Mit der leicht zu bedienenden Web-Oberfläche von NtopNG behalten Sie den Datenverkehr in Ihrem Netzwerk im Blick und entdecken, welche Geräte “nach Hause telefonieren”.

Wenn die Downloads zu langsam sind, nutzt vielleicht ein anderer Rechner den Großteil Ihrer Internet-Bandbreite – aber welcher, und was tut er da? Solche praktischen Probleme, aber auch eine Abneigung gegen “nach Hause telefonierende” Handy-Apps und ein allgemeines Interesse an den Netzwerkaktivitäten legen es nahe, NtopNG [1] zu installieren. Die Entwickler werben auf der Produktseite mit “360° network visibility”. Diese Marketing-Sprache deutet schon an, dass es hier auch mehrere Bezahloptionen gibt. Wir werfen einen Blick auf die Features der GPL-lizenzierten und kostenlosen Community-Edition.

Zu den zentralen Funktionen des Tools gehört vor allem, die Geräte im lokalen Netz im Blick zu behalten und übersichtlich darzustellen, wer gerade mit wem kommuniziert. Direkt von der Startseite aus sehen Sie die Top Flows und die Top Hosts. Dabei handelt es sich vereinfacht gesagt um die aktivsten Kanäle zwischen Geräten sowie die Rechner, die den meisten Netzwerkverkehr verursachen.

Installation

Sie finden NtopNG in den Repositories vieler Linux-Distributionen, allerdings meist in älteren Versionen. So liefert beispielsweise Ubuntu 23.10 die Version 5.2.1 aus. Unter OpenSuse 15.5 fügen Sie den Paketquellen mit dem ersten Befehl aus Listing 1 das Repo server:monitoring hinzu und installieren dann NtopNG 5.0.

Aktuell ist allerdings seit Oktober 2023 die Version 6.0.x. Für einige Distributionen gibt es direkt auf der Projektseite Installationsanleitungen, mit denen Sie die aktuelle stabile Version einspielen. Unter Ubuntu 22.04 gelingt das beispielsweise mit den Kommandos ab Zeile 4 aus Listing 1, die den Paketquellen ein NtopNG-Repository hinzufügen und dann daraus das gleichnamige Paket installieren. Für neuere Ubuntu-Versionen bietet das Projekt keine fertigen Pakete an; dafür unterstützt es die älteren LTS-Versionen 20.04 und 18.04.

### OpenSuse
$ sudo zypper addrepo https://download.opensuse.org/repositories/server:monitoring/15.5/server:monitoring.repo
#### Ubuntu 22.04
$ sudo apt install software-properties-common wget
$ sudo add-apt-repository universe
$ cd /tmp
$ wget https://packages.ntop.org/apt/22.04/all/apt-ntop.deb
$ sudo apt install ./apt-ntop.deb
$ sudo apt update
$ sudo apt install ntopng

Auf einem aktuellen Ubuntu 23.10 richten die Paketskripte den NtopNG-Service direkt für den Autostart ein und aktivieren ihn. Mit dem Aufruf systemctl status ntopng überprüfen Sie den Status (Abbildung 1). Um den automatischen Start bei späteren Boot-Vorgängen zu verhindern, geben Sie das Kommando sudo systemctl disable ntopng ein. In einer erneuten Statusabfrage sollte sich dann die grüne Ausgabe enabled in eine gelbe disabled ändern.

Abbildung 1: Frisch installiert und schon aktiv: Ubuntu startet den NtopNG-Service sofort.

Wollen Sie NtopNG auf einem gehosteten Server mit einer älteren Linux-Distribution installieren, finden Sie passende Installationshinweise für Ubuntu, Debian, CentOS, Rocky Linux und AlmaLinux im Download-Bereich des Projekts. Daneben läuft die Software auch unter Raspberry Pi OS, FreeBSD, MacOS, Windows und in Docker-Containern. Auf einem Webserver mit Debian 10 gelang im Test das Einrichten mit ähnlichen Kommandos wie unter Ubuntu 22.04.

