yy玄幻小说排行榜完本,最好看的小说排行,玄幻小说排行榜完本

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

運(yùn)用Ntop監(jiān)控網(wǎng)絡(luò)流量（視頻Demo）

網(wǎng)絡(luò)流量反映了網(wǎng)絡(luò)的運(yùn)行狀態(tài)，是判別網(wǎng)絡(luò)運(yùn)行是否正常的關(guān)鍵數(shù)據(jù)，在實(shí)際的網(wǎng)絡(luò)中，如果對網(wǎng)絡(luò)流量控制得不好或發(fā)生網(wǎng)絡(luò)擁塞，將會導(dǎo)致網(wǎng)絡(luò)吞吐量下降、網(wǎng)絡(luò)性能降低。通過流量測量不僅能反映網(wǎng)絡(luò)設(shè)備(如路由器、交換機(jī)等)的工作是否正常，而且能反映出整個(gè)網(wǎng)絡(luò)運(yùn)行的資源瓶頸，這樣管理人員就可以根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)及時(shí)采取故障補(bǔ)救措施和進(jìn)行相關(guān)的業(yè)務(wù)部署來提高網(wǎng)絡(luò)的性能。對網(wǎng)絡(luò)進(jìn)行流量監(jiān)測分析，可以建立網(wǎng)絡(luò)流量基準(zhǔn)，通過連接會話數(shù)的跟蹤、源/目的地址對分析、TCP流的分析等，能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量，進(jìn)行實(shí)時(shí)告警，從而保障網(wǎng)絡(luò)安全。本節(jié)將介紹的Ntop便可以提供詳細(xì)的網(wǎng)絡(luò)流量明細(xì)表。在Ossim系統(tǒng)中集成了Ntop可以直接使用。

1.Ntop簡介

Ntop是一種監(jiān)控網(wǎng)絡(luò)流量的工具，用NTOP顯示網(wǎng)絡(luò)的使用情況比其他一些網(wǎng)管軟件更加直觀、詳細(xì)。NTOP甚至可以列出每個(gè)節(jié)點(diǎn)計(jì)算機(jī)的網(wǎng)絡(luò)帶寬利用率。

2.Ntop主要功能

Ntop主要提供以下一些功能：

①.自動(dòng)從網(wǎng)絡(luò)中識別有用的信息;

②.將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識別的格式;

③.對網(wǎng)絡(luò)環(huán)境中通信失敗的情況進(jìn)行分析;

④.探測網(wǎng)絡(luò)環(huán)境中的通信瓶頸,記錄網(wǎng)絡(luò)通信的時(shí)間和過程。

Ntop可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題;也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng);還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)、各次通信的目標(biāo)主機(jī)、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息。

3. Ntop支持的協(xié)議

Ntop比MRTG更容易安裝，如果用手機(jī)話費(fèi)來比喻流量，MRTG便如同提供總費(fèi)用的電話賬單，而Ntop則是列出每一筆費(fèi)用的明細(xì)一樣。目前市場上可網(wǎng)管型的交換機(jī)、路由器都支持SNMP協(xié)議，Ntop支持簡單網(wǎng)絡(luò)管理協(xié)議，所以可以進(jìn)行網(wǎng)絡(luò)流量監(jiān)控。Ntop幾乎可以監(jiān)測網(wǎng)絡(luò)上的所有協(xié)議: TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP-BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技術(shù)的協(xié)議eDonkey。

4.Ntop支持插件

①.ICMPWATCH：

用于端口檢測很多人都已經(jīng)知道了可以借助NETSTAT -AN來查看當(dāng)前的連接與開放的端口，但NETSTAT并不萬能，比如Win2000遭到OOB攻擊的時(shí)候，不等NETSTAT就已經(jīng)死機(jī)了。為此，出現(xiàn)了一種特殊的小工具——端口監(jiān)聽程序。端口監(jiān)聽并不是一項(xiàng)復(fù)雜的技術(shù)，但卻能解決一些局部問題。

