NTOP——精確監控網路流量的新生力量
作者:曹江華 發文時間:2005.09.02
監控網路流量常用MRTG這個工具,這裏介紹另一個工具—NTOP。用NTOP顯示網路的使用情況比MRTG更加直觀、詳細。NTOP甚至可以列出每個節點電腦的網路帶寬利用率。
NTOP的功能
NTOP主要提供以下一些功能:
◆ 自動從網路中識別有用的資訊;
◆ 將截獲的資料包轉換成易於識別的格式;
◆ 對網路環境中通信失敗的情況進行分析;
◆ 探測網路環境中的通信瓶頸;
◆ 記錄網路通信的時間和過程。
它可以通過分析網路流量來確定網路上存在的各種問題;也可以用來判斷是否有駭客正在攻擊網路系統;還可以很方便地顯示出特定的網路協定、佔用大量帶寬的主機、各次通信的目標主機、資料包的發送時間、傳遞資料包的延時等詳細資訊。通過瞭解這些資訊,網管員可以對故障做出及時的回應,對網路進行相應的優化調整,以保證網路運行的效率和安全。
安裝NTOP
和MRTG相比,NTOP的安裝配置更簡單,可以不使用Apache伺服器。將NTOP安裝在網管工作站上,監測中、小Linux異構網路(如圖1)的網路性能非常方便。
圖1 Linux異構網路拓撲圖
首先到
http://optusnet.dl.sourceforge.net/sourceforge /ntop/ntop-2.2.gz
下載NTOP最新的源代碼,再到
ftp://ftp.rediris.es/sites/ftp.redhat.com/ pub/redhat/linux/7.3/en /os/i386/RedHat/RPMS/libpcap-0.6.2-12.i386.rpm
下載相關庫函數模組libpcap。
先安裝libpcap套裝軟體再安裝NTOP:
代碼:
#rpm -ivh libpcap-0.6.2-12.i386.rpm
#tar zxvf ntop-2.2.tgz
#cd ntop/gdchart0.94c
#./configure
......
#tar zxvf ntop-2.2.tgz
#cd ntop/gdchart0.94c
#./configure
......
配置NTOP時,系統會提示先編譯gd和zlib模組。
代碼:
do not forget to build:
1.gd-1.8.3/libpng-1.2.1
2.zlib-1.1.4/
1.gd-1.8.3/libpng-1.2.1
2.zlib-1.1.4/
編譯完gd和zlib,再回到NTOP目錄下重新編譯、安裝:
代碼:
#cd gd-1.8.3/libpng-1.2.1/
#cp scripts/makefile.linux Makefile
#make
#cd ../../zlib-1.1.4
#./configure
#make
#cd ..
#make
#cd ../ntop/
# ./configure
#make;make install
#cp scripts/makefile.linux Makefile
#make
#cd ../../zlib-1.1.4
#./configure
#make
#cd ..
#make
#cd ../ntop/
# ./configure
#make;make install
隨後建立log目錄:
代碼:
#mkdir /var/log/ntop/
以上都完成後,就可以啟動NTOP了:
代碼:
#ntop -P /var/log/ntop/ -u nobody &
精確監控
NTOP支援簡單網路管理協定(Simple Network Management Protocol,SNMP),並把PNG格式的圖形以HTML的方式顯示出來,便於網管員對所監控的網路設備(交換機、路由器等)進行管理。
打開流覽器,在位址欄輸入http://IP:3000(“IP”就是安裝NTOP的那台網管工作站的IP地址),即可打開NTOP管理介面。第一次運行時會要求輸入管理員的密碼,預設密碼是“admin”,第二次啟動就不用再輸入了。
1. 查看網路整體流量
查看網路整體流量用滑鼠點擊“Stats”選項卡,然後單擊“Traffic”選項。網路流量會以柱面圖和明細表格的形式顯示出來,如圖2所示。
圖2 以柱面圖和明細表格形式顯示網路流量
2. 查看主機流量
如果想查看具體節點電腦的網路流量,用滑鼠單擊“IP Traffic”選項卡,然後單擊“Host”選項即可,如圖3所示。
圖3 查看主機流量
3. 監測主機使用的網路協定
在圖3裏可以看到一個主機名稱“CAO”的電腦發送了大量資料,其IP位址是“192.168.0.5”,MAC位址是“52:54:AB:34:5B:09”。如果想瞭解該電腦傳輸了那些資料,雙擊該主機名即可分析出用戶使用的各種網路傳輸協定的類型和分別佔有帶寬的比例,如圖4所示。
圖4 監測主機使用的網路協定
4.查看埠使用情況
NTOP可以把埠使用情況與應用程式關聯起來,這和使用“netstat -an”命令的效果類似,並且可以顯示埠打開時間、埠流量等詳細資訊。比如,可以把本機開放的TCP/UDP埠同應用程式關聯起來,單擊“IP Traffic”→“L—L”→“TCP/UDP Servers/Ports Usage”(見圖5)。
圖5 查看電腦埠使用情況
小結
透過NTOP,所有進出網路的資料基本上都無所遁形。不管是用來監測網路,還是用來製作網路情況報告,NTOP都是非常優秀的工具。不過,由於NTOP網路“嗅探器”的本質,決定了它是一把“雙刃劍”,如何保護這些資訊只提供給授權人士,是個值得注意的問題。
http://tech.ccidnet.com/art/302/20050902/323839_1.html