Möchten Sie eine aktuelle Version ausprobieren, finden aber keine Pakete für Ihre Distribution, starten Sie stattdessen eine besser unterstützte Linux-Version in einer VM und installieren die Software dort. Hier gilt es aber, darauf zu achten, die VM via Bridged Networking ordentlich in das lokale Netz zu integrieren. Alternativ verwenden Sie den Docker-Container, den das NtopNG-Team bereitstellt [2]. Hinweise zum Einrichten via Docker finden Sie im Kasten “NtopNG im Docker-Container”.

$ ip -br a | grep UP
enp2s0  UP     192.168.178.173/24
[...]
$ docker run -it --rm -p 3000:3000 --net=host ntop/ntopng:stable -i enp2s0

Web-Interface

Um mit NtopNG zu arbeiten, geben Sie in Ihrem Webbrowser die URL http://<I>Rechner<I>:3000 ein. Dabei ersetzen Sie Rechner durch den Hostnamen oder die IP-Adresse des PCs, auf dem NtopNG läuft (häufig localhost).

Es erscheint ein Login-Dialog, der Ihnen die Standardzugangsdaten (admin/admin) verrät. Geben Sie sie ein und bestätigen Sie durch einen Druck auf die Eingabetaste oder einen Klick auf Login. Es folgt dann direkt eine Aufforderung, ein neues Passwort für den Benutzer admin zu vergeben (Abbildung 2). Bei der Gelegenheit ändern Sie auch die Sprache der Oberfläche auf German. Nach der Anmeldung sehen Sie das Dashboard (Abbildung 3), das in vier Grafiken wichtige Informationen zusammenfasst und regelmäßig aktualisiert.

Abbildung 2: Beim ersten Start vergeben Sie ein Passwort und stellen die Sprache der Oberfläche ein.

Abbildung 3: Das Dashboard zeigt die vier Übersichten Top Flow Talkers, Top Hosts, Top Applications und Traffic Classification an.

Links oben erscheinen die Top Flow Talkers. Dabei handelt es sich um die gerade aktiven Flows, also die Datenströme zwischen je zwei Geräten. Wenn ein überwachter Host parallel Dateien von zwei Servern herunterlädt, dann taucht er mit zwei separaten Flows in dieser Übersicht auf. Auch zwei TCP-Verbindungen, die zwar zwischen denselben Rechnern bestehen, aber unterschiedliche Protokolle nutzen, stellen separate Flows dar. Größere Transfermengen visualisiert NtopNG durch eine breitere Verbindung zwischen den Kommunikationspartnern.

Rechts oben zeigt ein Kuchendiagramm die Top Hosts an, also die Rechner, von oder zu denen der meiste Traffic geflossen ist. Links unten sehen Sie die Top Applications. Daran lesen Sie ab, welche Netzwerkdienste (Protokolle) am meisten genutzt werden. Bei einem als Webserver genutzten Rechner sollten das HTTP und TLS (für HTTPS) sein. NtopNG leitet diese Informationen aus den verwendeten TCP-Port-Nummern ab. Schließlich gibt es rechts unten das Kuchendiagramm Traffic Classification. Es kategorisiert den gesamten beobachteten Verkehr in Gruppen wie Safe, Acceptable aber auch Fun. Die letzte Gruppe umfasst alle Verbindungen zu Social-Media-Diensten wie Twitter, Facebook oder Instagram.

Viele der Begriffe tauchen weiter in englischer Sprache auf, obwohl die Software mit deutscher Lokalisierung läuft. Wenn Sie sich darüber wundern, dass Ihr Dashboard nicht wie in Abbildung 3 aussieht, sondern stattdessen wie in Abbildung 4, sind Sie noch in den ersten zehn Minuten der Nutzung: So lange lässt das Programm Sie die kostenpflichtigen Enterprise-Features ausprobieren. Ein orangefarbener Hinweis am Anfang der Seite zeigt nach jedem Neuladen der Seite an, wie viel Zeit noch verbleibt.

Abbildung 4: Die Enterprise-Version bietet mehr Features, ein anders gestaltetes Dashboard und erlaubt den Einsatz von Templates. Allerdings fällt der Preis mit 1500 Euro recht üppig aus.

