1

Analisando trafego de sua rede com NTOP

Diego M. Rodrigues (diego@drsolutions.com.br)



O NTOP um programa muito simples de ser instalado e no requer quase nenhuma configurao. Ele
capaz de gerar excelentes grficos de monitoramento das interfaces de rede de uma mquina sobre
diversos protocolos.

Ao contrrio de outros programas, o NTOP possui seu prprio servidor HTTP portanto podemos
acessar seus resultados atravs de um navegador qualquer, sem a necessidade de instalar algo como um
Apache no Gateway de nossa rede.

Na pgina oficial do NTOP (http://www.ntop.org/) voc encontra muita documentao, binrios,
cdigos fonte, etc... Voc tambm pode baixar fontes direto do Souceforge
http://sourceforge.net/projects/ntop .

Nesse artigo abordaremos os principais aspectos de instalao e uso do NTOP no Fedora Core 4.



PARTE - nstalando o NTOP

Primeiro vamos logar como ROOT no sistema
[diegoapolo ~jS su -l

Agora vamos fazer o download do NTOP j empacotado para o FC4. Existem muitos lugares em que
esse rpm pode ser encontrado (procure no google). Abaixo um exemplo:
[rootapolo ~j# wget http://ftp.belnet.be/packages/dries.ulyssis.org/fedora/fc4/i386/RPM8.d
ries/ntop-3.2-1.2.fc4.rf.i386.rpm

Depois que o download terminar, vamos instalar:
[rootapolo ~j# rpm -ivh ntop-3.2-1.2.fc4.rf.i386.rpm

Ok... o NTOP j est instalado em sua mquina. Vamos rodar a primeira vez o programa para ajustar a
senha de admin:
[rootapolo ~j# ntop

Muitas coisas iro aparecer na sua tela... at que o programa ir perguntar para voc a senha de admin,
algo assim:

"ntop startup - waiting for user response!

Please enter the password for the admin user:"

2


Digite a senha de admin... confirme depois... pronto! O NTOP est rodando!

Como no estamos rodando o NTOP como daemon, voc ficar recebendo informaes do programa e
seu terminal ficar travado, algo do tipo:


Para testar, abra o seu Navegador preferido e digite:
http://localhost:3000

Caso voc esteja rodando o NTOP em uma mquina sem ambiente grfico (roteador da sua rede), pode
entrar pelo IP:
http://ip.da.maquina.aqui:3000

A pgina exibida ser algo como:
3


No irei entrar em detalhes sobre a utilizao do ambiente Web por ele ser muito intuitivo.

Dependendo do firewall instalado na mquina, pode ser que voc no consiga abrir a pgina do NTOP,
ento ser necessrio liberar o trfego pela porta 3000 na chain INPUT:
[rootapolo ~j# iptables -t filter - NPUT -p tcp --dport 3000 -] ACCEPT



PARTE - Opes do NTOP

Rodar o NTOP simplesmente digitando ntop na linha de comando necessrio na primeira vez que
executamos o programa para configurar a senha de Admin, mas no muito elegante deixarmos o
terminar logado e travado executando o NTOP.

-d
A maneira usual de rodar o NTOP coloc-lo em background como daemon, para isso digite:
[rootapolo ~j# ntop -d -L
A opo d coloca o NTOP para rodar como daemon e a opo L faz com que ele use o SysLog
como sistema de LOGs.

4


w [porta http]
Altera a porta em que o NTOP servir os resultados. Por exemplo, para rodarmos o NTOP no modo
daemon e na porta 5000, usamos:
[rootapolo ~j# ntop -d -L -w 5000

W [porta https]
Podemos fazer com que o NTOP exiba seus resultados atravs de uma conexo segura, para isso
passamos a porta em que o NTOP ir trabalhar usando a opo W, exemplo:
[rootapolo ~j# ntop -d -L -w 0 -W 443

O commando acima diz que o NTOP no deve servir http (-w 0) e servir https na porta 443 (-W 443).

-a [arquivo]
Grava um arquivo de LOG das requisies feitas ao servidor http do NTOP, onde so apresentados
diversos resultados como IP de quem logou, o que foi requisitado, quanto tempo o servidor demorou
para responder...

-g
Faz com que o NTOP s capture pacotes relacionados sua rede local.

-i [interface]
Especifica qual interface o NTOP deve analisar. Exemplo:
[rootapolo ~j# ntop -i eth0,eth1
Faz com que o NTOP monitore as interfaces eth0 e eth1 da sua mquina.

-l [arquivo]
Gera um arquivo de Log no formato TCPDump da atividade das suas interfaces de rede. Essa opo
deve ser usada com o parmetro O descrito abaixo.