②.NetFlow：

近年來，很多服務(wù)提供商一直使用NetFlow。因?yàn)镹etFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力，可以幫助支持對等點(diǎn)上的最佳傳輸流，同時(shí)可以用來進(jìn)行建立在單項(xiàng)服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評估，解決服務(wù)和安全問題方面所表現(xiàn)出來的價(jià)值，為服務(wù)計(jì)費(fèi)提供基礎(chǔ)。

③.rrdPlugin：

用于生成流量圖。RRD的作者，也是MRTG的作者，RRD可以簡單的說是MRTG的升級版，它比MRTG更靈活，更適合用shell、perl等程序來調(diào)用，成生所要的圖片。

④.sFlow：

sFlow(RFC 3176)是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)協(xié)議，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī) ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使面向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。與數(shù)據(jù)包采樣技術(shù)(如RMON)不同，sFlow是一種導(dǎo)出格式，它增加了關(guān)于被監(jiān)視數(shù)據(jù)包的更多信息，并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，因此在功能和性能上都超越了當(dāng)前使用的RMON、RMON II和NetFlow技術(shù)。sFlow技術(shù)獨(dú)特之處在于它能夠在整個(gè)網(wǎng)絡(luò)中，以連續(xù)實(shí)時(shí)的方式監(jiān)視每一個(gè)端口，但不需要鏡像監(jiān)視端口，對整個(gè)網(wǎng)絡(luò)性能的影響也非常小。

另外，Ntop還允許用戶安裝插件用，以提供對于特定協(xié)議下具體統(tǒng)計(jì)數(shù)據(jù)的報(bào)告，如NFS和NetBIOS插件。當(dāng)然，Ntop也可以生成運(yùn)行它的主機(jī)的統(tǒng)計(jì)數(shù)據(jù)，列出開放套接字、接收和發(fā)送的數(shù)據(jù)以及每個(gè)過程的相關(guān)主機(jī)對。

二、Ntop系統(tǒng)的部署

對于共享網(wǎng)絡(luò)，只須將連接到共享網(wǎng)絡(luò)中的流量采集點(diǎn)的網(wǎng)絡(luò)接口置為混雜工作模式，就可實(shí)現(xiàn)采集網(wǎng)絡(luò)流量數(shù)據(jù)的功能。與交換網(wǎng)絡(luò)相比，網(wǎng)絡(luò)發(fā)生擁塞時(shí)，集線器網(wǎng)絡(luò)的可靠性很低，SNMP問詢命令和回應(yīng)數(shù)據(jù)包可能發(fā)生延遲或丟失，這時(shí)候Ntop檢測數(shù)據(jù)也就不準(zhǔn)確了，對于交換網(wǎng)絡(luò)的情況，需要交換設(shè)備的支持(如具有SPAN端口的交換機(jī))。流量采集主機(jī)連接到交換設(shè)備的一個(gè)端口后，通過交換機(jī)的SPAN至(Switched PortAnalyzer)端口把要分析的所有流量鏡像到該采集點(diǎn)上。SPAN在使用中非常靈活，可以監(jiān)視交換機(jī)的單個(gè)端口，也可以監(jiān)視多個(gè)端口，還可以對VLAN進(jìn)行監(jiān)視。這就使流量異常監(jiān)測系統(tǒng)具有了很大的靈活性。在一些流量比較大的企業(yè)，我們一般選用兩個(gè)網(wǎng)卡，一塊網(wǎng)卡作為Ntop專用嗅探網(wǎng)卡，連到核心交換機(jī)的鏡像端口，另一塊配上IP地址并開放相應(yīng)端口(默認(rèn)是3000，也可以修改)，連接交換機(jī)的作用是用來登錄Web界面進(jìn)行管理，Ntop的部署如圖1所示。

