Tips en Trucs 2025

Netwerkverkeer monitoren met Ntopng

Ntopng is een open-source netwerkmonitoringprogramma dat real-time netwerkverkeer monitort vanaf een webinterface. Ntopng is de volgende generatie van het originele ntop. Het is een cross-platform tool die beschikbaar is op bijna alle besturingssystemen, waaronder Windows, Unix/Linux, macOS en BSD.

Ntopng biedt veel, zoals:

Ntopng

Ntopng installeren

Voor je met de installatie begint, is het aan te raden om jouw Debian-basissysteem bij te werken door de volgende opdrachten uit te voeren:

dany@pindabook:~$ sudo apt update -y
[sudo] wachtwoord voor root: 
Geraakt:1 http://security.debian.org/debian-security bookworm-security InRelease
Geraakt:2 http://deb.debian.org/debian bookworm InRelease
Geraakt:3 http://deb.debian.org/debian bookworm-updates InRelease
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar 
Alle pakketten zijn up-to-date.
dany@pindabook:~$ sudo apt upgrade -y
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar 
Opwaardering wordt doorgerekend... Klaar
Het volgende pakket is automatisch geïnstalleerd en is niet langer nodig:
  linux-image-6.1.0-28-amd64
Gebruik 'sudo apt autoremove' om het te verwijderen.
0 opgewaardeerd, 0 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.

Met de volgende opdracht vragen we enkele systeemvariabelen op, waaronder de Debian versie waarmee je werkt:

dany@pindabook:~$ source /etc/os-release

Ntopng maakt geen deel uit van de standaard Debian softwarebronnen, dus moet je de Ntopng softwarebron (repository) toevoegen aan jouw Debian-systeem. Download hiervoor het volgende pakket:

dany@pindabook:~$ wget https://packages.ntop.org/apt/$VERSION_CODENAME/all/apt-ntop.deb
--2025-02-09 14:12:58--  https://packages.ntop.org/apt/bookworm/all/apt-ntop.deb
Herleiden van packages.ntop.org (packages.ntop.org)... 2a03:b0c0:2:d0::d27:3001, 167.99.215.164
Verbinding maken met packages.ntop.org (packages.ntop.org)|2a03:b0c0:2:d0::d27:3001|:443... verbonden.
HTTP-verzoek is verzonden; wachten op antwoord... 200 OK
Lengte: 2918 (2,8K) [application/vnd.debian.binary-package]
Wordt opgeslagen als: ‘apt-ntop.deb’

apt-ntop.deb                 100%[==============================================>]   2,85K  --.-KB/s    in 0s      

2025-02-09 14:12:58 (72,0 MB/s) - '‘apt-ntop.deb’' opgeslagen [2918/2918]

En installeer het met de opdracht:

dany@pindabook:~$ sudo apt install ./apt-ntop.deb
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar  
Let op, 'apt-ntop' wordt geselecteerd in plaats van './apt-ntop.deb'
Het volgende pakket is automatisch geïnstalleerd en is niet langer nodig:
 linux-image-6.1.0-28-amd64
Gebruik 'sudo apt autoremove' om het te verwijderen.
De volgende NIEUWE pakketten zullen geïnstalleerd worden:
 apt-ntop
0 opgewaardeerd, 1 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
Er moeten 0 B/2.918 B aan archieven opgehaald worden.
Na deze bewerking zal er 8.192 B extra schijfruimte gebruikt worden.
Ophalen:1 /home/dany/apt-ntop.deb apt-ntop all 2.10-29 [2.918 B]
Voorheen niet geselecteerd pakket apt-ntop wordt geselecteerd.
(Database wordt ingelezen ... 178769 bestanden en mappen momenteel geïnstalleerd.)
Uitpakken van /home/dany/apt-ntop.deb wordt voorbereid...
Bezig met uitpakken van apt-ntop (2.10-29) ...
Instellen van apt-ntop (2.10-29) ...
Installing ntop GPG key [no proxy]. Please wait...
gpg: keybox '/usr/share/keyrings/ntop-archive-keyring.gpg' created
gpg: /root/.gnupg/trustdb.gpg: trustdb created
gpg: key 3D84C955924F7599: public key "Luca Deri <deri@ntop.org>" imported
gpg: Total number processed: 1
gpg:               imported: 1
Keys installed successfully
N: Het downloaden gebeurt door root (de systeembeheerder) en niet in een sandbox (afgesloten ruimte), aangezien best
and '/home/dany/apt-ntop.deb' niet door gebruiker '_apt' kon benaderd worden. - pkgAcquire::Run (13: Toegang geweige
rd)