Flows im Blick

Die Übersichtsseite gestaltet sich zwar optisch ansprechend, nützlicher sind aber die Detailseiten. Die Netzwerk-Flows erreichen Sie über Datenflüsse | Live links in der Navigationsleiste. Es erscheint eine Tabelle, die zunächst nur zehn Einträge anzeigt (Abbildung 5). Weitere Einträge erhalten Sie über Links zu Folgeseiten oder indem Sie auf die 10 über der Tabelle klicken und aus dem Ausklappmenü die Darstellung von 20, 50 oder 100 Einträgen auswählen. Die Software aktualisiert die Seite nicht automatisch, laden Sie sie also manuell neu.

Abbildung 5: Die aktiven Flows erreichen Sie über Datenflüsse | Live.

Jede Zeile steht für einen Flow, also in der Regel eine konkrete Client-Server-Verbindung. Die Spalten Proto, Client und Server zeigen die wesentlichen Parameter des Flows. Im Fall von TCP-Verbindungen und auch bei der verbindungslosen Kommunikation über UDP sehen Sie jeweils Angaben zu IP-Adresse und Port von Client und Server. Nutzen Flows bekannte Ports wie 80 (HTTP) oder 443 (HTTPS), erscheinen statt der Port-Nummern die Protokollnamen. Ordnet die Software eine IP-Adresse einem Land zu, erscheint daneben oft die jeweilige Landesflagge.

Bei vielen Einträgen verrät die Spalte Applikation, um welchen Dienst es geht. Nutzen Sie zum Beispiel gerade Youtube oder Twitter, steht dort TLS.YouTube oder TLS.Twitter zusammen mit einem kleinen Symbol für den Diensteanbieter. Erkennt NtopNG die Website nicht, steht hier nur TLS für verschlüsselte HTTPS-Verbindungen oder HTTP für klassische, unverschlüsselte Webseiten. Symbole hinter dem Text verweisen auf sichere Verbindungen (Schloss), Unterhaltungsangebote (Smiley) oder potenzielle Probleme (gelbes Dreieck).

In der Spalte Info finden Sie Zusatzinformationen. Das umfasst bei HTTP-Zugriffen auf Webserver beispielsweise die volle URL, bei DNS-Requests den angefragten (und vom DNS-Server aufgelösten) Rechnernamen. Ein Periodic-Label an dieser Stelle verrät, dass NtopNG bemerkt hat, dass eine Anfrage wiederholt auftritt. Die Spalte Aktuelle Thpt (Throughput, Durchsatz) zeigt die aktuelle Transfergeschwindigkeit in Bits pro Sekunde an, und unter Total Bytes sehen Sie das Gesamtvolumen. Interessanterweise aktualisiert das Tool auch ohne Reload alle paar Sekunden diese statistischen Angaben, fügt neu hinzugekommene Flows aber nicht selbstständig der Tabelle hinzu.

Viele Einträge in der Tabelle lassen sich anklicken. In der ersten Spalte Serial gibt es ein Lupen-Icon. Darüber rufen Sie eine Detailseite auf, die nur diesen Flow beschreibt. Falls Daten im Klartext übertragen werden, finden Sie dort sogar lesbare Inhalte aus dem Traffic. Abbildung 6 zeigt am Beispiel einer frisch aufgebauten Verbindung zu einem FTP-Server, wie Sie auf der Detailseite ganz unten im Feld Payload die Zugangsdaten auslesen. Dort nutzte der Kommandozeilen-FTP-Client die Standardzugangsdaten (anonymous/anonymous@) für offen zugängliche FTP-Server. Im Feld Issues finden sich darum auch Warnungen zu den unsicheren Eigenschaften dieser Verbindung: Der Verbindungsaufbau erfolgte im Klartext (Clear-Text Credentials), der Datentransfer ebenfalls (Unsafe Protocol).

Abbildung 6: Im Payload-Feld des FTP-Flows können Sie die Zugangsdaten für den FTP-Server auslesen.