圖1 Ntop的安裝位置

Ntop沒有自己的捕包工具，它需要一個(gè)外部的捕包程序庫：libpcap。Ntop利用libpcap獨(dú)立地從物理鏈路上進(jìn)行捕包，它可以借助libpcap的平臺成為一個(gè)真正的與平臺無關(guān)的應(yīng)用程序。它直接從網(wǎng)卡捕包的任務(wù)由libpcap承擔(dān)，所以我們必須確保Linux系統(tǒng)下正確安裝了libpcap。

三.Ntop安裝配置

Ntop工作時(shí)需要使用zlib、gd、libpcap及l(fā)ibpng的函數(shù)，安裝前須檢查服務(wù)器中是否已經(jīng)含有下列的軟件：zlib(zlib-1.1.3-xx以上)、gd(gd-1.3.xx以上)、libpng?？梢允褂肦PM來確認(rèn)：

rpm -qa | grep libpcap

rpm -qa | grep zlib

rpm -qa | grep gd

rpm -qa | grep libpng

如果發(fā)現(xiàn)缺少任何一個(gè)就需要自行安裝，舉例如下。

1.安裝libpcap

# tar zxvf libpcap-0.9.8.tar.gz

# cd libpcap-0.9.8

#./configure

# make&&make install

2.安裝RRDtool

RRDtool是指Round Robin Database 工具(環(huán)狀數(shù)據(jù)庫)。Round Robin是一種處理定量數(shù)據(jù)以及當(dāng)前元素指針的技術(shù)。想象一個(gè)周邊標(biāo)有點(diǎn)的圓環(huán)，這些點(diǎn)就是時(shí)間存儲的位置。從圓心畫一條到圓周的某個(gè)點(diǎn)的箭頭，這就是指針。一個(gè)圓環(huán)上沒有起點(diǎn)和終點(diǎn)，可以一直存儲下去。經(jīng)過一段時(shí)間后，所有可用的位置都會被用過，該循環(huán)過程會自動(dòng)重用原來的位置。這樣，數(shù)據(jù)集不會增大，并且不需要維護(hù)。

#tar -zxvf rrdtool-1.3.1.tar.gz

#export PKG_CONFIG_PATH=/usr/lib/pkgconfig/

#./configure

#make

#make install

3.安裝Ntop

下載ntop安裝包：http://www.nmon.net/packages/rpm/x86_64/ntop/

#rpm -ivh ntop-3.3.10-.x86.rpm

#yum install ntop \\CentOS系統(tǒng)

#apt-get install ntop \\Debian系統(tǒng)

注意:在Ossim 系統(tǒng)中已經(jīng)為我們安裝好Ntop軟件，可以直接使用。如果您選擇單獨(dú)安裝可以繼續(xù)參考以下內(nèi)容。另外如果您使用Red Hat Linux 、Fedora或CentOS請首先關(guān)閉 SELinux功能。

4.建立Ntop用戶并配置權(quán)限

#useradd ntop

5.建立Ntop存放數(shù)據(jù)的目錄

#mkdir -p /var/ntop

#chown -R ntop.ntop /var/ntop

6.復(fù)制ntop.conf配置文件

#cp /ntop-3.3.10/ntop.conf.sample /etc/ntop.conf

7.設(shè)置管理密碼

在執(zhí)行ntop之前必須先建立管理員密碼，長度至少5位。使用參數(shù)-A建立管理員密碼

#ntop -A

8. Ntop的管理員密碼重置方法

Ntop的用戶密碼文件是經(jīng)過加密存儲在ntop_pw.db文件中，Ntop用戶密碼存儲位置：

64位版本：/var/lib/ntop_db_64/ntop_pw.db

64位版本需先刪除其密碼文件ntop_pw.db,然后用notp -A 重置管理員密碼后，最后重啟ntop服務(wù)就能生效。

#/etc/init.d/ntop restart

另外，注意一個(gè)細(xì)節(jié)，ntop的訪問日志位置在/var/log/ntop/目錄下,它的pcap log在/var/lib/ntop目錄下。