Nu we de Ntopng softwarebron hebben toegevoegd, kunnen we de lijst met beschikbare software bijwerken:

dany@pindabook:~$ sudo apt update -y
Geraakt:1 http://security.debian.org/debian-security bookworm-security InRelease
Geraakt:2 http://deb.debian.org/debian bookworm InRelease
Geraakt:3 http://deb.debian.org/debian bookworm-updates InRelease
Ophalen:4 https://packages.ntop.org/apt/bookworm x64/ InRelease [2.153 B]
Ophalen:5 https://packages.ntop.org/apt/bookworm all/ InRelease [2.153 B]
Ophalen:6 https://packages.ntop.org/apt/bookworm x64/ Packages [3.536 B]
Ophalen:7 https://packages.ntop.org/apt/bookworm all/ Packages [2.803 B]
10,6 kB opgehaald in 1s (14,7 kB/s)   
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar 
Alle pakketten zijn up-to-date.

Installeer het Ntopng-pakket met de vereiste afhankelijkheden:

dany@pindabook:~$ sudo apt install ntopng pfring-dkms nprobe n2disk cento -y
Pakketlijsten worden ingelezen... Klaar
Boom van vereisten wordt opgebouwd... Klaar
De statusinformatie wordt gelezen... Klaar 
Het volgende pakket is automatisch geïnstalleerd en is niet langer nodig:
  linux-image-6.1.0-28-amd64
Gebruik 'sudo apt autoremove' om het te verwijderen.
De volgende extra pakketten zullen geïnstalleerd worden:
  binutils binutils-common binutils-x86-64-linux-gnu bridge-utils build-essential dkms dpkg-dev ethtool fakeroot
  g++ g++-12 gcc gcc-12 libalgorithm-diff-perl libalgorithm-diff-xs-perl libalgorithm-merge-perl libasan8
  libatomic1 libavro23 libbinutils libc-ares2 libc-dev-bin libc-devtools libc6-dev libcc1-0 libcrypt-dev
  libctf-nobfd0 libctf0 libdbi1 libdpkg-perl libfakeroot libfile-fcntllock-perl libgcc-12-dev libgprofng0
  libhighwayhash0 libhiredis0.14 libitm1 liblinear4 liblsan0 liblzf1 libnats3.4 libnetfilter-queue1 libnode108
  libnsl-dev libradcli4 librdkafka1 librrd8 libstdc++-12-dev libtirpc-dev libtsan2 libubsan1
  linux-compiler-gcc-12-x86 linux-headers-6.1.0-31-amd64 linux-headers-6.1.0-31-common linux-headers-amd64
  linux-kbuild-6.1 linux-libc-dev lua-lpeg make manpages-dev ndpi net-tools nmap nmap-common node-acorn
  node-busboy node-cjs-module-lexer node-undici node-xtend nodejs nodejs-doc ntop-license ntopng-data pfring
  redis-server redis-tools rpcsvc-proto sbsigntool
Voorgestelde pakketten:
  binutils-doc menu debian-keyring g++-multilib g++-12-multilib gcc-12-doc gcc-multilib autoconf automake libtool
  flex bison gcc-doc gcc-12-multilib gcc-12-locales glibc-doc bzr liblinear-tools liblinear-dev libstdc++-12-doc
  make-doc ncat ndiff zenmap npm ruby-redis
Aanbevolen pakketten:
  pfring-dkms
De volgende NIEUWE pakketten zullen geïnstalleerd worden:
  binutils binutils-common binutils-x86-64-linux-gnu bridge-utils build-essential cento dkms dpkg-dev ethtool
  fakeroot g++ g++-12 gcc gcc-12 libalgorithm-diff-perl libalgorithm-diff-xs-perl libalgorithm-merge-perl libasan8
