diferentes protocolos y
sus diferentes niveles de detalle.
Red de Flujos
Anlisis del trfico local
Estadsticas de trfico se guardan en bases de datos RRD para el anlisis de trfico a largo plazo.

Requisitos de Hardware
Uso de la memoria
Depende de la configuracin ntop, el nmero de los ejrcitos, y el nmero de sesiones activas TCP. En
general, oscila entre unos pocos MB (LAN poco) a 100 MB para una WAN.
Uso de la CPU
Depende de la configuracin ntop, y las condiciones del trfico. En una LAN PC moderna y grande, es menos
del 10% de la carga de la CPU en general.
1.5.2 Requisitos de Software (Linux):
NTOP requiere algunos paquetes extras para su buen funcionamiento:
Ubuntu en su versin 9.4 con conexin de red y navegando.
Apache2: servidor Web
Mysql: sistema de gestin de base de datos
Graphviz: generador grafico de mapas
Para hacerlo funcionar con todas sus prestaciones, conviene tener instalado:
GDChart, lsof, nmap, bibliotecas OpenSSL, Servidor MySQL.
1.6 Instalacin (Linux versin Ubuntu 9.4)
Paso 0. Instalando el servidor Web: apt-get install apache2
Paso 1. Instalacin del ntop: apt-get install ntop
Paso 2. Configurar el password del administrador: sudo ntop set-admin-password
Paso 3. Instalar el generador grfico de mapa: apt-get install graphviz.
Paso 4. Cambiar el puerto por donde el NTOP despliega la informacin: vi /etc/default/ntop
Adicionar el parmetro del Puerto: GETOPT=-w 5089
Nota: Por razones de seguridad eso obvio realizar el cambio ya que por defecto NTOP muestra la informacin
por el puerto 3000.

Utilidades que permiten monitorear la red Lan/Wan para observar todos los estados de los
dispositivos.
Ntop puede monitorizar el trfico que afecta a un equipo independiente, instalando la aplicacin en
dicho host, de tal manera que se monitoriza el trfico que llega o sale al mismo, pero tambin permite
monitorizar red Lan/ ya que permite observar el trfico de varias redes.
Recibiendo el trfico desde las bocas de un switch configuradas como port mirroring de una VLAN (Virtual
LAN) y se configura un interface de red en el host sobre el que se ejecuta Ntop para recibir el trfico de
cada VLAN. A partir de ese momento empieza a procesarse el trfico de las mismas, pero los reportes se
muestran para cada interface configurada, por lo que en la opcin Admin->Switch N/C se debe seleccionar
para qu interface se quieren visualizar los reportes. Otra opcin posible es que Ntop procese el trfico
contenido en un fichero pcap, lo cual es til cuando se realiza un dump de trfico para su posterior estudio.
Pasos a seguir para solucionar problemas de redes al detectar una desviacin en la red mediante la
herramienta, ejemplifique.
Ntop es herramienta imprescindible para depurar y detectar numerosos problemas y ataques de red como
suplantacin de IP, tarjetas en modo promiscuo, ataques de negacin de servicio, escaneos de puertos,
cuellos de botella.
Ntop se configura mediante ficheros de configuracin indicando la interfaz en la que se quiere escuchar trfico

y presenta un servicio web a travs del cual se puede consultar de forma grfica las diversas estadsticas de
red que se van generando a tiempo real.
Una vez que ha arrancado, podemos ver qu est pasando en nuestra red visitando la pgina
web [Link] o [Link] de la maquina:3000.
El men de navegacin principal de Ntop nos permite ver las siguientes opciones con las que podemos
acceder a los requerimientos de monitoreo:

About: Muestra una explicacin del programa, as como los crditos de las personas que lo han
hecho.
Summary: Muestra los reportes que ofrecen una visin general del trfico tratado.
Traffic: Muestra el reporte actual para la tarjeta de red configurada. En caso de tener varias tarjetas de
red configuradas, debe seleccionarse sobre qu tarjeta de red se desea visualizar los informes en la
opcin Admin/Switch N1C.
Los informes que reporta son:
- N de paquetes recibidos y procesados,
- Distribucin en porcentaje entre (1) unicast/broadcast/ multicast; (2) tamao de paquete; (3) Trfico
1P/no IP; (4) TTL,
- Distancia de los equipos detectados (TTL),
- Carga de la red en Paquetes/sg y Kb/seg.
- Distribucin de Protocolos: tamao en KB y porcentaje; TCP/UDP/ICMP/ARP/ otros,
- Distribucin de Protocolos TCP/UDP: tamao en KB y A); FTP, HTTP, etc.,
- Distribucin por puertos de trfico TCP/UDP en el ltimo minuto.
Hosts
Muestra un listado de hosts detectados y para cada uno de ellos un reporte con: Nombre, Dominio, IP,
MAC, Ancho de banda consumido, Distancia en saltos, Hostcontactados.
All Protocols
Muestra los reportes con la informacin recolectada para todos los protocolos, no slo IP.
Traffic
Muestra un listado de mquinas detectadas y datos sobre los protocolos detectados para cada una de
ellas (IP, UDP, ARP. NetBios, OSPF, etc.).
En la Red
El listado se puede ordenar por cualquier campo. as como se puede discriminar para que muestre
todos los hosts, slo los hosts locales, slo los hosts remotos, todo el trfico, slo el trfico enviado o
slo el trfico recibido.
Throughput
Muestra un listado de hosts con la siguiente informacin:
- Dominio
- Datos (trafico actual, media, mximo kb/s),
- Paquetes (actual, media, mxima) Pack/sec.