四、應(yīng)用Ntop

1.啟動(dòng)Ntop

#/usr/local/bin/ntop -i eth0 -d -L -u ntop -P /var/ntop --use-syslog=daemon

命令行中各項(xiàng)簡要介紹如下。

-i "eth0"：指定監(jiān)聽網(wǎng)卡。

-d：后臺執(zhí)行。

-L：輸出日志寫入系統(tǒng)日志(/var/log/messages)。

-u ntop：指定使用Ntop身份執(zhí)行。

-P /var/ntop：指定Ntop數(shù)據(jù)庫的文件位置。

-use-syslog=daemon：使用系統(tǒng)日志進(jìn)程。

-w：使用其他端口，指定ntop使用其他端口，例如執(zhí)行ntop –w 1900以后，便可以使用http://ip:1900來連接ntop

2.利用Web瀏覽器查看Ntop狀況

Ntop的通訊端口為3000,所以在瀏覽器使用IP：3000進(jìn)入ntop便可看到ntop歡迎界面

，如圖2所示。

圖2 查看Ntop狀況

3.查看整體流量

對于網(wǎng)絡(luò)整體流量的統(tǒng)計(jì)，分別是Protocol Traffic Counters、IP Traffic Counters、TCP/UDP Connections Stats、Active TCP Connections List、Peers List。按照不同的Packet，將流量數(shù)據(jù)存放到不同的Counter中。對網(wǎng)絡(luò)整體流量進(jìn)行分類統(tǒng)計(jì)，包括下列情形。

流量分布情形：區(qū)分為本網(wǎng)絡(luò)主機(jī)之間、本網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、外部網(wǎng)絡(luò)與本網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量統(tǒng)計(jì)。

數(shù)據(jù)包分布情形：依據(jù)數(shù)據(jù)包大小、廣播形態(tài)及IP與非IP等加以分類及統(tǒng)計(jì)。

協(xié)議使用及分布情形：本網(wǎng)絡(luò)各主機(jī)傳送與接收數(shù)據(jù)所使用的通信協(xié)議種類與數(shù)據(jù)傳輸量。

通過Summary→Traffic查看整體流量(如圖3所示)，網(wǎng)絡(luò)流量會以清晰的表格形式顯示，如圖3所示。

圖3 查看整體流量

在圖3中，Summary內(nèi)容為目前玩過的整體概況，包括流量，主機(jī)網(wǎng)絡(luò)負(fù)載等。All Protocols選項(xiàng)可以查看各主機(jī)占用的帶寬和各時(shí)段使用的流量明細(xì)。IP顯示網(wǎng)絡(luò)主機(jī)的流量狀況和排名;Utils可以顯示ntop記錄的網(wǎng)絡(luò)狀況、流量統(tǒng)計(jì)并可以將數(shù)據(jù)存儲為txt,xml等格式;Plugins包含了ntop所支持的插件類型;Admin選項(xiàng)可以對ntop進(jìn)行配置，例如我們可以配置Pcap Log的路徑，這對于解決Ntop數(shù)據(jù)占用磁盤空間問題很有幫助，默認(rèn)路徑為/usr/local/ntop/var/ntop目錄下。另外為了節(jié)約磁盤空間可以降低Max Hashes和Max Sessions的值。此外還可以進(jìn)行ntop重啟停止等操作。另外，如果ntop啟動(dòng)失敗，你可以到/var/log/messages中尋找錯(cuò)誤日志。如果你需要設(shè)置開機(jī)自動(dòng)啟動(dòng)還可以到/etc/rc.d/rc.local文件最后加入啟動(dòng)ntop的命令。如果你想修改ntop外觀可以編輯ntop的HTML文檔、或CSS式樣文件，這些內(nèi)容在/usr/share/ntop/html目錄下。

