流量分析仪试用报告

NTG流量分析仪试用报告

Ｍａｒ　１２，２００４　

作者：Ｙｉｍｉｎｇ　Ｇｏｎｇ　

ｈｔｔｐ：／／ｓｅｃｕｒｉｔｙ．ｚｚ．ｈａ．ｃｎ

声明１：　任何形式的摘抄必须保留上述作者和ｈｔｔｐ地址　

声明２：　本文所有观点仅代表本人个人意见，有不妥之处，欢迎商榷。　

1. Overview

NTG是台湾威睿科技股份有限公司（）的一款硬件产品，它的主要功能是利用接收到的NetFlow/sFlow流量数据进行流量数据分析。

在NTG的主页上介绍如下：

-Quote-

“NTG流量分析仪提供了用户上网行为分析、异常流量实时监测、历史流量分析报表到流量趋势预警等功能，涵盖了网络流量分析的所有细节，可以通过日报、周报、月报的标准报表、对照报表、趋势分析报表等多种格式报告流量分析结果。

NTG流量分析仪的采集对象通常是核心交换机和出口路由器，普遍被应用在接入业务带宽成本分析、下属网络带宽成本分析、私设地下网站检测、DOS攻击源和目标检测、路由负载均衡分析等应用。“

-End Quote-

我们测试的是ntg2105产品，

主页可参见：/gb/main-2.htm

该产品为硬件，大小类似小的PC主机，硬盘容量为80G.，软件版本是最新的3.6.13b1，该产品可以通过SSH和WEB界面进行管理-但是SSH方式提供的管理功能极为有限。

我们把该产品接到了一个交换机的百兆口，用来监控一台大客户路由器上单个GE口的NETFLOW流量。

从我们使用测试的情况来看，NTG的产品在功能上可以分为四个模块：

1: Flow monitor

2: Flow Analysis

3: Traffic Snapshot

4:系统/用户管理

2．下面就几个模块分别描述：

Flow monitor

Flow monitor功能类似于强化过的mrtg，这个模块可以监控的项目包括as号/ip段/ip地址/端口/协议/routerd的interface这6个netflow格式中几个常见的参数，用户可以通过对定制factor和filter对上述字段进行单独或通过AND、OR、NOT 等逻辑运算组合成复合条件进行监控，产生满足监控条件的类似mrtg的流量图(所有的图形样例在上面所附NTG公司http网址内均有例子，这里面不再列了)。

对每一个监控条件，用户可配置两个门限值，当流量超过门限值时，系统可在图形上进行告

警。　

通过测试使用感觉这个模块功能还是弱了些，以下为几个原因：

a：可以监控的参数项目太少，目前仅支持6个字段。从安全视角来看比较重要的tcp标志位，icmp type/code等字段都无法监控。

b：产生的类mrtg图形过于简单，缺乏细节信息。比如：组合监控绑定了一组端口，那么产生的图形仅能显示端口的总流量，无法在图中显示组合中每个端口的分支流量。同开源的一些软件比，比较令人失望。下图为使用开源软件生成的一个监控图：

由于可以分端口显示流量，从这个图里面我们非常容易可以看到19点的时候有一个6667（IRCUDP）的大流量攻击；如果使用NTG，那么就仅仅能够看到有流量尖峰，但是什么端口造成的流量尖峰，不得而知~

c：很多细节上体现出模块的可操作性不好。比如管理员打算监控一个GAME的端口组，这个组里面需要绑定10个端口，那么就要重复的点击、选择、输入10次单个端口，而不能一次输入10个端口。

Flow Analysis

从我们目前拿到的这个最新的版本里面看，目前Flow Analysis主要功能是通过定制netflow 格式中几个常见的参数以及在上面Flow monitor中定制的filter字段实现满足条件的topN 历史7因素排名（源流量/目的流量/源数据包数/目的数据包数/源端口/目的端口/session），并根据设置时间进行更新。比如，监控网络中TOP 10目的端口的上述7项指标，每5分种刷新并根据历史总和进行排名。

这个模块的输出内容为长条图和类ｅｘｃｅｌ的表格。　

通过使用感觉这个模块功能是最不令人满意的，主要原因：

从安全角度考虑，对采集的来的历史数据进行挖掘，从中分析和跟踪安全事件的诸多细节应该是安全产品中非常重要的一块，在ntg提供的模块里面，这个功能是Flow Analysis这个模块实现的，但个人感觉ntg在这一块的实现非常不尽人意。其他都不谈，一个非常关键的问题就是无法进行有效的数据挖掘，ntg在这个模块上除了最新的一笔数据外，无法提供任何形式的详单(如：指定时间段内满足定制条件的网络连接的详单)。用户能够看到的就是根据历史纪录总和的top排名。管理员无法调出符合监控条件的某个指定时间的数据记录详单，能够看到的就是上述的7因素排名。

无法对原始数据进行数据挖掘和分析，在发生了安全事件后就给分析/追查造成了极大的障碍。这一点和flow-tools，SiLK，cflow等开源的工具相比相差实在太大。

不过据说ntg可能有基于命令行的插件，可以操作原始数据，这一点未得到确认。

Traffic Snapshot

Traffic Snapshot实现的是对取得的数据的即时快照功能，这个模块就是对as号/ip段/ip地址/端口/协议/routerd的interface这6个netflow即时排序。

这个模块在安全分析中意义不是太大，除非有一个人在计算机console前坐着并不断刷新~ ：）

系统和用户管理　

系统采用分级权限设计，包括系统管理源和普通用户等，管理员可备份或回存系统配置文件。　但在使用中感觉这个模块粒度还不够，比如无法控制不同的用户的操作权限，在配置上无法保存指定的部分配置内容，管理员只有ｂｏｔｈ／ｎｏｎｅ的选择。　

3．性能

Ntg可能的优势是在性能上，这也是开源的flow-tools，SiLK等工具弱势的地方。但这方面由于条件所限没有做测试。

4．总结

总的来看：ntg作为传统的流量分析等还是有它的优势的，但从安全市场的角度来看，除开性能优势，它还有比较长的路要走~