  libatomic1 libavro23 libbinutils libc-ares2 libc-dev-bin libc-devtools libc6-dev libcc1-0 libcrypt-dev
  libctf-nobfd0 libctf0 libdbi1 libdpkg-perl libfakeroot libfile-fcntllock-perl libgcc-12-dev libgprofng0
  libhighwayhash0 libhiredis0.14 libitm1 liblinear4 liblsan0 liblzf1 libnats3.4 libnetfilter-queue1 libnode108
  libnsl-dev libradcli4 librdkafka1 librrd8 libstdc++-12-dev libtirpc-dev libtsan2 libubsan1
  linux-compiler-gcc-12-x86 linux-headers-6.1.0-31-amd64 linux-headers-6.1.0-31-common linux-headers-amd64
  linux-kbuild-6.1 linux-libc-dev lua-lpeg make manpages-dev n2disk ndpi net-tools nmap nmap-common node-acorn
  node-busboy node-cjs-module-lexer node-undici node-xtend nodejs nodejs-doc nprobe ntop-license ntopng
  ntopng-data pfring pfring-dkms redis-server redis-tools rpcsvc-proto sbsigntool
0 opgewaardeerd, 83 nieuw geïnstalleerd, 0 te verwijderen en 0 niet opgewaardeerd.
Er moeten 158 MB aan archieven opgehaald worden.
Na deze bewerking zal er 710 MB extra schijfruimte gebruikt worden.
Ophalen:1 http://deb.debian.org/debian bookworm/main amd64 libcc1-0 amd64 12.2.0-14 [41,7 kB]
Ophalen:2 http://security.debian.org/debian-security bookworm-security/main amd64 linux-libc-dev amd64 6.1.128-1 [2.103 kB]
Ophalen:3 http://deb.debian.org/debian bookworm/main amd64 binutils-common amd64 2.40-2 [2.487 kB]
...
Ophalen:81 http://deb.debian.org/debian bookworm/main amd64 sbsigntool amd64 0.9.4-3.1 [68,4 kB]                   
Ophalen:82 https://packages.ntop.org/apt/bookworm x64/ ntopng 6.3.250209-25132 [9.585 kB]                          
Ophalen:83 https://packages.ntop.org/apt/bookworm all/ pfring-dkms 8.9.0.9715 [69,5 kB]                            
158 MB opgehaald in 14s (10,9 MB/s)                                                                                
Extraheren van sjablonen uit pakketten: 100%
Voorconfigureren van pakketten ...
Voorheen niet geselecteerd pakket libcc1-0:amd64 wordt geselecteerd.
(Database wordt ingelezen ... 178769 bestanden en mappen momenteel geïnstalleerd.)
Uitpakken van .../00-libcc1-0_12.2.0-14_amd64.deb wordt voorbereid...
Bezig met uitpakken van libcc1-0:amd64 (12.2.0-14) ...
...
Voorheen niet geselecteerd pakket pfring-dkms wordt geselecteerd.
Uitpakken van .../82-pfring-dkms_8.9.0.9715_all.deb wordt voorbereid...
Bezig met uitpakken van pfring-dkms (8.9.0.9715) ...
Instellen van libnats3.4:amd64 (3.4.1-1+b1) ...
Instellen van manpages-dev (6.03-2) ...
Instellen van net-tools (2.10-0.1) ...
...
Instellen van ntopng (6.3.250209-25132) ...
Creating ntopng user...
usermod: geen aanpassingen
Adding user ntopng to group systemd-journal...
Rebuilding ld cache...
(Re)Starting ntopng...
Created symlink /etc/systemd/system/multi-user.target.wants/ntopng.service → /etc/systemd/system/ntopng.service.