圖4 以表格形式顯示網(wǎng)絡(luò)流量

4.查看通信數(shù)據(jù)包(協(xié)議)比例

數(shù)據(jù)包對于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全而言具有至關(guān)重要的意義，如防火墻的作用就是檢測網(wǎng)絡(luò)中的數(shù)據(jù)包，判斷其是否違反了預(yù)先設(shè)置的規(guī)則，如果違反就加以阻止。Linux網(wǎng)絡(luò)中最常見的數(shù)據(jù)包是TCP和UDP。如果想了解一個(gè)計(jì)算機(jī)傳輸了哪些數(shù)據(jù)，可以雙擊計(jì)算機(jī)名稱即可分析出用戶各種網(wǎng)絡(luò)傳輸?shù)膮f(xié)議類型和占用帶寬的比例，如圖5所示。

圖5查看協(xié)議類型和占用比例

5.與Google Map整合：Ntop中標(biāo)注IP所在國家的位置

選取Summary→Hosts World Map Ntop命令，與Google Earth(谷歌地球)進(jìn)行技術(shù)整合，能將收集到的信息實(shí)時(shí)地在谷歌地球上顯示出來。首先要有Gmail賬號，然后到http://code.google.com/apis/maps/signup.html上申請Google Maps API的密鑰，成功后如圖6所示。

圖6注冊使用Google Maps API

接下來復(fù)制密鑰，選擇Admin→Configure→Preferences，這時(shí)會提示輸入用戶名、密碼，如圖7所示。

圖7 定位到Admin→Configure→Preferences

在如圖8所示的界面中找到google_maps.key選項(xiàng)，并把密鑰填寫進(jìn)去。注意，調(diào)整參數(shù)需要輸入用戶和密碼，如果忘記了Ntop密碼，可以通過root輸入“/usr/sbin/ntop –A”來修改用戶admin的密碼。

圖8 填寫密鑰

保存退出后，在Chrome 瀏覽器中再次選擇Hosts World Map，配置完成。

注意：由于Google Maps的限制，不能跟蹤所有IP地址。如果在設(shè)置時(shí)出現(xiàn)“Please enable make sure that the ntop html/ directory is properly installed”提示錯(cuò)誤，多半是權(quán)限問題，可采用以下方法解決：

 
 
 
 
  
  
  
  ＃chown -R ntop:ntop  /var/lib/ntop/           \\**改變owner**\
  
  
  
  ＃chown -R ntop:ntop  /usr/share/ntop/
  
  
  
  ＃ ln -s /usr/share/ntop/html  /var/lib/ntop/     \\*建立一個(gè)符號鏈接*\\
  
  
  
  ＃ /etc/init.d/ntop restart                                  重啟服務(wù)以便設(shè)置生效

6.數(shù)據(jù)轉(zhuǎn)儲功能

Ntop還支持把流量轉(zhuǎn)儲成其他格式(如文本文件、Perl、PHP、Python)，以便其他外部程序可以對數(shù)據(jù)進(jìn)行深加工?？梢赃x擇Utils→Data Dump命令，如圖9所示。

圖9定位到Utils→Data Dump

如我們選擇報(bào)告主機(jī)類型，格式為PHP。則轉(zhuǎn)儲數(shù)據(jù)如下：

 
 
 
 
  
  
  
  '1.1.1.12' => array(
  
  
  
  'hostResolvedName' => '1.1.1.12',
  
  
  
  'pktSent' => 12628,
  
  
  
  'pktRcvd' => 32668,
  
  
  
  'ipv4BytesSent' => 1818480,
  
  
  
  'ipv4BytesRcvd' => 30936426,
  
  
  
  'bytesMulticastSent' => 0,
  
  
  
  'pktMulticastSent' => 0,
  
  
  
  'bytesMulticastRcvd' => 0,
  
  
  
  'pktMulticastRcvd' => 0,
  
  
  
  'bytesSent' => 1818480,
  
  
  
