Como analizar el trafico de nuestra red con Ntop

NTOP (Network TOP) es una herramienta que no puede faltar al administrador de red, porque permite monitorizar en tiempo real los usuarios y aplicaciones que están consumiendo recursos de red en un instante concreto y además es capaz de ayudarnos a la hora de detectar malas configuraciones de algún equipo (esto salta a la vista porque al lado del host sale un banderín amarillo o rojo, dependiendo si es un error leve o grave), o a nivel de servicio. Posee un microservidor web que permite que cualquier usuario, que sepa la clave, pueda ver la salida NTOP de forma remota con cualquier navegador, y además es GNU. El software esta desarrollado para plataformas Unix y Windows.

En Modo Web, actúa como un servidor de Web, volcando en HTML el estado de la red. Viene con un recolector/emisor NetFlow/sFlow, una interfaz de cliente basada en HTTP para crear aplicaciones de monitoreo centradas en top, y RRD para almacenar persistentemente estadísticas de tráfico.

Los protocolos que es capaz de monitorizar son: TCP/UDP/ICMP, (R)ARP, IPX, DLC, Decnet, AppleTalk, Netbios, y ya dentro de TCP/UDP es capaz de agruparlos por FTP, HTTP, DNS, Telnet, SMTP/POP/IMAP, SNMP, NFS, X11.


Ntop esta disponible en los repositorios de Ubuntu, lo puedes usar como demonio o ejecutarlo como comando.

Para instalarlo solo tienes que escribir:

$sudo apt-get install ntop

Para ejecutarlo tienes que hacerlo como sudo con la siguiente sintaxis.

$sudo ntop

Ojo si ya lo has configurado como demonio, no tienes porque ejecutar el comando, directamente puedes ver el análisis del trafico de red con para ello abrimos el navegador y escribimos:

http://localhost:3000

¿Para que nos sirve Ntop?

Ntop nos sirve para auditar el trafico de nuestra en busca de errores en la misma.

¿Como podemos hacer esto?

Ntop nos facilita una serie de menús que nos permite estudiar los diferentes componentes de nuestra red con los diferentes protocolos mencionados anteriormente.

¿Qué información nos aporta Ntop?

  • Dispone de gran variedad de informes: informes globales de carga de red, de tráfico entre elementos, de sesiones activas de cada elemento, etc.
  • Detecta posibles paquetes perniciosos.
  • Permite exportar los datos a una base de datos relacional MySQL para su análisis.
  • Es capaz de analizar datos proporcionados por dispositivos de red que soporten NetFlowsFlow. y
  • Pues hasta el mínimo detalle. Ntop nos aporta mucha información tandt de los interfaces, el trafico y los host de nuestra red. Nos dice a que hora se utiliza la red, durante cuanto tiempo se esta conectado a un servicio, pagina web... Que web se visitan, donde están estas web, que sistemas operativos usan....
  • Nos muestra gráficas del uso de la red, en sus diferentes dispositivos, con sus diferentes protocolos y sus diferentes niveles de detalle.

¿Para que nos sirve esta información?

Para muchas cosas, ejemplos:

  • Un hogar donde se usa Linux y Windows. Supón que en Windows el ordenador tiene un troyano o gusano que cada x tiempo manda información a internet. Con Ntop podríamos observar que se esta mandando es información, a que dirección web la esta mandando y con que frecuencia se esta mandando.
  • Un hogar donde los niños pequeños navegan por internet y queremos saber a que sitios están entrando nuestros hijos y/o que uso de la red están haciendo. Pues podríamos ver si usan un programa de mensajería instantánea, si entran en chats, foros o redes sociales, etc.
  • También podríamos ver si alguien que no pertenece a nuestra red esta haciendo uso de la misma.

Mas información en http://www.ntop.org/


Definición obtenida de la wikipedia.

3 comentarios:

Anónimo dijo...

Buen trabajo, un artículo muy interesante!

Leugim San,

Anónimo dijo...

Microsoft Windows [Versión 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Users\11>tasklist