El listado se puede ordenar por cualquier campo, as como se puede discriminar para que muestre todos
los hosts, slo los hosts locales, slo los hosts remotos, todo el trfico, slo el trfico enviado o slo el trfico
recibido.

Activity
Listado de host, con dominio y cuadro horario donde se muestra en qu hora han estado activos.
El listado se puede ordenar por cualquier campo, as como se puede discriminar para que muestre
todos los hosts, slo los hosts locales, slo los hosts remotos, todo el trfico, slo el trfico enviado o
slo el trfico recibido.

Local IP
Muestra informes sobre la red local.
Routers
Muestra un listado de Routers detectados para red local y para cada router los hosts que han usado
dicho router, puertos utilizados y para cada puerto indica los hosts que han utilizado dicho puerto.
Active TCP Sessions
Muestra un listado de conexiones TCP activas y para cada una de ellas:
o host / puerto origen,
o host / puerto destino,
o Datos enviados,
o Datos recibidos,
o Desde cundo se encuentra activa la conexin,
o ltima vez que se ha visto trfico para dicha conexin,
o Duracin,
o Tiempo inactivo,
o Latencia.
Data Rcvd, Data Sent: Nos ensea que datos se han recibido/transmitido. Las posibilidades para
visualizarlo es agrupndolo por protocolos, por TCP/UDP, qu cantidad se ha tratado, la actividad de
cada host, y netflows.
Stats: Es el apartado de estadsticas, en la que nos ensea informacin muy completa acerca del
estado de la red. Nos ensea si es trfico unicast, o multicast, la longitud de los paquetes, el Time To
Live del paquete, y el tipo de trfico que viaja (todo ello con porcentajes). Tambin saca un listado de
dominios, y qu plugins podemos activar o desactivar.
IP Traffic: Nos da informacin acerca del sentido del trfico, si va de la red local a una red remota, o
viceversa.
Admin: Sirve para poder cambiar la interfaz de red, crear filtros, y un mantenimiento de usuarios.
Resumiendo:

Aqu podemos seleccionar el trfico que deseamos ver:

Al hacer clic en algn host de nuestro inters, veremos las estadsticas detalladas acerca del su trfico que
ntop ha recopilado hasta el momento:

Contras (o bueno, el nico que le encontr):

Dependiendo de las caractersticas de la maquina en la cual se instale y la cantidad de trafico a analizar,
paulatinamente puede consumir los recursos del sistema hasta dejarlo completamente saturado. Recomiendo
utilizar MRTG para anlisis continuo de nuestro trafico y ntop en casos puntuales o anlisis de rutina limitados
a mximo 24 o 48 horas.
Conviene eliminar las estadsticas antiguas cada vez que recojamos datos, lo que puede hacerse fcilmente
desde la interfaz de ntop (men Admin Configure Reset stats).
Aunque tambin encontr que NTOP
Permite exportar los datos a una base de datos relacional MySQL para su anlisis.(A mi parecer de esta
manera se puede contrarrestar el problema del consumo de recursos)
Para exportar las estadsticas de trafico recopiladas por ntop (haciendo clic en Utils -> Data Dump), donde
podremos exportar los datos como archivos de texto separado por comas, XML, o arreglos en lenguajes de
programacin como PHP, Perl o Python; jugosa informacin para ser analizada con herramientas externas
como hojas de calculo o ser almacenados en bases de datos como MySQL y PostgreSQL.

Para capturar los paquetes, la interfaz de red de la mquina que ejecute ntop debe entrar en modo promiscuo,
lo que implica que hay que disponer de permisos de administrador en dicha mquina.
Si deshabilitamos el modo promiscuo, ntop analizar slo el trfico de red de la mquina en que se ejecuta.
Esto puede ser til en algunos escenarios.
Ntop usa por defecto el puerto 3000 TCP para el servidor web de la interfaz. Atencin con el firewall si
deseamos acceder a la interfaz desde otra mquina.

Referencias
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]