ntopng 소개
Ntop의 역사
Ntop은 "Network top"의 약자로, 네트워크 트래픽 모니터링을 위한 오픈 소스 도구입니다. 1998년에 Luca Deri에 의해 개발되었으며, 웹 기반 인터페이스를 통해 네트워크 사용량과 성능을 실시간으로 모니터링할 수 있습니다.
Ntopng: 차세대 네트워크 모니터링
Ntopng는 "next generation ntop"의 약자로, Ntop의 후속 버전입니다. 더 강력하고 현대적인 기능을 제공하며, 고성능 네트워크 트래픽 분석 및 모니터링 도구입니다.
- •실시간 네트워크 트래픽 모니터링
- •프로토콜 분석 및 패킷 캡처
- •플로우 분석 등 다양한 기능 제공
- •웹 기반 GUI를 통한 사용자 친화적인 인터페이스
Ntop Team
Ntop team은 Luca Deri가 이끄는 이탈리아 기반의 팀으로, 오픈 소스 프로젝트와 상용 제품을 동시에 개발하고 있습니다. Ntop, Ntopng 외에도 nProbe, n2disk, nBox 등 다양한 네트워크 관련 도구를 개발하며, 네트워크 모니터링, 트래픽 분석, 보안, 성능 최적화 등의 분야에서 혁신적인 솔루션을 제공하고 있습니다.
ntopng 주요 기능
Realtime Packet Capture
- 실시간 패킷 캡처 방식 사용
- 발신지 IP, 수신지 IP, 포트, L7 애플리케이션 정보 분석
- 사용량이 많은 사용자 IP 조회 및 확인
- HTTPS 프로토콜의 헤더 정보 해독 가능
트래픽 가시화 구현
- VLAN별 발생 트래픽 양 확인
- 트래픽 이동 경로 추적 및 최종 목적지 확인
- 실시간 접속 상황 도식화 표시
- 네트워크 대역별 호스트 및 트래픽 정보 파악
애플리케이션별 트래픽 분석
- DPI(Deep Packet Inspection) 기술로 트래픽 분류
- SSL, TLS, QUIC 등 암호화된 패킷 헤더 분석
- Youtube, Facebook, Google 등 서비스 자동 분류
- 포트번호 매핑 기능 및 수동 추가 가능
실시간 트래픽 분석
- 3~5초 내 반영되는 실시간 분석
- 조건 필터링을 통한 원하는 내용 출력
- API 지원으로 외부 시스템과 데이터 연동
- AS number, VLAN, 국가별 통신 상태 확인
트래픽 시각화 기능
직관적이고 강력한 네트워크 분석 인터페이스
VLAN 트래픽 분석
VLAN별 트래픽 사용량과 패턴을 실시간으로 모니터링하여 네트워크 세그먼트별 성능 최적화
AS 번호 분석
AS별 트래픽 분포를 시각화하여 외부 네트워크와의 연결 상태 파악
네트워크 토폴로지
네트워크 구조와 연결 상태를 직관적으로 시각화하여 문제점 신속 파악
호스트별 상세 분석
개별 호스트의 트래픽 패턴과 통신 상대를 상세히 분석
플로우 상세 분석
네트워크 플로우를 실시간으로 캡처하고 분석하여 이상 징후 탐지
지능형 경보 시스템
임계값 기반 실시간 경보로 네트워크 이상 상황 즉시 감지
애플리케이션 분석
애플리케이션별 트래픽 분석
DPI 기술을 활용하여 애플리케이션을 자동으로 식별하고 분류합니다
- YouTube, Netflix 등 스트리밍 서비스 자동 인식
- 암호화된 HTTPS 트래픽도 헤더 분석으로 분류
- 커스텀 포트 매핑으로 사내 애플리케이션 추가 가능
AS Number 기반 분석
자치 시스템(AS) 단위로 트래픽을 분석하여 네트워크 경로를 파악합니다
- 국가별, ISP별 트래픽 분류 및 분석
- 트래픽이 경유하는 AS 경로 추적
- 특정 AS와의 통신량 모니터링
커스텀 쿼리 및 검색
강력한 필터링과 검색 기능으로 원하는 정보를 즉시 찾을 수 있습니다
- SQL과 유사한 쿼리 언어로 데이터 검색
- 실시간 필터링으로 특정 트래픽만 표시
- 검색 결과를 CSV, JSON으로 내보내기
실시간 분석
보안 분석
상세 리포트
자산 인벤토리
Active Monitoring
주기적으로 Active Ping을 보내서 장비 상태와 응답속도 측정 및 확인
nBPF 필터링
nBPF 필터를 사용하여 원하는 트래픽을 추출하고 DB에 저장
Node Port 접근 확인
Node Port로 접근 여부 확인 기능 탑재
기간별 분석
1시간, 1일, 1주일, 1달, 6개월, 1년 등 다양한 기간별 정보 확인
인터페이스별 분석
보려고하는 인터페이스, 애플리케이션별 확인 가능 (예: YouTube 등)
Category별 필터링
Category 종류에 따라 호스트 정보를 가시화하여 표시
고급 기능
엔터프라이즈 환경을 위한 확장 기능
NetFlow/sFlow 수집
라우터와 스위치에서 플로우 데이터를 수집하고 분석하여 전체 네트워크 트래픽을 파악합니다.
행동 분석
머신러닝 기반 행동 분석으로 정상 패턴을 학습하고 이상 행동을 자동으로 탐지합니다.
API 통합
REST API를 통해 외부 시스템과 쉽게 통합하고 자동화된 워크플로우를 구축합니다.
사용자 추적
사용자별 네트워크 활동을 추적하고 상세한 사용 패턴을 분석합니다.
알림 시스템
다양한 채널을 통한 실시간 알림으로 중요한 이벤트를 즉시 인지하고 대응합니다.
보고서 생성
맞춤형 보고서와 대시보드로 경영진과 기술팀 모두에게 인사이트를 제공합니다.
기술 사양
| 지원 프로토콜 |
|
| 성능 |
|
| 데이터 수집 |
|
| 통합 옵션 |
|
| 시스템 요구사항 |
|
시스템 통합
기존 인프라와 완벽하게 통합
Grafana
ELK Stack
SIEM
Slack
향후 LLMs를 이용한 트래픽 분석
AI 기반 네트워크 분석의 미래
다양한 LLMs 활용
OpenAI, Llama, Groq, Mistral, Mixtral 등 다양한 LLMs 분석 접근방법으로 네트워크 취약점을 분석합니다.
현재 Gabriel Deri 개발자에 의해서 개발중이며 향후 메뉴에 추가 예정
자동화된 로그 분석
엄청난 양의 로그 데이터를 사람이 일일히 읽지 않고 기계가 읽어서 문제점을 찾아줄 수 있습니다. 트래픽에서 발생한 주의깊은 공격, 취약점에 대한 보고서를 자동으로 제공합니다.
학습 기반 개선
다양한 학습 방법 (Fine Tuning) 기법에 의해서 분석 능력은 더 스마트해질 수 있습니다.
- •악성파일 공격 탐지 및 분석
- •DNS Attack 공격 패턴 인식
- •다양한 취약점 분석에 활용