2022年8月、ホームページを全面リニューアルしました! 情報を分かりやすくお伝えできるサイト作りを目指してまいります。

ntop DE IDS!

Web形式で表示する監視ツールを見つけていたら、ntopと出会った。まあ、このツールはあまりにも有名なツールであるが。ntopはNetwork topの略らしいがFreeソフトである上、セットアップも比較的簡単なので自ドメインのローカルサーバに入れてみた。
ntopは、早い話ネットワークのトラフィックの状態を統計的に表示してくれたり、ホスト別及びプロトコル別にアクセス状況を集計してくれるので手間いらずである。このようなソフトを世の中では、IDSと言ってるかも・・・・!
IDSの中では、Freeながらかなり強力なツールである。私は、ローカルサーバに入れて常時監視している。サーバを立てたけどセキュリティに不安な方は一度インストールしてパケットの監視をしてみたらいかがかと思う。出来れば、公開サーバよりもローカルサーバで外に公開しない隠蔽されたホストに入れての運用をお勧めする。
ntopは、Webベースで表示可能でかつスクリプトで定期的に内容を更新するのでほぼリアルタイムのデータが観覧できる。ここでは、セットアップ方法を説明したい。
私の場合、現在FreeBSD4.6に入れて常時稼働している。

1.インストール準備

ntopをインストールするわけだが、その前に必要なライブラリモジュールをインストールする。libpcapが必要となる。これは、各OSのパッケージに入っているか、別途ソースをダウンロードしてコンパイルすること。 ここ を参照してもかまわない。
注 : ntopは、libpcap-0.6.x以上でないとインストールできても動かないので注意すること!( 俺はこれではまりました(ToT) )

さらに、gdbmをゲットする。 ここ でgdbm-1.8.3.tar.gz(執筆時点)をゲットしてコンパイルする。以下参照。

# tar zxvf gdbm-1.8.3.tar.gz

# ./configure

# make

# make install

ここでもし、

/usr/bin/install : cannot create regular file `/usr/local/man/man1/intop/intop1’ : No such file or directory

のようなエラーが出た場合は、

# mkdir /usr/local/man/man1/intop

# make install

ディレクトリを作って、もう一度make installする。

さて、これでやっとntopをインストール出来る準備が整った。今度は、ntopのソースをゲットする。
ntopのソースの在処は、 ここ に有る。FreeBSDはPorts、Linuxは各ディストリビューションに別れている。私はソースでインストールしてその時は、ntop-2.0-src.tgzが最新であった。したがって、このバージョンで以降進めていく。

今回のntopのバージョンは、ntop-2.0で有るが、ntop-2.2になると必要ライブラリ及びインストール方法が変わっている。 ntop-2.2のセットアップは、 ゆみどんサイト の ゆみどんの鯖ネタ を参照のこと。

2.インストール

# cd /usr/local/src

# tar -zxvf ntop-2.0-src.tgz

# cd ntop

# ./configure

※ 次にmakeを行うが、FreeBSDの場合はgmakeを使うこと!

# make

ディレクトリを作成する。

# mkdir /usr/local/man/man1/intop

※ 多分、上記のようにディレクトリを作成しないと、make installでエラーが出る。私の場合、FreeBSDでもLinuxでも出たので、installでは、ディレクトリを作らないのではないかと思う。

# make install

エラー無しで、終了すれば無事インストール完了!これだけなので、かなりあっけなく終わる。

3.起動

● コンソールモードでの起動
コンソールモードは、コマンドを実行するとコンソールにモニタ表示される。これは完全なリアルタイムモードである。

# ntop

● Webモードでの起動
Webモードはコマンドパラメータで指定されたポートによりブラウザで観覧できる。

# ntop -w 3000 -d

4.運用

● コンソールモードでは、コンソールにhostとパケット等の状態が表示される。
hキーでHelpが見られるみたいです。このモードは使い込んでないので良く解りません。実際にやってみてください。

● Webモードは、 http://< ホスト名 >:3000/ でntopの下の図1のような画面が表示される。
ntopバージョン1よりも2の方がすっきりとしたデザインになっている。

図 1

■ データの送信状態
■ マルチキャストの状態
■ トラフィックの状態
■ その他

が選べるような画面になっている。

図 2

上の図2は、参考にIP Trafficの状態を表した画面である。

以上

コメント