ntopng ist ein Werkzeug das tiefgreifende Einblicke in das Netzwerkgeschehen gibt. Über seine Nutzung lassen sich die Netzwerkleistung verbessern, Sicherheitsrisiken minimieren und eine zuverlässige Grundlage für die Netzwerkverwaltung schaffen. Wir zeigen die Möglichkeiten.
Das Monitoring-Tool ntopng erlaubt sowohl Netzwerküberwachung und -Analyse in Echtzeit als auch die Auswertung historischer Daten.
(Bild: Joos - ntop)
Das Tool ntopng ist seit Jahren bekannt für, umfassende Analysen in Netzwerken und Webanwendungen. Das Tool ermöglicht nicht nur die Echtzeitüberwachung von Datenverkehr und Bandbreitennutzung, sondern auch die detaillierte Analyse von Netzwerkprotokollen. Eine Integration mit anderen Überwachungs- und Sicherheitstools ist ebenfalls möglich.
Das Tool steht in den Editionen Community, Pro und Enterprise zur Verfügung. Die Community-Edition ist kostenlos, aber vom Funktionsumfang eingeschränkt. Die Unterschiede in den Editionen sind direkt auf der Webseite des Produktes zu sehen.
Im Kern ermöglicht ntopng die Überwachung des Netzwerkverkehrs in Echtzeit. Administratoren können den Datenverkehr nach Quelle, Ziel, genutztem Protokoll und Bandbreitennutzung filtern und analysieren. Die Überwachung unterstützt zahlreiche Protokolle, darunter IP, TCP, UDP, ICMP sowie erweiterte Anwendungsprotokolle wie HTTP, FTP, und DNS. Dadurch erhalten Nutzer tiefe Einblicke in die Art und Weise, wie Netzwerkressourcen genutzt werden, und können potenzielle Engpässe oder unerwünschten Verkehr schnell identifizieren.
ntopng liefert wichtige Leistungsindikatoren wie Durchsatz, Latenz, und Paketverlust. Darüber hinaus verfügt das Tool über Funktionen zur Anomalie-Erkennung, die automatisch ungewöhnliche Muster und potenzielle Sicherheitsbedrohungen wie DDoS-Angriffe oder Netzwerkinfiltrationen identifizieren. Durch die Definition von Benachrichtigungen können Administratoren proaktiv auf solche Ereignisse reagieren, bevor sie zu größeren Problemen führen.
Ein weiterer Vorteil von ntopng ist die Fähigkeit, historische Netzwerkdaten zu sammeln und zu analysieren. Diese Funktion ermöglicht es, langfristige Trends zu erkennen, Kapazitätsplanungen durchzuführen und detaillierte Berichte über die Netzwerknutzung zu erstellen. Die Analyse historischer Daten ist besonders wertvoll für die Nachverfolgung der Effektivität von Optimierungsmaßnahmen und die Sicherstellung der Einhaltung von Netzwerkrichtlinien.
Integration mit Drittanbieter-Tools
ntopng unterstützt die Integration einer Vielzahl von Drittanbieter-Tools und -Plattformen. Beispielsweise kann ntopng mit Sicherheitsinformationen und Ereignismanagement-Systemen (SIEM, Security Information and Event Management) zusammenarbeiten, um umfassende Sicherheitsanalysen zu ermöglichen. Die Kompatibilität mit Flussdatenexport-Protokollen wie NetFlow, sFlow und IPFIX ermöglicht es, Daten aus einer Vielzahl von Netzwerkgeräten zu aggregieren und zu analysieren, was eine ganzheitliche Sicht auf das Netzwerkgeschehen erlaubt.
ntopng installieren am Beispiel von Ubuntu/Debian
Die Installation von ntopng kann über den direkten Download vom Anbieter erfolgen. Dazu wird das Repository zu den Paketquellen hinzugefügt, mit anschließender Aktualisierung des Systems:
Standardmäßig nutz ntopng den Port 3000. Diese und andere Einstellungen lassen sich in der Konfigurationsdatei „ntopng.conf“ aber anpassen, zum Beispiel mit:
sudo nano /etc/ntopng/ntopng.conf
Selbstverständlich können auch andere Editoren genutzt werden.