-q
Gera um arquivo de Log no formato TCPDump com os registros dos pacotes que l NTOP considera
suspeitos. Essa opo deve ser usada com o parmetro O descrito abaixo.

5
-O [caminho]
Especifica o caminho em que o arquivo de log ser gravado. Exemplos:
[rootapolo ~j# ntop -l logntop -O /var/log/
[rootapolo ~j# ntop -q -O /var/log/


-p ["ROTULO=protocolo1|protocolo2|...,ROTULO=protocolo3|protocolo4,..."]
Com essa opo podemos filtrar a anlise apenas alguns protocolos especficos. Esses protocolos
devem estar no arquivo /etc/services.

[rootapolo ~j# ntop -p "HTTP=http|www"
No exemplo acima, apenas os pacotes de usam http e www sero analizados pelo NTOP.

[rootapolo ~j# ntop -p "FTP=ftp,DN8=name,HTTP=http|www"
J nesse exemplo, iremos analizar os pacotes que usam http, www, ftp e name.

-b
Essa opo desativa os decodificadores de protocolo do NTOP, responsveis coletar e analisar
informaes na camada 2 e 3 da rede. Essa opo ar com que a quantidade de detalhes exibida em
seus relatrios ser bem menor, sero afetadas informaes sobre Netbios, Netware... S deve ser
usada quando estivermos analizando o trfego de uma rede muito grande ou quando o NTOP estiver
consumindo muito sua CPU.

-n
Desativa a resoluo de nomes/ips atravs dos servidores DNS. Essa opo tambm pode economizar
recursos do computador.

-A
Altera a senha de Admin.

-m [ip_da_rede_local/mscara]
O NTOP determina automaticamente os endereos de IP e mscaras de rede para cada interface.
Qualquer trfego nessas redes considerado como trfego local. O parmetro m possibilita que redes
e subredes adicionais sejam consideradas como trfego local nos relatrios no NTOP. Cada conjunto
IP/mscara deve estar separado por , (vrgula). Exemplo:
[rootapolo ~j# ntop -m "131.114.21.0/24,10.0.0.0/255.255.255.0"


-D [domnio]
Com essa opo podemos especificar o domnio local para o NTOP, caso ele no esteja conseguindo
descobrir sozinho.

-M
No modo default, o NTOP mescla os dados coletados de todas as interfaces que est monitorando em
uma nica tabela. Caso voc esteja monitorando uma rede pequena, isso no deve causar problemas.
Quando estamos falando de grandes redes, queremos provavelmente separar os dados coletados em
cada interface, e isso feito com a opo m.

-r [segundos]
Especifica o tempo em segundos entre cada auto-refresh da pgina de seu navegador. O padro 3
segundos. Note que se voc colocar um tempo muito pequeno, o NTOP pode no ser capaz de
processar o trfego de todas as interfaces.

6
PARTE - Algumas dicas

1 DICA: Monitoramento automtico
Para colocar o ntop para rodar sempre que seu computador for ligado, insira a segunte liga no seu
rc.local :
[rootapolo ~j# vi /etc/rc.local
/usr/bin/ntop w 3000 -d -L


2 DICA: NTOP s na rede interna
Ficar disponibilizando os dados do seu Gateway para o mundo inteiro no uma coisa muito legal. Por
isso vamos colocar uma regra de firewall que barra o acesso dos relatrios do NTOP para a rede
interna.
Vamos assumir que a eth0 do nosso Gateway est ligado internet e a eth1 est ligada nossa rede
interna.
[rootapolo ~j# iptables -t nat - PREROUTNG -i eth0 -p tcp --dport 3000 -] DROP
[rootapolo ~j# iptables -t nat - PREROUTNG -i eth1 -p tcp --dport 3000 -] ACCEPT
[rootapolo ~j# iptables -t filter - NPUT -i eth1 -p tcp --dport 3000 -] ACCEPT


3 DICA: Relatrios s com senha
Vamos fechar a exibio dos relatrios apenas para os usurios cadastrados na interface Web, caso
voc no tenha cadastrado nenhum, apenas o usurio admin poder ver os resultados.

V em Admin >> Configure >> Protect URLs




Agora na prxima tela, clique em Add URL.
7


Como queremos proteger todas as pginas, na tela Manage ntop URLs, deixe o campo URL em
branco, escolha os usurios autorizados e depois clique no boto Add URL.



Pronto. Agora apenas usurios que possurem login/senha podero exibir os relatrios do seu NTOP.


Correes e atualizaes desse documento estaro disponveis em:
http://www.drsolutions.com.br/exemplos/ntop.pdf