  'bytesRcvd' => 30936426,
  
  
  
  'ipv4BytesSent' => 1818480,
  
  
  
  'ipv4BytesRcvd' => 30936426,
  
  
  
  'ipv6BytesSent' => 0,
  
  
  
  'ipv6BytesRcvd' => 0,
  
  
  
  'tcpBytesSent' => 1813788,
  
  
  
  'tcpBytesRcvd' => 30936426,
  
  
  
  'udpBytesSent' => 4692,
  
  
  
  'udpBytesRcvd' => 0,
  
  
  
  'icmpSent' => 0,
  
  
  
  'icmpRcvd' => 0,
  
  
  
  ),

7.查看網(wǎng)絡(luò)流量圖(Local Network Traffic Map)

首先，在Admin→Configure→Preference中，配置dot.path的參數(shù)為 /usr/bin/dot，然后選擇IP→Local→Network Traffic Map，就可以看到一張反應(yīng)各個(gè)主機(jī)流量流向的拓?fù)鋱D，箭頭方向代表數(shù)據(jù)的流向，鼠標(biāo)點(diǎn)擊相應(yīng)的IP地址就能看到非常詳細(xì)的IP統(tǒng)計(jì)信息。圖10是Ntop根據(jù)網(wǎng)絡(luò)流量情況自動(dòng)生成的拓?fù)鋱D。

圖10Ntop檢測數(shù)據(jù)流向圖

8.查看主機(jī)流量

管理人員在查看了網(wǎng)絡(luò)整體流量信息后，還希望能深入分析網(wǎng)絡(luò)中的主機(jī)流量情況，從而進(jìn)行流量限制等方面的管理工作，可以選擇IP→Summary→Traffic，如圖11所示。

圖11 查看主機(jī)流量

查看傳輸層的會話，能明顯看出接收和發(fā)送了多少數(shù)據(jù)包，如圖12所示。

圖12 查看傳輸層的會話

9.啟用插件，Ntop還提供了5個(gè)插件，如圖13所示。

圖13 Ntop提供的插件

(1)ICMPWatch：用于端口檢測，很多人都已經(jīng)知道了可以借助“netstat –an”來查看當(dāng)前的連接與開放的端口，但netstat并不是萬能的，在遭到OOB攻擊時(shí)，不等使用netstat命令，機(jī)器就已經(jīng)死機(jī)了。為此，出現(xiàn)了一種特殊的小工具——端口監(jiān)聽程序。端口監(jiān)聽并不是一項(xiàng)復(fù)雜的技術(shù)，但卻能解決一些局部問題。

圖中的圖標(biāo)[[172723]]表示這是一臺Linux主機(jī)，圖標(biāo)[[172729]]表示是Windows主機(jī)，[[172724]]表示郵件服務(wù)器，[[172725]]表示是Web服務(wù)器。當(dāng)我們需要查看所有服務(wù)器發(fā)送流量的大小排序的，只要單擊Byte下方的Sent即可，若單擊Host下方的某一臺主機(jī)，還能詳細(xì)顯示當(dāng)前主機(jī)的IP、主機(jī)名、MAC、每小時(shí)發(fā)送/接收數(shù)據(jù)包的大小、協(xié)議分布類型統(tǒng)計(jì)等信息，如圖14所示，非常詳細(xì)。

圖14

(2)NetFlow：近年來，很多服務(wù)提供商一直使用NetFlow。因?yàn)镹etFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力，可以幫助支持對等點(diǎn)上的最佳傳輸流，同時(shí)可以用來建立在單項(xiàng)服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評估，解決服務(wù)和安全問題方面所表現(xiàn)出來的價(jià)值，為服務(wù)計(jì)費(fèi)提供基礎(chǔ)。NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息。