Erste Schritte mit ntopng: Einrichtung der zu analysierenden Netzwerke
Die Anpassung der Konfigurationsdatei „ntopng.conf“ ermöglicht auch das Hinterlegen des lokalen IP-Bereiches, den ntopng untersuchen soll. Wichtig ist an dieser Stelle das Hinterlegen des Netzwerkadapters. Dazu wird das Rautezeichen (#) bei „-i“ entfernt und der richtige Adapter angegeben, zum Beispiel „eth0“. Wichtig ist noch der Port für den Zugriff auf die Weboberfläche bei „-w“ und die IP-Bereiche bei „-m“.
Es ist auch möglich den Bereich oder die Bereiche in einer eigenen Datei anzugeben, zum Beispiel „ntopng.start“. Der Parameter ist der gleiche. Bei Änderungen an den Konfigurationsdateien ist immer auch ein Neustart notwendig:
Ob ntopng läuft, kann wiederum mit dem folgenden Befehl überprüft werden:
sudo systemctl status ntopng
Hier ist auch zu sehen, wenn einer der Parameter in der Datei „ntopng.conf“ falsch gesetzt ist. Der Fehler muss danach korrigiert und ntopng neu gestartet werden.
Die Weboberfläche von ntopng nutzen
Über den Port 3000 beziehungsweise den in der Datei „ntopng.conf“ festgelegten Port und http erfolgt der erste Zugriff auf die Weboberfläche von ntopng, zum Beispiel mit http://localhost:3000. Die erste Anmeldung erfolgt mit dem Benutzername „admin“ und dem Kennwort „admin“. Das Kennwort muss bei der ersten Anmeldung geändert werden. Danach beginnt ntopng bereits mit der Überwachung des Netzwerks.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Über „Dashboard“ sind die aktivsten Hosts zu sehen, die Anwendungen, die am meisten kommunizieren und vieles mehr. Über „Hosts -> Hosts“ sind die verschiedenen Hosts im Netzwerk zu sehen und bei „Hosts -> Networks“ zeigt ntopng die Netzwerke an, die das System überwacht.
Informationen zum Netzwerk auslesen und Daten analysieren
Bei „Flows -> Live“ ist der Datenverkehr der einzelnen Hosts zu sehen, vor allem welche Daten von einer bestimmten IP-Adresse zu einer anderen geschickt werden. Alle aktiven MAC-Adressen im Netzwerk lassen sich über „Hosts -> MAC-Adresses“ finden. Interessant sind diese Informationen zum Beispiel, wenn im Netzwerk mit Layer 2 über ARP eine Analyse stattfinden soll. Wir haben dieses Thema im Beitrag „Mit ARP-Scans Sicherheitslecks im Netzwerk finden“ behandelt.
Über „Alerts -> Explorer“ und danach das Anklicken von „Flow“ zeigt ntopng Hosts und Datenverkehr an, der verdächtig erscheint. Hier sind auch die Uhrzeiten, Clients und Server, das verwendete Protokoll und auch eine Beschreibung zu finden, warum ntopng den Datenverkehr als verdächtig einstuft.