NOTE

ntopng Community does not require a license.
ntopng Pro/Enterprise licenses are perpetual and include 1 year maintenance/updates:
you can use the software even after maintenance is expired, however updating it after
1 year would prevent ntopng from running. If you have automatic updates enabled, and
maintenance is expired, it is recommended to put the package updates on hold with:

apt-mark hold ntopng

Automatic updates can be enabled again with:

apt-mark unhold ntopng

Bezig met afhandelen van triggers voor man-db (2.11.2-2) ...
Bezig met afhandelen van triggers voor libc-bin (2.36-9+deb12u9) ...

Ntopng luistert standaard op poort 3000. Je kunt je netwerkinterface, het standaard poortnummer en andere instellingen wijzigen door het configuratiebestand ntop.conf te bewerken.

Om Ntopng te configureren, hebben we de netwerkverbinding en het netwerkbereik van ons thuisnetwerk (LAN) nodig.

dany@pindabook:~$ ip a
1: lo:  mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: wlp4s0:  mtu 1500 qdisc noqueue state UP group default qlen 1000
    link/ether ac:7b:a1:42:e0:5f brd ff:ff:ff:ff:ff:ff
    inet 192.168.129.29/23 brd 192.168.129.255 scope global dynamic noprefixroute wlp4s0
       valid_lft 5322sec preferred_lft 5322sec
    inet6 2a02:a03f:e02a:8901:a8fa:2902:a3c2:97f/64 scope global dynamic noprefixroute 
       valid_lft 86363sec preferred_lft 71963sec
    inet6 fe80::6865:fb5:500c:e2cd/64 scope link noprefixroute 
       valid_lft forever preferred_lft forever

Daar de WiFi verbinding wlp4s0 het IP adres 192.168.129.29 kreeg, kunnen we daaruit afleiden dat het thuisnetwerk het netwerkbereik 192.168.129.0/24 gebruikt. Met een teksteditor, zoals nano kunnen we nu het configuratiebestand aanpassen:

dany@pindabook:~$ sudo nano /etc/ntopng/ntopng.conf

Breng nu de wijzigingen aan volgens de naam van je netwerkverbinding. Hier kun je meer dan één netwerkverbinding opgeven.

#       -i|--interface
#        Specifies  the  network  interface or collector endpoint to be used by ntopng for network
#        monitoring. On Unix you can specify both the interface name  (e.g.  lo)  or  the  numeric
#        interface id as shown by ntopng -h. On Windows you must use the interface number instead.
#        Note that you can specify -i multiple times in order to instruct ntopng to create  multi-
#        ple interfaces.
#
#-i=eth1
#-i=eth2
-i=wlp4s0
#
#       -w|--http-port
#        Sets the HTTP port of the embedded web server.
#
#-w=3000

Met de sneltoets Ctrl+o en daarna Return sla je de aanpassing op. Sluit nano met de sneltoets Ctrl+x.

Je kunt het IP-bereik van het netwerk in een apart bestand opgeven. Maak een nieuw bestand met de naam ntopng.start in de configuratiemap van Ntopng.

dany@pindabook:~$ sudo nano /etc/ntopng/ntopng.start

Voeg het IP-bereik van je netwerk toe zoals hieronder weergegeven:

--local-networks "192.168.129.0/24"  ## give your local IP Ranges here.
--interface 1

