NTG 流量分析仪试用报告

1. Overview
NTG 是台湾威睿科技股份有限公司(http://www.genienrm.com)的一款硬件产品,它的主要
功能是利用接收到的NetFlow/sFlow 流量数据进行流量数据分析。
在NTG 的主页上介绍如下:
-Quote-
“NTG 流量分析仪提供了用户上网行为分析、异常流量实时监测、历史流量分析报表到流
量趋势预警等功能,涵盖了网络流量分析的所有细节,可以通过日报、周报、月报的标准报
表、对照报表、趋势分析报表等多种格式报告流量分析结果。
NTG 流量分析仪的采集对象通常是核心交换机和出口路由器,普遍被应用在接入业务带宽
成本分析、下属网络带宽成本分析、私设地下网站检测、DOS 攻击源和目标检测、路由负
载均衡分析等应用。“
-End Quote-
我们测试的是ntg2105 产品,
主页可参见:http://www.genienrm.com/gb/main-2.htm该产品为硬件,大小类似小的PC 主机,硬盘容量为80G.,软件版本是最新的3.6.13b1,该
产品可以通过SSH 和WEB 界面进行管理-但是SSH 方式提供的管理功能极为有限。
我们把该产品接到了一个交换机的百兆口,用来监控一台大客户路由器上单个GE 口的
NETFLOW 流量。
从我们使用测试的情况来看,NTG 的产品在功能上可以分为四个模块:
1: Flow monitor
2: Flow Analysis
3: Traffic Snapshot
4:系统/用户管理
2.下面就几个模块分别描述:
Flow monitor
Flow monitor 功能类似于强化过的mrtg,这个模块可以监控的项目包括as 号/ip 段/ip 地址/
端口/协议/routerd 的interface 这6 个netflow 格式中几个常见的参数,用户可以通过对定
制factor 和filter 对上述字段进行单独或通过AND、OR、NOT 等逻辑运算组合成复合条件
进行监控,产生满足监控条件的类似mrtg 的流量图(所有的图形样例在上面所附NTG 公司
http 网址内均有例子,这里面不再列了)。
对每一个监控条件,用户可配置两个门限值,当流量超过门限值时,系统可在图形上进行告
警。
通过测试使用感觉这个模块功能还是弱了些,以下为几个原因:
a:可以监控的参数项目太少,目前仅支持6 个字段。从安全视角来看比较重要的tcp 标志
位,icmp type/code 等字段都无法监控。
b:产生的类mrtg 图形过于简单,缺乏细节信息。比如:组合监控绑定了一组端口,那么产
生的图形仅能显示端口的总流量,无法在图中显示组合中每个端口的分支流量。同开源的一
些软件比,比较令人失望。下图为使用开源软件生成的一个监控图:
由于可以分端口显示流量,从这个图里面我们非常容易可以看到19 点的时候有一个6667
(IRCUDP)的大流量攻击;如果使用NTG,那么就仅仅能够看到有流量尖峰,但是什么端
口造成的流量尖峰,不得而知~
c:很多细节上体现出模块的可操作性不好。比如管理员打算监控一个GAME 的端口组,这
个组里面需要绑定10 个端口,那么就要重复的点击、选择、输入10 次单个端口,而不能一
次输入10 个端口。
Flow Analysis
从我们目前拿到的这个最新的版本里面看,目前Flow Analysis 主要功能是通过定制netflow
格式中几个常见的参数以及在上面Flow monitor 中定制的filter 字段实现满足条件的topN
历史7 因素排名(源流量/目的流量/源数据包数/目的数据包数/源端口/目的端口/session),
并根据设置时间进行更新。比如,监控网络中TOP 10 目的端口的上述7 项指标,每5 分种
刷新并根据历史总和进行排名。
这个模块的输出内容为长条图和类excel的表格。
通过使用感觉这个模块功能是最不令人满意的,主要原因:
从安全角度考虑,对采集的来的历史数据进行挖掘,从中分析和跟踪安全事件的诸多细节应
该是安全产品中非常重要的一块,在ntg 提供的模块里面,这个功能是Flow Analysis 这个模
块实现的,但个人感觉ntg 在这一块的实现非常不尽人意。其他都不谈,一个非常关键的问
题就是无法进行有效的数据挖掘,ntg 在这个模块上除了最新的一笔数据外,无法提供任何
形式的详单(如:指定时间段内满足定制条件的网络连接的详单)。用户能够看到的就是根据
历史纪录总和的top 排名。管理员无法调出符合监控条件的某个指定时间的数据记录详单,
能够看到的就是上述的7 因素排名。
无法对原始数据进行数据挖掘和分析,在发生了安全事件后就给分析/追查造成了极大的障
碍。这一点和flow-tools,SiLK,cflow 等开源的工具相比相差实在太大。
不过据说ntg 可能有基于命令行的插件,可以操作原始数据,这一点未得到确认。
Traffic Snapshot
Traffic Snapshot 实现的是对取得的数据的即时快照功能,这个模块就是对as 号/ip 段/ip 地址
/端口/协议/routerd 的interface 这6 个netflow 即时排序。
这个模块在安全分析中意义不是太大,除非有一个人在计算机console 前坐着并不断刷新
~ :)
系统和用户管理
系统采用分级权限设计,包括系统管理源和普通用户等,管理员可备份或回存系统配置文件。
但在使用中感觉这个模块粒度还不够,比如无法控制不同的用户的操作权限,在配置上无法
保存指定的部分配置内容,管理员只有both/none的选择。
3.性能
Ntg 可能的优势是在性能上,这也是开源的flow-tools,SiLK 等工具弱势的地方。但这方面
由于条件所限没有做测试。
4.总结
总的来看:ntg 作为传统的流量分析等还是有它的优势的,但从安全市场的角度来看,除开
性能优势,它还有比较长的路要走~