Klicken Sie auf einen Eintrag in der Spalte Applikation, filtern Sie damit die Tabelle: Es erscheinen nur noch Einträge mit derselben Applikation. Sobald Sie einen der Rechnernamen in den Spalten Client oder Server anklicken, erscheint eine Übersichtsseite für den jeweiligen Rechner. Hier erstellen Sie bei Bedarf unter anderem eine Aufzeichnung des Verkehrs von und zu diesem Rechner im PCAP-Format. Die Aufnahme läuft in der Grundeinstellung für eine Minute und lässt sich danach mit anderen Tools analysieren.

Abbildung 7 zeigt mehrere gleichzeitig laufende Angriffsversuche auf den SSH-Port eines öffentlich erreichbaren Webservers. Die Landesflaggen neben den IP-Adressen identifizieren die Angreifer als chinesisch und südkoreanisch. Die zugehörigen Meldungen über fehlgeschlagene Login-Versuche finden sich in der Logdatei /var/log/auth.log (Listing 3).

Abbildung 7: Gleich drei Einbruchsversuche aus China und Südkorea zeigt diese Flow-Liste.

# grep 36.133.201 /var/log/auth.log
Nov 21 06:21:43 v22022... sshd[10576]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=36.133.201.32 user=root
Nov 21 06:21:45 v22022... sshd[10576]: Failed password for root from 36.133.201.32 port 34894 ssh2
Nov 21 06:21:47 v22022... sshd[10576]: Received disconnect from 36.133.201.32 port 34894:11: Bye Bye [preauth]
Nov 21 06:21:47 v22022... sshd[10576]: Disconnected from authenticating user root 36.133.201.32 port 34894 [preauth]
Nov 21 06:27:10 v22022... sshd[11074]: Connection closed by 36.133.201.32 port 39074 [preauth]
Nov 21 06:27:21 v22022... sshd[11083]: Connection closed by 36.133.201.32 port 45514 [preauth]

Etwas versteckt offeriert NtopNG die Möglichkeit, in der Flow-Tabelle Verbindungen von und zu einem bestimmten Gerät zu filtern. Wählen Sie dazu einen beliebigen Flow des fraglichen Geräts aus und klicken Sie auf den Rechnernamen. Darüber gelangen Sie zunächst zur Übersichtsseite für dieses Gerät. In dessen Kopfzeile finden Sie zahlreiche Icons, darunter auch eines, das drei leicht gegeneinander verschobene waagerechte Linien zeigt. Berühren Sie es mit dem Mauszeiger, erscheint der Tooltip Live. Ein Klick darauf führt Sie zurück zur Tabelle der Flows, im Seitentitel steht aber nun zusätzlich in eckigen Klammern der Hostname.

NtopNG und Fritzbox

NtopNG sieht und analysiert nur die Netzwerkpakete, die über den Rechner laufen, auf dem es sich befindet. Intelligente Switches und Router leiten Pakete nur an jene Rechner weiter, die damit etwas anfangen können (entweder die Empfänger oder Gateways, die die Pakete weiterleiten). Daher sehen Sie in der Oberfläche nur Netzwerkverkehr von und zum NtopNG-Rechner, gelegentlich auch an alle Netzwerkteilnehmer gerichtete Broadcast-Pakete. Das genügt, um beispielsweise das Verhalten der übrigen Anwendungen zu überwachen, die auf dem PC laufen. Möchten Sie aber prüfen, welchen Traffic eine Android- oder iOS-App auf einem Smartphone oder Tablet verursacht, helfen die lokal gesammelten Daten nicht weiter.

Verwenden Sie eine Fritzbox als Internet-Router, lässt sie sich nutzen, um sämtlichen über sie laufenden Verkehr zu überwachen. Die Fritzbox kann einen Stream mit Paketdaten bereitstellen, den NtopNG dann weiterverarbeitet. Das erfolgt Linux-typisch über eine Pipe. Sie benötigen dazu das Skript fritzdump.sh [3], das Sie im Download-Bereich zu diesem Artikel finden. Darin geben Sie in Zeile 4 die IP-Adresse oder den Hostnamen (meist http://fritz.box) an. Dann rufen Sie das Skript mit den Zugangsdaten (Benutzername und Passwort) für die Fritzbox auf (Listing 4). Betreiben Sie den Router mit Standardeinstellungen, gibt es eventuell keine Benutzernamen. In diesem Fall legen Sie in der Fritzbox-Oberfläche unter System | FRITZ!Box-Benutzer ein neues Konto an.