Nombre de imagen PID Nombre de sesión Núm. de ses Uso de memor
========================= ======== ================ =========== ============
System Idle Process 0 Services 0 12 KB
System 4 Services 0 532 KB
smss.exe 284 Services 0 656 KB
csrss.exe 364 Services 0 2.848 KB
wininit.exe 412 Services 0 3.020 KB
csrss.exe 424 Console 1 3.644 KB
winlogon.exe 472 Console 1 3.868 KB
services.exe 500 Services 0 5.516 KB
lsass.exe 524 Services 0 6.580 KB
lsm.exe 532 Services 0 2.620 KB
svchost.exe 640 Services 0 5.640 KB
DFServ.exe 696 Services 0 6.096 KB
svchost.exe 772 Services 0 4.788 KB
svchost.exe 836 Services 0 13.064 KB
svchost.exe 896 Services 0 32.820 KB
svchost.exe 944 Services 0 22.328 KB
audiodg.exe 1036 Services 0 13.572 KB
svchost.exe 1100 Services 0 10.288 KB
svchost.exe 1220 Services 0 9.988 KB
aswUpdSv.exe 1288 Services 0 580 KB
ashServ.exe 1308 Services 0 15.028 KB
cp40.exe 1564 Console 1 15.032 KB
spoolsv.exe 1596 Services 0 9.504 KB
svchost.exe 1672 Services 0 9.480 KB
armsvc.exe 1784 Services 0 2.552 KB
taskhost.exe 1908 Console 1 5.044 KB
ashWebSv.exe 408 Services 0 808 KB
ashMaiSv.exe 756 Services 0 1.624 KB
taskeng.exe 1840 Services 0 3.372 KB
GoogleUpdate.exe 368 Services 0 1.080 KB
svchost.exe 2156 Services 0 17.556 KB
FrzState2k.exe 2264 Console 1 9.820 KB
sppsvc.exe 2804 Services 0 6.708 KB
svchost.exe 2888 Services 0 33.248 KB
SearchIndexer.exe 2916 Services 0 6.300 KB
SearchProtocolHost.exe 3220 Services 0 6.084 KB
SearchFilterHost.exe 3240 Services 0 3.520 KB
explorer.exe 3336 Console 1 35.800 KB
chrome.exe 3536 Console 1 13.228 KB
wmpnetwk.exe 3688 Services 0 9.420 KB
taskhost.exe 3728 Services 0 11.968 KB
chrome.exe 3928 Console 1 13.856 KB
WmiPrvSE.exe 4040 Services 0 6.596 KB
cmd.exe 2492 Console 1 2.440 KB
conhost.exe 908 Console 1 4.244 KB
tasklist.exe 2580 Console 1 4.000 KB

C:\Users\11>

Anónimo dijo...

Microsoft Windows [Versión 6.1.7600]
Copyright (c) 2009 Microsoft Corporation. Reservados todos los derechos.

C:\Users\11>netstat -ao

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP 0.0.0.0:135 PC11:0 LISTENING 772
TCP 0.0.0.0:445 PC11:0 LISTENING 4
TCP 0.0.0.0:2222 PC11:0 LISTENING 1564
TCP 0.0.0.0:5357 PC11:0 LISTENING 4
TCP 0.0.0.0:49152 PC11:0 LISTENING 412
TCP 0.0.0.0:49153 PC11:0 LISTENING 836
TCP 0.0.0.0:49154 PC11:0 LISTENING 944
TCP 0.0.0.0:49155 PC11:0 LISTENING 500
TCP 0.0.0.0:49156 PC11:0 LISTENING 524
TCP 127.0.0.1:12025 PC11:0 LISTENING 756
TCP 127.0.0.1:12080 PC11:0 LISTENING 408
TCP 127.0.0.1:12110 PC11:0 LISTENING 756
TCP 127.0.0.1:12119 PC11:0 LISTENING 756
TCP 127.0.0.1:12143 PC11:0 LISTENING 756
TCP 192.168.1.101:139 PC11:0 LISTENING 4
TCP 192.168.1.101:2222 ALAMBRE:49445 ESTABLISHED 1564
TCP 192.168.1.101:49164 cb-in-f188:5228 ESTABLISHED 3928
TCP 192.168.1.101:49165 gru06s25-in-f4:http TIME_WAIT 0
TCP 192.168.1.101:49166 gru09s17-in-f3:http TIME_WAIT 0
TCP 192.168.1.101:49167 gru09s17-in-f3:http TIME_WAIT 0
TCP 192.168.1.101:49168 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49169 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49170 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49171 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49172 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49173 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49174 gru06s25-in-f4:https ESTABLISHED 3928
TCP 192.168.1.101:49175 gru06s25-in-f4:https ESTABLISHED 3928
TCP 192.168.1.101:49176 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49177 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49178 gru06s25-in-f14:https ESTABLISHED 3928
TCP 192.168.1.101:49180 gru06s25-in-f14:https ESTABLISHED 3928
TCP 192.168.1.101:49182 cb-in-f95:https ESTABLISHED 3928
TCP 192.168.1.101:49183 gru06s25-in-f14:https ESTABLISHED 3928
TCP 192.168.1.101:49184 200.123.195.32:http ESTABLISHED 1220
TCP 192.168.1.101:49185 gru06s25-in-f4:https ESTABLISHED 3928
TCP 192.168.1.101:49186 gru09s17-in-f3:https ESTABLISHED 3928
TCP 192.168.1.101:49187 gru06s25-in-f14:http ESTABLISHED 3928
TCP [::]:135 PC11:0 LISTENING 772
TCP [::]:445 PC11:0 LISTENING 4
TCP [::]:5357 PC11:0 LISTENING 4
TCP [::]:49152 PC11:0 LISTENING 412
TCP [::]:49153 PC11:0 LISTENING 836
TCP [::]:49154 PC11:0 LISTENING 944
TCP [::]:49155 PC11:0 LISTENING 500
TCP [::]:49156 PC11:0 LISTENING 524
TCP [::1]:5357 PC11:49163 TIME_WAIT 0

Entradas populares