下面我們分兩步走，首先在路由器上配置一個(gè)NetFlow轉(zhuǎn)發(fā)流量，然后在Ntop上增加一個(gè)NetFlow接收流量。啟用NetFlow，定位到Plugins→NetFlow→Activate，然后添加設(shè)備，在NetFlow Device Configuration中選擇Add NetFlow Device選項(xiàng)，如圖15所示，設(shè)置端口可以自己定義，只要不與現(xiàn)有的沖突就可以，接口地址填寫打算監(jiān)控的網(wǎng)段地址。

圖15NetFlow的配置

圖 16 網(wǎng)絡(luò)接口選擇

接著,我們需要在路由器上做設(shè)置，NetFlow早期都是在路由器上實(shí)現(xiàn)的，但是現(xiàn)在一些高端的交換機(jī)支持NetFlow，比如Cisco6500系列。

首先需要全局配置，啟用NetFlow：

ip flow-export version 5

ip flow-sampling-mode packet-interval 100

在需要監(jiān)控的Interface，啟用NetFlow:

Interface FastEthernet 9/0/1

ip address 192.168.150.20 255.255.255.0

ip route-cache flow sampled

show ip cache fow //查看NetFlow統(tǒng)計(jì)信息

show ip flow export //查看NetFlow輸出信息

不是所有的NetFlow源設(shè)備都支持基于Interface的NetFlow，比如Cisco4500就不支持。也就是說它不能在某個(gè)Interface配置打開NetFlow，要么所有端口啟用，要么都不啟用，重要的是無法區(qū)分不同Interface上的流量情況，只能看到整個(gè)設(shè)備所有的流量情況。

在實(shí)踐中配置NetFlow需要注意以下兩點(diǎn)：

(1)根據(jù)NetFlow流的單向性，部署NetFlow時(shí)應(yīng)根據(jù)網(wǎng)絡(luò)拓?fù)浔M量在邊界的兩個(gè)端設(shè)備上配置協(xié)議。

(2)對于Catalyst 6000三層交換設(shè)備，通過Supervisor Engine 1和MultilayerSwitch Feature Card CMSFC支持多層交換(MLS)來實(shí)現(xiàn)快速交換。

然后,是Ntop的設(shè)置環(huán)節(jié)，這很重要，各個(gè)參數(shù)不能設(shè)置錯(cuò)誤。首先是NetFlow的設(shè)備名稱，可以隨便填寫一個(gè)。接下來是使用的端口，這里一定要填寫路由器上NetFlow的應(yīng)用端口，例如3217。同時(shí)還要針對NetFlow監(jiān)控的地址網(wǎng)段做設(shè)置，例如筆者的是192.168.150.0/255.255.255.0。如圖10.24所示，每項(xiàng)參數(shù)修改設(shè)置完畢后直接單擊右邊的按鈕生效，完成后定位到菜單中的Admin→switch NIC命令，找到我們添加的這個(gè)NetFlow設(shè)備點(diǎn)Switch Nic按鈕讓其生效，生效后我們就可以方便查看流量了，如圖17所示。

圖17 查看流量

(3)rrdPlugin：用于生成流量圖。RRD可以簡單的說是MRTG的升級版，它比MRTG更靈活，更適合用Shell、Perl等程序來調(diào)用，生成所要的圖片。

(4)sFlow：sFlow(RFC 3176)是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)，可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實(shí)施費(fèi)用，同時(shí)可以使面向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。與數(shù)據(jù)包采樣技術(shù)(如RMON)不同，sFlow是一種導(dǎo)出格式，它增加了關(guān)于被監(jiān)視數(shù)據(jù)包的更多信息，并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，因此在功能和性能上都超越了當(dāng)前使用的RMON、RMON II和NetFlow技術(shù)。sFlow技術(shù)的獨(dú)特之處在于它能夠在整個(gè)網(wǎng)絡(luò)中，以連續(xù)實(shí)時(shí)的方式監(jiān)視每一個(gè)端口，但不需要鏡像監(jiān)視端口，對整個(gè)網(wǎng)絡(luò)性能的影響也非常小。

