艾体宝干货 | 教程：使用ntopng和nProbe监控网络流量

本教程旨在分享如何通过 ntopng 和 nProbe 这两款工具，深入了解和掌握网络流量监控的艺术。我们将提供从基本概念到高级应用的全面指导，涵盖了在多种平台和设备上的部署和配置步骤。不论您是专业人员还是技术爱好者，跟随本教程，都能够有效地安装、配置并运用这些工具，以洞察网络的运行状态和性能，确保网络安全与高效运行。

一、什么是Ntopng

Ntopng 是原始 ntop 的下一代版本，它是一款用于监控网络使用情况的网络流量探测器。能从镜像流量、NetFlow 导出器、SNMP 设备、防火墙日志和入侵检测系统中收集流量信息，从而提供 360° 网络可视性。

ntopng 有三个版本：社区版、专业版（小型企业版）和企业版。社区版免费使用，并且开源。服务器的物理网卡可通过指定其接口名称进行监控，如./ntopng -i eth0

不过，我们将在流量收集模式下使用 ntopng 和 nProbe，后者可以充当探针/代理。nProbe 和 ntopng 之间的通信通过 ZeroMQ 进行，ZeroMQ 是一种发布-订阅协议，允许 ntopng 与 nProbe 通信。

ntpong 社区版安装在 Ubuntu 服务器 18.04.1 上，IP 地址为 172.17.100.7/16。Ubuntu 在 VirtualBox 虚拟机中运行。主机（华硕 k55vm）的 IP 地址为 172.17.100.2/16。主机与 SOHO 路由器相连，SOHO 路由器作为网关与 IP 地址为 172.17.100.1/16 的互联网网关相连。网络图如图 1 所示。

nProbe 安装在 Raspberry Pi 3B 上，IP 地址为 172.17.100.50/16。Windows 7 安装在受监控的 PC 上，IP 地址为 172.17.100.10/16，该 PC 连接到 Cisco Catalyst 交换机 3550 的 FastEthernet0/3。安装了 nProbe 的树莓派连接到 FastEthernet0/24。思科交换机连接到 SOHO 路由器。

图 1 - 网络拓扑结构

以下是拓扑结构中所有设备的默认密码列表。

设备 - 用户名/密码

• 树莓派：pi/raspberry
• Ubuntu 服务器 18.04：ubuntu/ubuntu
• ntopng: admin/admin123
• Cisco Catalyst 3550：admin/admin，enable 密码：cisco
• ntpong Web 界面：http://172.17.100.7:3000

硬件

• Raspberry PI 3B

- Raspbian GNU/Linux 9.4 (stretch)

- nProbe v.8.5.180917

• 华硕 K55Vm 16GB 内存

- 主机操作系统 Linux Kubuntu 18.04.1

- 带客户虚拟机的 Oracle VirtualBox 5.2：

-- Ubuntu 16.04.5 服务器，已安装 Ntopng

1. 端口镜像配置

为了从连接 PC（172.17.100.10/16）的受监控（源）端口 Fa0/3 向连接 Raspberry PI 的目标端口 Fa0/24 发送流量，我们需要在 Cisco 上配置端口镜像功能：

Switch(config)# monitor session 1 source interface Fa0/3

Switch(config)# monitor session 1 destination interface Fa0/24 encapsulation dot1q ingress vlan 1

确保 nProbe 向 ntpong 发送流量。

2. 在 Raspberry Pi 3B 上安装 Raspbian Stretch

Raspbian Strech 安装在 Raspberry Pi 3B 上。nProbe 安装在 Raspbian Stretch 之上。

2.1 为 Raspberry Pi3 下载 Raspbian Stretch 并将映像复制到 SD 卡

我们将下载最新的 Raspbian Stretch 并将其保存到 x86-64 Kubuntu 18.04。

$ wget https://downloads.raspberrypi.org/raspbian_lite_latest

解压缩镜像

$ unzip raspbian_lite_latest

确保SD卡未被挂载。如果是，请卸载该卡。

$ sudo umount /dev/mmcblk0

将提取的 piCore 映像复制到 SD 卡。

$ sudo dd bs=4M if=2018-06-27-raspbian-stretch-lite.img of=/dev/mmcblk0 status=progress conv=fsync

从 Kubuntu 中取出 SD 卡并插入树莓派。用用户名 pi 和密码 raspberry 登录。

2.2. 利用 SD 卡上的所有空间

默认情况下，镜像文件只占用 4GB 的 SD 卡空间。请执行以下命令。

# raspi-config

导航至 Advanced Options（高级选项）-> A1 Expand Filesystem（A1 扩展文件系统） 确保操作系统可以使用 SD 卡上的所有存储空间。文件系统将在下次重启时扩大。

