约定及范例
1. 【】中的内容表示选项。
2. 文档中插入图片编号格式:章-节-顺序号。如3-2-3表示第三章第二节第三幅图。
3. 手册编写中使用“→”表示菜单项之间的层次关系,如【Summary】→【host】表示Summry下的host项。
4. ntop即支持linux操作系统也支持windows操作系统,目前win32平台还只有demo版本,只能捕捉2000个包,本文是基于linux平台下centos5.3版本介绍的,nprobe+ntop实现。使用源代码编译安装的方式。
使用指南
本手册详细的介绍了ntop在linux中的安装、配置、及结合nprobe的使用和网络流量分析方法。主要供网络管理员和对网络流量比较感兴趣的用户所使用,在第一章中对ntop的功能做了简单介绍;在第二章中主要讲解ntop在linux下的安装方法及基本配置。第三章中主要讲解ntop在linux下对网络流量统计信息的分析方法。
第一章 ntop简介
Ntop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。ntop甚至可以列出每个节点计算机的网络带宽利用率。他是一个灵活的、功能齐全的,用来监控和解决局域网问题的工具;尤其当ntop与nprobe配合使用,其功能更加显著。它同时提供命令行输入和web页面,可应用于嵌入式web服务。
Ntop主要提供以下一些功能:
◆ 自动从网络中识别有用的信息;
◆ 将截获的数据包转换成易于识别的格式;
◆ 对网络环境中通信失败的情况进行分析;
◆ 探测网络环境中的通信瓶颈;
◆ 记录网络通信的时间和过程。
它可以通过分析网络流量来确定网络上存在的各种问题;也可以用来判断是否有***正在***网络系统;还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息,网管员可以对故障做出及时的响应,对网络进行相应的优化调整,以保证网络运行的效率和安全。
2.1 ntop在windows xp系统下的安装:
在ntop 官网(www.ntop.org)上下载支持windows的demo版本。在Windows XP上可直接双击安装ntop-3.3-demo.exe文件,最后会一起安装WinPcap 4.0。安装以后,在服务里面把ntop服务打开(重启也可以),然后就可以用浏览器访问http://localhost:3000/端口即可。帮助可以到安装目录里面运行:ntop /h
2.2 ntop在linux下的安装:
在ntop官网(www.ntop.org)下载linux下最新的ntop版本(ntop-3.3.10.tar.gz)。
安装位置:cp到所以安装的目录;
解压:tar xxzvf ntop-3.3.10.tar.gz
安装相关软件:yum install gcc gcc-c++ make libpcap libpcap-devel gdbm-devel libgd-devel libpng-devel libtool libtool-libs rrdtool rrdtool-devel(此处需要注意:首先要在【系统】→【管理】下安装mysql软件,其次最新版ntop需要安装libevent-1.4.x.tar.gz以上版本软件。)
Cd到ntop-3.3.10目录。
运行:./autogen.sh
运行:./configure
运行:make
运行:make install
添加用户:useradd -M -s /sbin/nologin -r ntop
设置用户权限:chown ntop:root /usr/local/var/ntop/
设置用户权限:chown ntop:ntop /usr/local/share/ntop/
设置密码:ntop –A
Ntop做为守护进程运行:/usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop --skip-version-check --use-syslog=daemon
查看统计信息:在浏览器地址 栏输入http://localhost:3000/。
2.3 ntop在linux下的参数配置
3.1 ntop选项介绍
(1).【About】选项,该选项主要对ntop做以简单介绍
l 【What is ntop?】;
l 【Credits】;【Make a Donation】;
l 【Ntop World】→【ntop-based Solution】;
l 【Online Documentation】→【Man Page】;
l 【Show Configuration】
l 【Report a Problem】
(2).【Summary】选项,该选项对所有主机流量信息统计,包含如下选项:
l 【Traffic】
l 【Host】
l 【Network load】
l 【Hosts World Map】
l 【Network Flows】
(3).【All Protocols】选项,统计所有协议类型的流量信息。
l 【Traffic】
l 【Throughput】
l 【Activity】
(4).【IP】选项。分析TCP/IP谢了流量。
l 【Summary】→【Traffic】
l 【Summary】→【Multicast】
l 【Summary】→【Internet Domain】
l 【Summary】→【Networks】
l 【Summary】→【ASs】
l 【Summary】→【Hostclusters】
l 【Summary】→【Distribution】
l 【Traffic Directions】→【Local to Local 】
l 【Traffic Directions】→【Local to Remote】
l 【Traffic Directions】→【Remote to local】