Sla het bestand op en sluit de teksteditor af. Je moet Ntopng-service opnieuw starten om de configuratiewijzigingen toe te passen:

dany@pindabook:~$ sudo systemctl restart ntopng

Start vervolgens de Ntopng-service tijdens het opstarten:

dany@pindabook:~$ sudo systemctl enable ntopng

En controleer de status van de service:

dany@pindabook:~$ sudo systemctl status ntopng ntopng.service - ntopng high-speed web-based traffic monitoring and analysis tool
    Loaded: loaded (/etc/systemd/system/ntopng.service; enabled; preset: enabled)
    Active: active (running) since Sun 2025-02-09 14:38:34 CET; 1min 38s ago
  Main PID: 7335 (ntopng-main)
     Tasks: 33 (limit: 9341)
    Memory: 228.0M
       CPU: 14.277s
    CGroup: /system.slice/ntopng.service
            └─7335 /usr/bin/ntopng /run/ntopng.conf

feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:180] [lists_utils.lua:596] Loaded NoCoin Filter List: 409 rules
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:180] [lists_utils.lua:596] Loaded Stratosphere Lab: 12124 rules
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:180] [lists_utils.lua:596] Loaded ThreatFox: 29153 rules
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:180] [lists_utils.lua:596] Loaded dshield 7 days: 29 rules
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:180] [lists_utils.lua:702] Loaded Category Lists (29869 hosts, 37195 IPs) loaded in 0 sec
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:184] Initializing device polices...
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:200] Initializing alerts...
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:209] Initializing timeseries...
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [startup.lua:343] Completed startup.lua
feb 09 14:38:37 pindabook ntopng[7335]: 09/Feb/2025 14:38:37 [NetworkInterface.cpp:3818] Started packet polling on interface 'wlp4s0' [id: 2]...
~
lines 1-20/20 (END)

Gebruik de sneltoets q om deze opdracht af te sluiten.

Je kunt de Ntopng-service op je systeem verifiëren met het volgende opdracht:

dany@pindabook:~$ sudo ss -tnlp | grep ntopng
LISTEN 0      4096         0.0.0.0:3000      0.0.0.0:*    users:(("ntopng-main",pid=7335,fd=29))

Ntopng raadplegen

Open een webbrowser en surf naar de URL http://your-server-ip:3000, of naar http://localhost:3000 op de computer waarop je Ntopng hebt geactiveerd. Hou er rekening mee dat je het IP-adres van je systeem moet aanvullen met het poortnummer en je wordt doorgestuurd naar de aanmeldingspagina van Ntopng:

Ntopng

Voer de standaard gebruikersnaam en bijhorende wachtwoord in (admin/admin) en klik op de knop . Je zou de volgende webpagina moeten zien:

Ntopng

Stel een nieuw wachtwoord in en klik op de knop . Je zou nu de standaard dashboardpagina van Ntopng moeten zien:

Ntopng

Klik vervolgens aan de linkerkant op de optie Hosts > Hosts en je ziet een lijst met beschikbare hosts op je netwerk.

Ntopng

Je kunt ook de details van je netwerkinterface controleren in het linkerdeelvenster door te klikken op de optie Interface > Details.

Ntopng

Ntopng biedt nog veel andere functies die erg nuttig kunnen zijn voor het real-time monitoren van het netwerk en het genereren van waarschuwingen. Je kunt systeeminformatie zien en ook een eindpunt voor waarschuwingen configureren.

Update opmerking

Ntopng nestelt zich diep in het besturingssysteem met behulp van kernel modules. Bijna elke dag worden netwerkfuncties aangepast en verschijnen er nieuwe bedreigingen. M.a.w. Ntopng krijgt bijna dagelijks updates. Een vervelende bijwerking daarvan is dat na een update Ntopng niet altijd meer werkt. De enige oplossing: Ntopng volledig van het systeem verwijderen en opnieuw installeren. Bij de installatie wordt een melding getoond waarmee je Ntopng en zijn afhankelijkheden kunt uitsluiten van updates.

Ntopng volledig van de computer verwijderen