:quality(80)/p7i.vogel.de/wcms/99/ab/99ab960dc06510df4b8a1408fb816382/0126822685v1.jpeg "Moderne Netzwerkinfrastrukturen vereinen verschiedene Technologien zu integrierten Plattformen für Agilität, Sicherheit und Effizienz. (Bild: © CrazyCloud – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/1f/c61fa9e09fbfcdbf0ea821ac6b630aef/0126873569v1.jpeg "UEM-Systeme sind für viele Unternehmen eine strategische Antwort auf die Herausforderungen der Hybridarbeit und der wachsenden Zahl verschiedenartiger Geräte. (Bild: © momius – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5d/02/5d02e24caafc3a16fc10fc839726c1d5/0127065525v1.jpeg "Das sind die Gewinner der IT-Awards 2025! (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/10/b8/10b8f6fcd8e93dbfbab834c47b599830/0129095439v1.jpeg "Pega beschleunigt mit einem neuen KI-Tool die Transformation von Lotus-Notes-Anwendungen in moderne, Cloud-native Workflows. (Bild: © bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd9bbec53654083df8770aecac691a/0129224068v1.jpeg "Multi-Core Fibre bündelt mehrere parallele Lichtsignale in einer Faser. Colt erreicht im Londoner Metronetz 800 Gbit/s Leitungsgeschwindigkeit und validiert 100GE- und 400GE-Services. (Bild: © Antonio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a1/7d/a17d7fd021921c33db99ee4aeb41bb30/0128573226v1.jpeg "Microsoft Intune ermöglicht die zentrale Steuerung von Secure-Boot-Zertifikatupdates und bindet sicherheitskritische Firmware-Updates in bestehende Windows-Update-Prozesse ein. (Bild: © MT.PHOTOSTOCK - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/32/5e/325e7dc99010c393d153ce94336c9924/0129346618v1.jpeg "Netzkomponenten wie Router bilden das Rückgrat von Telekommunikationsnetzen. Der Austausch von Hardware „hochriskanter“ Anbieter adressiert Lieferkettenrisiken, lässt aber Fragen nach prüfbarer Firmware und Management-Software offen. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/fa/83/fa832a75d3b143390e952ad803ea272c/0129257608v1.jpeg "Monitoring-Daten der Bundesnetzagentur: Laut Verivox stockt der Mobilfunkausbau. (Bild: Bundesnetzagentur)")
:quality(80)/p7i.vogel.de/wcms/28/e8/28e83bbfac2c484ed4864fe7de55d39c/0129243647v1.jpeg "Ricardo Rodríguez vom eSIM-Anbieter Holafly ist überzeugt, dass (multinationale) eSIM-Lösungen das Reisen für viele Geschäftskunden entscheidend verbessern wird. (Bild: Holafly)")
:quality(80)/p7i.vogel.de/wcms/cc/b7/ccb7dd07088b3c2a8890a04d5f304aa6/0128892977v1.jpeg "Die 6G-Forschungsroadmap positioniert 6G nicht als evolutionären Mobilfunkstandard, sondern als Plattform für KI-basierte, sicherheitskritische und industriell relevante Echtzeitsysteme. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/d9/9a/d99a053e7c8d89c7a77c6813cd6fd153/0129431972v2.jpeg "Mit einem Open Source Tool kann man KI aus Windows 11 verbannen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/21/47/2147cbdfbcf0e9222f7372a69e3c68df/0129440963v1.jpeg "Die XXV. Olympischen Winterspiele in Norditalien sind mehr als ein sportliches Großereignis – sie sind auch ein Feldexperiment für eine neue Ära der Konnektivität. (Bild: HPE)")