$ chmod +x fritzdump.sh
$ sudo su
$ ./fritzdump.sh User Passwort

Statt eines Netzwerkgeräts nutzt NtopNG nun die Standardeingabe und erhält dank einer im Skript erzeugten Pipeline darüber die Verkehrsdaten (Abbildung 8). In der Standardkonfiguration überwacht das Fritzdump-Skript die Netzwerkverbindung nach außen (das WAN-Interface) und zeigt dann für lokale Rechner nur die IP-Adressen an.

Abbildung 8: Um Paketdaten nicht aus einem Netzwerk-Interface auszulesen, sondern direkt von einer Fritzbox zu holen, starten Sie NtopNG über das Skript fritzdump.sh.

Wollen Sie stattdessen die Namen der lokalen Geräte sehen, passen Sie das Skript an. Die Zeilen 7 und 10 von fritzbox.sh setzen die Variable IFACE auf "2-0" für das WAN respektive "1-lan" für das LAN, und eine der beiden Zeilen ist mit einer führenden Raute auskommentiert. Ändern Sie die Datei, sodass der andere Eintrag aktiv wird. Nach einem Neustart zeigt NtopNG dann auch die lokalen Hostnamen an (Abbildung 9).

Abbildung 9: Nach einer Konfigurationsänderung zeigt das Fritzdump-Skript auch Hostnamen für die lokalen Geräte an.

ARP-Spoofing

Wenn Sie Ihren Router nicht wie gerade beschrieben zur Überwachung nutzen können, gibt es noch eine Alternative, indem Sie per ARP-Spoofing [4] den Netzwerkverkehr eines Geräts über Ihren NtopNG-Rechner umleiten. Dabei gaukeln Sie der Gegenstelle vor, dass die NtopNG-Maschine der lokale Router sei. Das Address Resolution Protocol ARP dient dazu, lokale IP-Adressen (wie 192.168.178.1) in Netzwerk- beziehungsweise MAC-Adressen (wie 00:0c:29:14:a0:36) aufzulösen, sodass Router und Switches Netzwerkpakete im LAN oder WLAN an ihr Ziel leiten können.

Mit Manipulationen an diesen Übersetzungen lassen sich Man-in-the-Middle-Angriffe starten, die es ermöglichen, Pakete mitzulesen oder sie sogar zu verändern. Führen Sie einen solchen Angriff vom NtopNG-PC gegen einen anderen Computer oder ein Smartphone im lokalen Netz aus, erscheinen nach wenigen Sekunden die Verbindungen der angegriffenen Maschine auch in der Flow-Übersicht.

Ein kleiner Warnhinweis: ARP-Spoofing ist eine Angriffstechnik, und das im Folgenden vorgestellte Tool kann damit auch das komplette Netzwerk attackieren, also alle Maschinen im Netz. Setzen Sie das Programm darum nur in Ihrem privaten Heimnetz ein.

Das für ARP Spoofing benötigte Paket dsniff installieren Sie wie üblich nach dem Hinzufügen eines Repos [5] mit Apt (sudo apt install dsniff), Yum (sudo yum install dsniff) oder Zypper (sudo zypper in dsniff). Danach recherchieren Sie die IP-Adressen des Geräts, das Sie überwachen möchten (target), und des Default-Gateways, über das dieses Gerät das Internet nutzt.

Diese Daten finden Sie auf einem Linux-PC mit der Kommandofolge aus der ersten Zeile von Listing 5 heraus. Im gezeigten Beispiel lautet die IP-Adresse des Zielrechners 192.168.178.196 und jene des Gateways 192.168.178.1. Auf einem Android-Smartphone öffnen Sie die erweiterten Einstellungen der WLAN-Verbindung, wechseln in den IP-Einstellungen von DHCP auf Statisch und sehen sich dann die Felder IP-Adresse und Gateway an. Tippen Sie anschließend auf Abbrechen, damit die automatische Konfiguration über DHCP aktiv bleibt. Bei Apple-iOS-Geräten finden Sie in den Einstellungen unter WLAN nach einem Klick auf das verwendete Netz die Daten neben IP Address und Router.