(5)手機(jī)插件：這個(gè)功能很有意思，我們可以用智能手機(jī)，隨時(shí)隨地監(jiān)控我們的網(wǎng)絡(luò)，如圖18所示。

圖18 手機(jī)插件

插件使用高清演示：http://www.tudou.com/programs/view/Jvq8HOBDOuI/

Ntop在病毒查殺方面的應(yīng)用

某客戶感染病毒案例：某天上班時(shí)間，網(wǎng)絡(luò)性能突然下降，導(dǎo)致不少用戶無法上網(wǎng)傳輸文件。首先懷疑是設(shè)備故障，后來又查找了線路是否有問題，但都能ping通從而一一排除，隨后在Ntop檢測的“IP協(xié)議”菜單中發(fā)現(xiàn)網(wǎng)絡(luò)負(fù)荷維持在95%以上。在“Network Traffic:Data Sent”圖表中顯示局域網(wǎng)中一臺機(jī)器發(fā)送大量的數(shù)據(jù)包，這臺機(jī)器的IP地址和MAC也能找到?；灸軘喽ㄟ@臺機(jī)器中了病毒在發(fā)送大量的UDP包，從而造成了廣播風(fēng)暴，導(dǎo)致網(wǎng)絡(luò)性能急速下降，如圖19所示，是Ntop捕捉到的隨機(jī)發(fā)送的地址列表。找到故障節(jié)點(diǎn)后，隨后根據(jù)MAC-IP-墻點(diǎn)的對應(yīng)，及時(shí)將這臺機(jī)器隔離出網(wǎng)絡(luò)進(jìn)行殺毒處理。

圖19 病毒隨機(jī)發(fā)送數(shù)據(jù)包列表

除此之外,Ntop另一個(gè)重要功能是探測DDoS類型攻擊，主要是它可以通過分析網(wǎng)路流量來確定網(wǎng)路上存在的各種問題，也可以用來判斷是否有駭客正在攻擊網(wǎng)路系統(tǒng)，還可以很方便地顯示出特定的網(wǎng)路協(xié)議、佔(zhàn)用大量頻寬的主機(jī)、各次通信的目標(biāo)主機(jī)、資料包的發(fā)送時(shí)間、傳遞資料包的延時(shí)等詳細(xì)訊息。

最后談?wù)勏乱淮鶱top工具 ---Ntopng ，功能上有所增強(qiáng)，主要亮點(diǎn)還是圖形化顯示方面，只要大家掌握了Ntop的使用，能夠理解Ntop各種菜單中顯示參數(shù)的含義，那么對于Ntopng的使用將易如反掌，下面展示幾個(gè)Ntopng的工作界面。

看了以上精美圖片是不是有些心動(dòng)?下載地址為：http://www.ntop.org/get-started/download/ 、Windows 64位系統(tǒng)安裝地址為：http://www.nmon.net/packages/Windows/ 具體安裝方法不再講述。

上面介紹了一些Ntop工具的特點(diǎn)，不過還有很多由于篇幅限制沒有給大家介紹，要知道Ntop這個(gè)工具只是Ossim平臺的一個(gè)很小的模塊，Ossim系統(tǒng)中集成的ntop可以將netflow數(shù)據(jù)存入mysql數(shù)據(jù)庫，并可以再下次系統(tǒng)啟動(dòng)后繼續(xù)從數(shù)據(jù)庫中讀取，不會影響新生成的數(shù)據(jù)分析圖。要了解Ossim是什么，請參考我的其他有關(guān)博文或視頻。

Ntop視頻展示: http://www.tudou.com/programs/view/xHTT5jLkht0/

當(dāng)前標(biāo)題：運(yùn)用Ntop監(jiān)控網(wǎng)絡(luò)流量（視頻Demo）
網(wǎng)站URL：http://m.fisionsoft.com.cn/article/dhsigee.html

新聞中心

其他資訊