2.3 配置静态 IP 地址

为接口 eth0 设置静态 IP 地址。

# echo "interface eth0" >> /etc/dhcpcd.conf

# echo "static ip_address=172.17.100.50/16" >> /etc/dhcpcd.conf

# echo "static routers=172.17.100.1" >> /etc/dhcpcd.conf

# echo "static domain_name_servers=172.17.100.1 8.8.8.8" >> /etc/dhcpcd.conf

2.4 启用 SSH 服务器

导航至 Interface Options-> SSH（接口选项-> SSH）并单击 Yes（是）启用 SSH 服务器。

# raspi-config

2.5 设置时区

我们需要配置正确的时区（图 2）。

# dpkg-reconfigure tzdata

图 2 - Raspberry PI 上的时区配置

3. 在 Raspbian 上安装和配置 nProbe

3.1 安装 nProbe

下载并导入公钥。

$ wget http://packages.ntop.org/apt/ntop.key

$ sudo su

# apt-key add ntop.key

添加 ntop 软件源。

# echo "deb http://apt.ntop.org/stretch_pi armhf/" > /etc/apt/sources.list.d/ntop.list

# echo "deb http://apt.ntop.org/stretch_pi all/" >> /etc/apt/sources.list.d/ntop.list

# apt-get update

从软件源安装 nprobe。

# apt-get install nprobe

3.2 nProbe 配置

我们将在另一篇文章中讨论 nProbe 配置。

4. Ubuntu 18.04.1 服务器的安装和配置

Ubuntu 18.04.1 作为 VirtualBox guest 虚拟机运行，本教程不涉及其安装。

4.1 Ubuntu 18.04.1 服务器的静态 IP 地址配置

Ubuntu 18.04 使用 netplan 配置网络接口（图 3）。根据需要更改网卡名称，我的网卡名称是 enp0s3。

$ cat /etc/netplan/01-systemd-networkd-eth.yaml

图 3 - Ubuntu 18.04 的静态 IP 地址配置

保存更改。

$ sudo netplan apply

5. 在 Ubuntu 18.04.x LTS 服务器上安装和配置 Ntopng

ntpong 可以从软件源安装，也可以从源代码编译安装。我们将展示这两种方法，请选择你喜欢的安装方式。

5.1 从版本库安装 ntpong

将 repository universe 添加到 /etc/apt/sources.list 中（图 4）。使用你喜欢的文件编辑器。

$ sudo su

# vi /etc/apt/sources.list

图 4 -将 Universe 添加到 Ubuntu 存储库列表

# apt-get update

# apt-get install ntopng

5.2Ntop源码编译和安装

如果您喜欢手动安装，下面是步骤。

$sudo su

添加universe存储库，因为我们将从存储库中安装redis服务器（图4）。

安装PF_RING、nDPI和ntpong的依赖项。

$ sudo apt-get install autoconf pkg-config libtool libcurl4-openssl-dev rrdtool librrd-dev libmysqlclient-dev bison flex libpcap0.8-dev libmaxminddb-dev libsqlite3-dev libpcap-dev

5.2.1从存储库安装 Redis 服务器

$ sudo apt-get install redis-server redis-tools

5.2.2 PF_RING 安装

$ git clone https://github.com/ntop/PF_RING.git

$ cd PF_RING/kernel

$ make

$ sudo insmod ./pf_ring.ko

$ cd ../userland

$ make

$ cd ~

5.2.3 nDPI 安装

$ git clone https://github.com/ntop/nDPI.git

$ cd nDPI

$ ./autogen.sh

$ ./configure –with-pic

$ make

$ cd ~

5.2.4 ntopng 安装

$ git clone https://github.com/ntop/ntopng.git

$ cd ntopng

$ ./autogen.sh

$ ./configure

$ make geoip

$ make

$ sudo make install

5.2.5 ntopng 安装后步骤

如果您在启动 ntpong 时发现权限问题，请将以下目录的所有者从 root 更改为nobody。

# chown -R nobody /var/lib/ntopng/

6. 测试

打开您常用的网络浏览器并输入 URL http://172.17.100.7:3000。如果您正确遵循说明，您将看到 Ntopng 登录页面。默认用户名是admin，密码是admin。首次登录时系统会提示您更改密码。

我们将在下一个教程中讨论 ntpong 流收集模式。

图5-ntopng登录页面

黑客&网络安全如何学习

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

 1.学习路线图 

 攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

 

 （都打包成一块的了，不能一一展开，总共300多集）

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

3.技术文档和电子书

技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。 

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。 

 还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取

 最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

 因篇幅有限，仅展示部分资料，需要保存下方图片，微信扫码即可前往获取