$ ip -br a; ip -br r
lo      UNKNOWN  127.0.0.1/8 ::1/128
ens160  UP       192.168.178.196/24 2001:16b8:1436:f000:20c:29ff:fe14:a036/64 2003:c6:6f24:7b00:20c:29ff:fe14:a036/64 fe80::20c:29ff:fe14:a036/64
default via 192.168.178.1 dev ens160 proto dhcp src 192.168.178.196 metric 100
192.168.178.0/24 dev ens160 proto kernel scope link src 192.168.178.196 metric 100
$ sudo sysctl -w net.ipv4.ip_forward=1
$ arpspoof -r -t 192.168.178.196 192.168.178.1

Im nächsten Schritt sorgen Sie dafür, dass der NtopNG-PC als Router arbeitet. Die meisten Systeme verwerfen standardmäßig Pakete, die nicht für sie selbst bestimmt sind. Um die Router-Funktion zu aktivieren, also das Weiterleiten von Paketen, verwenden Sie das Kommando aus der Zeile 6 von Listing 5. Das eigentliche ARP Spoofing starten Sie dann mit dem Befehl aus Zeile 7. Dort benennt die erste IP-Adresse das Zielgerät, die zweite das Default-Gateway.

In der NtopNG-Übersicht sollten nun nach kurzer Zeit Verbindungen von und zum angegriffenen Gerät erscheinen (Abbildung 10). Im Test kamen allerdings einige Apps nicht mit dem ARP-Spoofing zurecht. So konnte beispielsweise die Bluesky-App keine Verbindung zu den Bluesky-Servern aufbauen. Die Verbindungsversuche tauchten zwar in der Flow-Liste auf, in der App erschien aber nur eine Fehlermeldung.

Abbildung 10: Mit wem spricht die App? Dank ARP-Spoofing zeigt NtopNG Verbindungen des Smartphones zu den Discord-Servern an. Im Hintergrund sehen Sie die Ansicht ohne ARP-Spoofing.

Um das ARP-Spoofing zu beenden, drücken Sie im Terminalfenster, in dem Sie Arpspoof gestartet haben, [Strg]+[C]. Daraufhin erscheint die Meldung Cleaning up and re-arping targets…, und das Hilfsprogramm stellt die ursprünglichen Zuordnungen wieder her. In der NtopNG-Flow-Übersicht dauert es etwa eine Minute, bis die Flows wieder verschwinden. Bis dahin wartet die Software, ob noch weitere Pakete zu den Flows ankommen.

Fazit

Die vorgestellten Funktionen stellen nur einen kleinen Ausschnitt der Features der frei verfügbaren Community-Version von NtopNG dar. Ein Wechsel zur professionellen oder Enterprise-Version erweitert den Umfang noch. Die NtopNG-Webseite listet unter Available Versions in einer Matrix auf, welche Features ab welcher Ausbaustufe hinzukommen. Im Shop kostet die Enterprise-XL-Lizenz mit Updates für ein Jahr um die 2000 Euro, die Pro-Features gibt es schon ab 50 Euro – allerdings nur für die auf dem RasPi laufende Version NtopNG Pro Embedded.

Darüber hinaus lohnt sich auch ein Blick in das übersichtliche und sehr ausführliche NtopNG-Handbuch [6], das es allerdings nur in Englisch gibt. Überhaupt stellt die deutsche Lokalisierung einen Schwachpunkt des Programms dar: Viele Elemente in der Oberfläche sind gar nicht oder schlecht übersetzt. Bei einem reinen Community-Projekt dürfte man da nicht meckern, die nicht eben preiswerten Kaufversionen nutzen aber dieselben (Nicht-)Übersetzungen. Das mindert jedoch nicht die Leistungsfähigkeit und gute Bedienbarkeit von NtopNG. (tle)