Introduzione a ntop

Ntop è uno dei più diffusi ed apprezzati programmi di network monitoring. Si basa sulle librerie libcap ed è stato sviluppato per girare su molteplici piattaforme. E' stato sviluppato in Italia e rilasciato sotto licenza GPL.

Ntop è un utility di Traffic Monitoring (e non solo) sviluppata traendo ispirazione dal programma Unix per la visualizzazione dei processi top. Tra le caratteristiche maggiormente volute dagli sviluppatori quella di essere portabile in modo da girare su diverse piattaforme Unix.
Sono disponibili versioni per: Linux, IRIX, Solaris, Sparc, HP-UX, FreeBSD, AIX e MacOSX.
  
Ntop può utilizzare anche software esterni per i propri compiti come per esempio nmap, lsof o mySql ma è fondamentale la presenza della libreria libpcap utilizzata per l'analisi dei pacchetti.
  
Le modalità di utilizzo di ntop sono due:  
- interactive: visualizza le informazioni tramite la shell in modo simile a top (funzione a breve non più supportata);  
- web mode: grazie al web server incorporato è possibile visualizzare le informazioni fornite collegandosi tramite browser all'indirizzo hostname:numero-porta (Es.: http://enigma:3000/ oppure http://192.168.0.2:3000) ;
  
Le principali funzioni svolte da ntop sono:  
- Misurazione del traffico  
- Monitoraggio del traffico  
- Ottimizzazione e pianificazione della rete  
- Individuazione di problemi di sicurezza  
  
Misurazione del traffico  
Ntop raccoglie le informazioni osservando il traffico che passa sulla rete e generando statistiche per ogni host monitorato. Ogni pacchetto viene catturato e classificato in base alla coppia sorgente:destinazione.  
Le informazioni visualizzate da ntop per ogni host sono le seguenti:  
- Dati Inviati/Ricevuti: Traffico totale generato o ricevuto dall'host, classificato in base al protocollo e protocollo IP;  
- Utilizzo di banda: Valore attuale, medio e picchi di utilizzo della banda;  
- Ip Multicast: Totale traffico Multicast generato o ricevuto dall'host;  
- Sessioni TCP: Sessioni TCP stabilite, e relative statistiche di traffico;  
- Traffico UDP: Traffico UDP ordinato per porta;  
- Servizi TCP/UDP: Elenco dei servizi TCP e UDP utilizzati e degli ultimi cinque host che li hanno utilizzati;  
- Distribuzione del traffico: Traffico locale, traffico verso hosts remoti, traffico da hosts remoti;  
- Distribuzione del traffico IP: Rapporto tra TCP e UDP;  
  
Le statistiche visualizzate a livello globale sono:  
- Distribuzione del traffico: Rapporto tra traffico locale e traffico remoto ;  
- Distribuzione pacchetti: Il numero totale di pacchetti ordinati per dimensione, rapporto fra unicast e broadcast e fra traffico IP e traffico non IP;  
- Utilizzo della banda: Valore attuale, medio e picchi di utilizzo della banda;  
- Distribuzione vari protocolli: Distribuzione del traffico in relazione al protocollo e alle coppie sorgente:destinazione;  
- Matrice del traffico interno: Monitoraggio del traffico per ogni coppia di Host;  
- Flussi di rete: Flussi di traffico di particolare interesse per l'amministratore;  
  
Monitoraggio del traffico  
Il monitoraggio del traffico consiste nel controllare quando la rete presenta un carico eccessivo oppure non sono rispettate le policy stabilite. Ntop è utile per vedere rapidamente una situazione anomala la quale può derivare per esempio da errate configurazioni di networking. Tra i tipi di problemi individuati da ntop abbiamo:  
- Uso di indirizzi IP duplicati;  
- Identificazione di con schede di rete configurate in modalità "promiscuous mode";  
- Errata configurazione di software di rete (ricavata in basi all'analisi dei protocolli);  
- Uso non consentito di protocolli;  
- Uso improprio di servizi;  
- Identificazione di router (Workstation configurate da router e che permettono quindi traffico non consentito);  
- Eccessivo utilizzo di banda.  
  
Ottimizzazione e pianificazione della rete  
Analizzando i risultati ottenuti da ntop è possibile individuare protocolli inutilmente attivi sulla rete, problemi di routing oppure host che generano un inutile spreco di banda e prendere quindi le dovute azioni al fine di migliorare le performances della rete.
  
Individuazione di problemi di sicurezza  
Sotto il profilo security, ntop è in grado di individuare casi di IP Spoofing, schede di rete in promiscuous mode, attacchi di tipo Denial of Services, Troian Horses su porte note, e portscanning. Una volta individuato un problema di sicurezza sono disponibili diverse opzioni per segnalarlo al network administrator (e-mail, SNMP oppure SMS) oppure porre in essere specifiche azioni al fine di limitare o bloccare l'attacco.

Privacy Policy