:quality(80)/p7i.vogel.de/wcms/1d/90/1d90da2ea811074da0ba9707b8b2b54c/0128930781v1.jpeg "Azure ExpressRoute Direct verbindet lokale Rechenzentren über zwei aktiv genutzte, physisch getrennte Leitungen direkt mit dem Microsoft-Backbone. Der Datenverkehr wird dabei parallel über dedizierte Ports geführt und umgeht vollständig das öffentliche Internet. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/63/b1/63b1a1b40a0e1b0c1e3e5db3f4ca9e65/0129432487v1.jpeg "Der aktuelle Lagebericht Observability 2025 verdeutlicht, dass nicht die Anzahl der Incidents, sondern Tool-Wildwuchs und fehlender Kontext die größte Belastung darstellen. (Bild: Splunk)")
:quality(80)/p7i.vogel.de/wcms/41/de/41de964aab28b05865562fd8c190a409/0129259457v1.jpeg "Das erweiterte Real User Monitoring soll echte Nutzerinteraktionen direkt mit Logs und Systemmetriken verknüpfen. (Bild: Dynatrace)")
:quality(80)/p7i.vogel.de/wcms/ad/6b/ad6bcd9a4a71813986e0c50836881e9f/0125105677v1.jpeg "Checkmk verstehen. Monitoring beherrschen. Der Workshop im Überblick. (Bild: Lang | Checkmk)")
:quality(80)/p7i.vogel.de/wcms/35/51/3551092f2bcf24a479b40174f1462f76/0129052509v1.jpeg "Im Einzelhandel entscheidet Netzverfügbarkeit zunehmend über den laufenden Betrieb. Zahlungsprozesse, Warenwirtschaft, digitale Preisauszeichnung und Kundenanwendungen hängen an derselben Infrastruktur. (Bild: Lancom)")
:quality(80)/p7i.vogel.de/wcms/e5/a0/e5a0f4de62a580ed71280869402a9b64/0129197312v1.jpeg "Satellit als Rückfallebene: NTN-NB-IoT ergänzt Mobilfunknetze dort, wo klassische Abdeckung endet. (Bild: Skylo)")
:quality(80)/p7i.vogel.de/wcms/e3/7b/e37ba41b42c7a59410ba0602b87b3e25/0128471490v1.jpeg "Virtuelle Bot-Armeen, gekaufte Likes und politische Einflussnahme: SIM-Karten vom Graumarkt manipulieren das Netz und steuern gezielt Trends. (Bild: © Moor Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/58/90/589012e9659a67c828b52806b2ae94fe/0129143628v1.jpeg "Die IO-River-Gründer: links Michael Hakimi (CTO), rechts Edward Tsinovoi (CEO). (Bild: IO River)")
:quality(80)/p7i.vogel.de/wcms/38/ca/38ca305fdd9ec806f05b75bb7e5ce3cb/0129229797v1.jpeg "Open Systems, Anbieter von co-managed SASE-Betriebsmodellen mit globaler Reichweite, hat eine Umfrage zu SASE, Zero Trust und dem Einsatz von SD-WAN-Infrastrukturen durchgeführt. (Bild: © Nirusmee - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a8/6e/a86e3402f17319013d3788295086cc78/0129232045v1.jpeg "Frontansicht der 1-HE-Appliance „genuline“: Rackgerät für IPsec-basierte Standortkopplung mit Managementschnittstellen und modularen Netzwerkports. (Bild: genua)")
:quality(80)/p7i.vogel.de/wcms/19/0b/190bfaf5cb55e2add9ddfc2f2a071e87/0129086020v1.jpeg "Die beiden Gründer von Zeropoint Lavi Friedman (li.) und Joseph Gertz (re.) setzen auf einen Ansatz, der Netzwerkgrenzen nicht absichert, sondern physisch neu zieht. Keine Pakete rein, keine Daten raus – nur menschliche Interaktion und Pixel. (Bild: Zeropoint)")
:quality(80)/p7i.vogel.de/wcms/6b/f2/6bf2e81dc29df8c268253e4d78572a63/0128027687v2.jpeg "Secure Remote Access ermöglicht kontrollierte, protokollisolierte Verbindungen zu OT- und ICS-Systemen und unterstützt damit sichere industrielle Abläufe und kontinuierliches Monitoring. (Bild: © tippapatt - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a7/05/a7052150963766d5f9c051fda4fa0360/0129099772v1.jpeg "Skype wurde Anfang Mai 2025 eingestellt. Wer noch alte Daten retten will, sollte schnell aktiv werden. (Bild: Microsoft)")
