边缘安全与网络
ntopng (Community Edition)
厂商/来源:
ntop.org
核心功能:
网络的“CT 扫描仪”。当网络卡顿,但不知道是哪台设备在搞鬼时,用 Wireshark 抓包太慢,用 ntopng 一眼就能看出来。
| 适用场景 | 工业网络流量监控、异常流量发现(如摄像头突然向境外 IP 上传数据)、带宽计费分析 |
| 架构支持 | Linux (ARM64/x86)。推荐运行在镜像端口 (Mirror Port) 的网关上。 |
| 资源开销 | 内存敏感。它需要在内存中维护“流表”。监控 1Gbps 网络至少需要 2GB 内存。 |
| 核心价值 | DPI (深度包检测):它不仅看 IP,还能识别 应用层协议。它能告诉你:这 50M 流量是 RTSP (视频),那 20M 是 Modbus (控制),另外 100M 是 BitTorrent (有人在工控机上下电影!)。 |
| 对接情报 | 时序数据库:支持将流量数据写入 InfluxDB 或 ClickHouse,配合 Grafana 做长期的历史流量回溯。 |
| 避坑指南 | [IO 瓶颈与协议库] 1. 磁盘杀手:ntopng 会频繁写入 RRD 文件记录统计信息。在树莓派 SD 卡上跑,寿命不超过 2 个月。对策:必须挂载 tmpfs 到 /var/lib/ntopng,或者添加 --no-disk 参数。 2. nDPI 更新:应用层协议特征库 (nDPI) 需定期更新,否则无法识别新型木马或加密流量。社区版有时识别率不如商业版。 |
| 推荐搭配 | [交换机镜像端口] [InfluxDB] [大内存软路由] |
