艾體寶方案 | ntopng監(jiān)測異常流量并通知到企業(yè)微信

引導(dǎo)語：

你是否曾因網(wǎng)絡(luò)異常而感到困擾？在數(shù)字化時(shí)代，網(wǎng)絡(luò)流量異?？赡芙o企業(yè)帶來巨大損失。但別擔(dān)心，我們?yōu)槟鷾?zhǔn)備了一份詳盡的解決方案！想知道如何利用ntopng及時(shí)發(fā)現(xiàn)異常流量，并通過企業(yè)微信等渠道通知你的團(tuán)隊(duì)嗎？跟隨我們的指南一起探索吧！

簡介：

在當(dāng)今數(shù)字化的世界中，網(wǎng)絡(luò)流量異?？赡苁瞧髽I(yè)面臨的一項(xiàng)重要挑戰(zhàn)。ntopng 是一款強(qiáng)大的工具，可幫助您及時(shí)發(fā)現(xiàn)并解決異常流量問題，并通過企業(yè)微信等渠道及時(shí)通知您的團(tuán)隊(duì)。本文將詳細(xì)介紹如何利用 ntopng 實(shí)現(xiàn)這一目標(biāo)，并提供免費(fèi)試用的申請方式，讓您可以在實(shí)際應(yīng)用中體驗(yàn)其強(qiáng)大功能。

簡介：ntopng 是用于監(jiān)控計(jì)算機(jī)網(wǎng)絡(luò)流量的計(jì)算機(jī)軟件，具有非常豐富的可視化圖表。它能從流量鏡像、NetFlow 導(dǎo)出器、SNMP 設(shè)備、防火墻日志和入侵檢測系統(tǒng)中收集流量信息，從而提供 360° 的網(wǎng)絡(luò)可視性。ntopng依靠 Redis 鍵值服務(wù)器而非傳統(tǒng)數(shù)據(jù)庫，利用 nDPI 進(jìn)行協(xié)議檢測，支持主機(jī)地理定位，并能顯示連接主機(jī)的實(shí)時(shí)流量分析。

告警示例

環(huán)境：CentOS Linux release 7.9.2009 (Core)

ntopng版本：

[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng監(jiān)測單臺主機(jī)的流量

ntopng 可根據(jù)本地主機(jī)流量時(shí)間序列（或指定 “*”時(shí)的所有本地主機(jī)）或本地網(wǎng)絡(luò)接口觸發(fā)自定義警報(bào)。這對于識別在指定時(shí)間段內(nèi)觸發(fā)過多流量的主機(jī)或接口非常有用。

下面是一些規(guī)則示例：

• ens160 網(wǎng)絡(luò)接口的每日總流量不得超過 15 GB；
• 192.168.2.28 的每日總流量不得少于 2 GB；
• 192.168.1.1 的 NTP 日總流量不得超過 2 GB；
• 1.1.1.1 每 5 分鐘的 1kxun 流量不得超過前 5 分鐘總流量的 15%；
• 1.1.1.1 每 5 分鐘的流量不得超過 1 Mbps；

每當(dāng)滿足條件時(shí)，ntopng 就會觸發(fā)警報(bào)，下面我們來看看操作。

在Host菜單上選擇Local Traffic Rules

要添加新規(guī)則，請單擊表格上方的“+”符號

添加一個(gè)本地流量規(guī)則

• 目標(biāo)：插入要分析的本地主機(jī) IP 或 *（表示必須分析所有本地主機(jī)），或選擇本地網(wǎng)絡(luò)接口、網(wǎng)段等
• 指標(biāo)：選擇要分析的指標(biāo)（例如 DNS -> DNS 流量），比如上下行流量、主機(jī)得分，某協(xié)議或者應(yīng)用程序的流量等
• 頻率：選擇分析頻率（如 5 分鐘 -> 每 5 分鐘分析一次）1小時(shí)、1天
• 閾值：選擇閾值類型（流量、吞吐量或百分比）、下限或上限，以及一旦超過將觸發(fā)警報(bào)的閾值
• 百分比變化：計(jì)算最近兩次頻率檢查之間的百分比變化（例如，頻率為 5 分鐘的百分比變化小于 1%；如果前一次頻率檢查和最后一次 5 分鐘檢查之間的百分比變化小于 1%，則觸發(fā)警報(bào)）。

從現(xiàn)在開始，帶有已配置字段的新條目將添加到表中，并且每當(dāng)超過閾值時(shí)，就會觸發(fā)新警報(bào)。

流量規(guī)則根據(jù)指定的規(guī)則頻率進(jìn)行評估。例如，每日規(guī)則會在每個(gè)午夜根據(jù)前一天的流量進(jìn)行評估。

配置了檢查流量的規(guī)則，下面我們來看看如何配置wechat告警吧！

配置wechat告警

通過在 ntopng 中配置 URL，微信可用于將警報(bào)信息傳遞到微信 HTTP 端點(diǎn)。

要獲取微信的有效 WebHook URL，用戶必須在企業(yè)微信上注冊。之后，需要創(chuàng)建一個(gè)群聊并添加一個(gè)群機(jī)器人，以便獲取群機(jī)器人的WebHook URL。欲了解更多信息，請查看此處。

警報(bào)將發(fā)送給收件人。收件人及其關(guān)聯(lián)的端點(diǎn)是通過系統(tǒng)界面進(jìn)行管理的。

收件人只與一個(gè)端點(diǎn)相關(guān)聯(lián)，但同一端點(diǎn)可與多個(gè)收件人共享。

端點(diǎn)和收件人都有一種類型和一組配置參數(shù)，具體取決于類型。本節(jié)將介紹所有可用的端點(diǎn)和收件人。

端點(diǎn)包含通用配置，然后通過收件人配置進(jìn)行擴(kuò)展。例如，電子郵件端點(diǎn)包含 SMTP 服務(wù)器地址，而電子郵件收件人則包含目標(biāo)電子郵件地址。這樣就可以創(chuàng)建多個(gè)電子郵件收件人，他們共享同一個(gè)端點(diǎn)，因此也共享同一個(gè) SMTP 服務(wù)器地址。

然后去增加一個(gè)收件人

警報(bào)信息通過 POST 請求以 JSON 格式提供給 Webhook。

當(dāng)我們的流量超過閾值時(shí)，我們將在企業(yè)微信上收到告警信息

除了監(jiān)控本地主機(jī)的各種流量之外，我們還有很多其他的監(jiān)控指標(biāo)，可以檢查主機(jī)行為、系統(tǒng)行為、流量等，如下圖所示：

多個(gè)指標(biāo)可編輯，自定義閾值，對于多種網(wǎng)絡(luò)行為都可以監(jiān)測和掌控，特別是里面有網(wǎng)絡(luò)安全相關(guān)指標(biāo)，對于我們防范不法分子的攻擊是十分有利的！

友情提醒：ntopng的Local Traffic Rules和告警到企業(yè)微信是企業(yè)版特有的功能哦，歡迎申請免費(fèi)試用，具體的信息訪問主頁，通過簡介找到我們~也可以關(guān)注公眾號~

了解 ITT-ntopng 更多信息，歡迎前往【艾體寶】官方網(wǎng)站：https://itbigtec.com/

聯(lián)系艾體寶工程師：TEL：13533491614