:quality(80)/p7i.vogel.de/wcms/18/fc/18fcff49f531de7e54368f6d7ad3012a/0129243939v1.jpeg "Für Peter Nowack, CEO der Gamma Placetel, entscheidet sich digitale Souveränität dort, wo Unternehmen Kontrolle über ihre Kommunikationsinfrastruktur behalten. (Bild: Placetel)")
:quality(80)/p7i.vogel.de/wcms/c6/67/c667b2013753f13d80a8af7b6e93f6d4/0128866846v1.jpeg "Die Digital Office Conference 2026 am 18. März in Berlin: Innovation, Verantwortung und digitale Souveränität im Fokus. (Bild: Bitkom)")
:quality(80)/p7i.vogel.de/wcms/b9/11/b9115df1d2563d3f5f0135fc29466adb/0129435205v2.jpeg "Cyberkriminellen ist es gelungen, die Infrastruktur für die Verwaltung mobiler Endgeräte der EU-Kommission anzugreifen und möglicherweise auch Mitarbeiterdaten zu stehlen. (Bild: Pixabay)")
:quality(80)/p7i.vogel.de/wcms/b7/03/b703960e0f6b855b0254135a20288b0c/0128930508v1.jpeg "Die Scorecard dient als praxisnahe Standortbestimmung für IT-Entscheider. (Bild: Scality)")
:quality(80)/p7i.vogel.de/wcms/bb/dd/bbdd4200c21c0a24391b4511119bc030/0128991187v1.jpeg "Mit zunehmender Modellgröße und wachsenden GPU-Clustern wird das Netzwerk zur zentralen Herausforderung. InfiniBand galt lange als das Nonplusultra. Doch Ethernet-Technologien haben erheblich aufgeholt. (Bild: Supermicro)")
:quality(80)/p7i.vogel.de/wcms/9b/a8/9ba84bf777968072ccdbcc132daa2fcb/0127162321v1.jpeg "Cloudflare führt mit Content Signals eine neue Richtlinie ein, mit der Webseiten festlegen können, ob ihre Inhalte für KI-Training oder Inferenz genutzt werden dürfen. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/95/72/957207921b8d4f4428efb3e4db15e0cb/0127035831v1.jpeg "Netzwerksperren wie IP- oder DNS-Blocking sollen illegale Inhalte bekämpfen, verursachen aber oft Kollateralschäden. Welche Risiken bestehen – und welche Alternativen praktikabler sind. (Bild: KI-generiert)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/93500/93524/65.jpg "AL_Enterprise_logo_RGB.jpg ()")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134600/134600/65.jpg "vitel_logo.jpg ()")
:quality(80)/p7i.vogel.de/wcms/5a/83/5a83427e337d3767af391a1e39bf9899/0117772114.jpeg "ntopng lässt sich zum Beispiel auf Ubuntu/Debian installieren.(Bild: Joos - ntop)")
:quality(80)/p7i.vogel.de/wcms/ba/b4/bab46e07d6e1c4ca31d7f64c96eccc21/0117772112.jpeg "Anpassen der Konfigurationsdatei von ntopng nach der Installation.(Bild: Joos - ntop)")
:quality(80)/p7i.vogel.de/wcms/20/55/2055dc7540678788fa4770396c81d1de/0117772113.jpeg "Überprüfen, ob ntopng fehlerfrei gestartet ist.(Bild: Joos - ntop)")
:quality(80)/p7i.vogel.de/wcms/fc/f0/fcf0bb7759611be8bcec4f652b368535/0117772119.jpeg "In der Weboberfläche zeigt ntopg gleich den Netzwerkverkehr an.(Bild: Joos - ntop)")
:quality(80)/p7i.vogel.de/wcms/39/4b/394bd80867bedcee436b6c4f59499517/0115220829.jpeg "EtherApe zeigt den Datenverkehr im Netzwerk grafisch an. (Bild: Joos - EtherApe (Riccardo Ghetta, Juan Toledo))")
:quality(80)/p7i.vogel.de/wcms/c8/58/c8587bc10ea71b732111a633b6ef3b8e/0124662639v1.jpeg "Mit Cockpit lassen sich Linux-Server zentral über den Webbrowser verwalten – ideal für Admins, die ohne Terminal arbeiten wollen. So gelingt die Installation unter Ubuntu 24.04 und die Nutzung im Alltag. (Bild: Joos / Ubuntu)")
:quality(80)/p7i.vogel.de/wcms/80/3a/803affe9f28f6a13b9da299df638ce49/0125480543v1.jpeg "Bloodhound und Sharphound bilden eine wichtige Basis für die Analyse von Active Directory. Zum Einsatz kommt dabei auch Neo4j. (Bild: Microsoft | Joss)")