l 【Traffic Directions】→【Remote to Remote】
l 【local】→【Ports used】
l 【local】→【Active TCP/UDP sessions】
l 【local】→【Host Fingeflag】
l 【local】→【Host Characterization】
l 【local】→【Local Matrix】
(5).【Utils】选项,对一些ntop信息日志的处理。
l 【Data Dump】
l 【View Log】
(6).【Plugins】选项,对一些自定义规则流的统计分析。包含如下选项:
l 【cPacket】
l 【Last Host Seen】
l 【ICMP Watch】
l 【NetFlow】
l 【PDA】
l 【Remote】
l 【Round Robin Databases】
l 【sFlow】
l 【All】
(7).【Admin】选项;该选项主要是用于切换网卡接口,以ntop用户身份配置和管理ntop。
l 【Switch NIC】
l 【Configure】→【Startup】
l 【Configure】→【Preferences】
l 【Configure】→【Packet Filter】
l 【Configure】→【Reset Stats】
l 【Configure】→【Web Users】
l 【Configure】→【Protect URLs】
l 【Shutdown】
3.2 ntop选项具体分析介绍
(1).【About】选项具体分析:
| 【What is ntop?】 | 关于ntop的简单介绍 |
| 【Credits】 | 介绍ntop的由来 |
| 【Make a Donation】 | 如何拥有ntop |
| 【Ntop World】→【ntop-based Solution】 | |
| 【Ntop World】→【Online Documentation】 | |
| 【Online Documentation】 →【Man Page】 | 显示ntop主界面。 |
| 【Online Documentation】→【Help】 | 获得ntop帮助信息 |
| 【Online Documentation】 →【FAQ】 | ntop的常见问题解答 |
| 【Online Documentation】 →【Risk flags】 | ntop报告一些带标志的信息 |
| 【Show Configuration】 | 显示ntop的参数配置信息及运行时的配置信息。 |
| 【Report a Problem】
| 发送ntop错误信息的报告格式。 |
(2) 【Summary】选项分析介绍
| 【Traffic】 | 显示全局流量统计,包括活动接口流量统计,全局协议分布,TCP/UDP协议分布及TCP/UDP端口流量分布统计。 |
| 【Host】 | 显示所有可见主机信息, |
| 【Network load】 | 网络负载统计,显示10分钟,一小时,一天甚至一个月的流量统计。 |
| 【Hosts World Map】 | 显示世界各地主机分布图 |
| 【Network Flows】 | 列出用户定义的流的规则信息 |
【Summary】→【Traffic 】:图示如3-2-1,3-2-2,3-2-3,3-2-4。在这个选项页面中统计了可用网卡接口信息,目前监控网卡接口监听网络流量信息,对packets进行了详细分析,也对Traffic的生存期也进行了详细分析,以及对某些协议流量进行了分析统计。
图3-2-1
【Summary】→【Traffic 】:对监听的网卡接口所捕获的packets进行分析如图3-2-2
图3-2-2
【Summary】→【Traffic 】:对监听网卡接口中的Traffic的生存时间分析如图3-2-3
图3-2-3
【Summary】→【Traffic 】:所有TCP/UDP协议分布如图3-2-4,该图对网络的一些协议类型的流量进行了统计分析.
图3-2-4
【Summary】→【Host】:列出了所有可见主机的流量信息,可以用Tytes统计,也可以用packets统计分析,要了解其详细信息,只需点击对应的Host便可查看,如图3-2-5
图3-2-5
【Summary】→【Network load Statistices】:该项可以查看最近10分钟,一小时,一天,一个月的网络流量统计,如图3-2-6
图3-2-6
【Summary】→【Hosts World Map】:通过goolge地图,可以搜索主机的分布位置(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),例如图3-2-7
图3-2-7
【Summary】→【Network Flows】:此处是统计一些按用户定义的流规则统计的流信息,如图3-2-8
图3-2-8
(3).【All Protocols】选项
| 【Traffic】 | 列出每个可见主机的流量信息 |
| 【Throughput】 | 显示网络吞吐量 |
| 【Activity】 | 显示可见主机每小时的流量 |
【All Protocols】→【Traffic】:该页面统计了所以可见主机的网络流量信息可查看分布位置,是DNS、HTTP或路由器DHCP等,包含TCP,UDP,ICMP和一些其他协议,要查看具体某个主机的流量信息,只需点击对应的Host项即可查看,如图3-2-9
图3-2-9
【All Protocols】→【Throughput】:列出可见主机的吞吐量,可查看分布位置,是DNS、HTTP或路由器DHCP等等。查看具体某个主机可点击对应的Host选项,如图3-2-10
图3-2-10
【All Protocols】→【activity】:列出了当前网络中主机的流量(24小时中每小时的流量状态),可以按发送来查看,也可以按接收来查看,默认是统计所有的信息,如图3-2-11
