一个名为 nTap 的新产品,它实现了软件分流,用于物理和虚拟/容器化环境。
nTap 允许您使用安全且加密的通信通道从远程主机捕获数据包并将其传递到收集器主机,在该收集器主机上接收并在虚拟接口上注入流量。本质上,nTap 允许您创建一个虚拟接口,您可以从该接口接收来自远程主机的数据包。由于这种设计,所有应用程序都与 nTap 兼容,无需修改或重新编译。
物理Tap和 nTap 之间的主要区别包括:
- nTap 能够远程提供受监控的流量(物理Tap需要直接的电缆连接来强制监控生成流量的位置)。
- nTap 提供具有端到端加密功能的数据包,防止入侵者查看受监控的流量。
- nTap 可以对受监控的流量应用数据包过滤(物理Tap无法做到这一点:更昂贵的数据包代理提供此功能)。
- nTap 可用于容器和虚拟机以及 Kubernetes 等高动态环境(物理Tap只能在物理网络上使用)。
为了获得最大的灵活性,您还可以使用 nTap 在 Open vSwitch 中注入数据包。
您可以使用它来将数据包重新分发到应用程序,就好像它们是在本地生成的,而不是来自远程主机一样。
nTap 基于两个组件:
- nTap 远程:它安装在需要监控流量的远程设备上。
- nTap 收集器:接收 nTap 远程发送的加密数据包,对其进行解密,然后将它们推送到虚拟以太网接口上,您可以在其中附加应用程序,例如 Wireshark、tcpdump、Suricata 或 Snort。
单个 nTap 收集器可以接收来自多个 nTap 远程实例的数据包,因此您可以轻松创建一个虚拟接口,接收来自多个收集器设备(例如在家工作的用户笔记本电脑)的数据包。
可用性
nTap 软件包(Linux、FreeBSD、其他平台正在计划中)
Lincense
按照原理来说,nTap 与 ntopng 和 nProbe 一起使用时不需要商业Lincense。这是因为 ntopng Enterprise L 和 nprobe Enterprise M/L 包含本机代码支持。简而言之:
- nTap远程应用程序永远不需要许可证。这允许您将其部署在高度动态的环境中,例如容器和虚拟机。
- nTap 收集器应用程序需要许可证,它需要与除 ntopng Enterprise L 和 nprobe Enterprise M/L 之外的应用程序一起使用。
虹科提供网络流量监控与分析的软件解决方案-ntop。该方案可在物理,虚拟,容器等多种环境下部署,部署简单且无需任何专业硬件即可实现高速流量分析。解决方案由多个组件构成,每个组件即可单独使用,与第三方工具集成,也可以灵活组合形成不同解决方案。包含的组件如下:
- PF_RING:一种新型的网络套接字,可显着提高数据包捕获速度,DPDK替代方案。
- nProbe:网络探针,可用于处理NetFlow/sFlow流数据或者原始流量。
- n2disk:用于高速连续流量存储处理和回放。
- ntopng: 基于Web的网络流量监控分析工具,用于实时监控和回溯分析。