图3-2-11
(4). 【Ip】选项
| 【Summary】→【Traffic】 | |
| 【Summary】→【Multicast】 | 多播信息 |
| 【Summary】→【Internet Domain】 | 对互联网域的流量统计 |
| 【Summary】→【Networks】 | 显示所有网络的TCP/IP及ICMP信息 |
| 【Summary】→【ASs】 | BGP自治域统计的TCP/IP及ICMP信息 |
| 【Summary】→【Hostclusters】 | 显示之前定义的主机群信息 |
| 【Summary】→【Distribution】 | 显示流量分布 |
| 【Traffic Directions】→【Local to Local 】 | 本地到本地的流量 |
| 【Traffic Directions】→【Local to Remote】 | 本地到远端的流量 |
| 【Traffic Directions】→【Remote to local】 | 远端到本地的流量 |
| 【Traffic Directions】→【Remote to Remote】 | 远端到远端的流量 |
| 【local】→【Ports used】 | 本地使用的端口 |
| 【local】→【Active TCP/UDP sessions】 |
|
| 【local】→【Host Fingeflag】 |
|
| 【local】→【Host Characterization】 | 主机类型及运行的服务 |
| 【local】→【Local Matrix】 | 本地主机信息交换矩阵图 |
【Summary】→【Traffic】:每个可见主机的TCP/IP流量统计,列出各个主机的FTP,HTTP,DNS等一些应用层协议流量,可以在Host下选择所需要查看的对应相信主机信息,图3-2-12
图3-2-12
【Summary】→【Internet Domain】:列出所有域的TCP/IP及ICMP信息,图3-2-13
图3-2-13
【Summary】→【Networks】:显示网络中TCP/IP及ICMP的信息,本网络是192.168.2361.0/24,(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),例如图3-2-14
图3-2-14
【Summary】→【ASs】:显示所有域中的TCP/IP及ICMP流量信息,(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),图3-2-15
图3-2-15
【Summary】→【Distribution】:IP协议流量分布,有本地到本地的,本地到远端的,远端到本地的和远端到远端的,图3-2-16
图3-2-16
【Traffic Directions】→【Local to Local 】:显示本地到本地的IP流量统计图3-2-17
图3-2-17
【Traffic Directions】→【Local to Remote】:本地到远端的IP流量统计,图3-2-18
图3-2-18
【Traffic Directions】→【Remote to local】:远端到本地的IP流量统计,图3-2-19
图3-2-19
【local】→【Ports used】:本地的TCP/UDP协议使用端口等信息,图3-2-20
图3-2-20
(5).【Utils】选项
| 【Data Dump】 | 转存ntop的统计信息,可以用txt,html等格式 |
| 【View Log】 | 流量ntop的日志 |
【Data Dump】:ntop可以把Hosts,Hosts Matrix等信息存于txt或html等其他格式,(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本却显示空白,
),例如图3-2-21
图3-2-21
【View Log】:图3-2-22
图3-22
(6).【Plugins】选项
| 【cPacket】 | 统计cPacket cTap捕获的流量信息 |
| 【Last Host Seen】 | 该插件生成从各主机发出的最后一个包的报告 |
| 【ICMP Watch】 | ICMP信息统计 |
| 【NetFlow】 | Ntop对收集netflow的配置及统计信息 |
| 【PDA】 | 用WAP从PDAs配置访问ntop |
| 【Remote】 | 此插件允许远程应用程序访问ntop数据信息 |
| 【Round Robin Databases】 | RRD的配置及统计信息 |
| 【sFlow】 | sFlow一些相关信息 |
| 【All】 | 显示各种插件是否激活等 |
【Plugins】→【NetFlow】→【Statistics】:在对netflow配置后,可以统计Netflow的详细信息,包括netflow的格式、数量及端口的流量的统计,(我的没有配置,借用他人的图),如图3-2-24
3-2-24
【Plugins】→【Round Robin Databases】→【Statistics】:对RRD数据信息的统计,(我的没有配置,借用他人的图),图3-2-25
图3-2-25
(7). 【Admin】选项
| 【Switch NIC】 | 切换网卡接口 |
| 【Configure】→【Startup】 | 配置ntop以何种方式启动 |
| 【Configure】→【Preferences】 | 一个ntop参数设置页面选项 |
| 【Configure】→【Packet Filter】 | 设置过滤表达式 |
| 【Configure】→【Reset Stats】 | 清空ntop在内存中的信息,重新统计 |
| 【Configure】→【Web Users】 | Ntop使用用户及密码 |
| 【Configure】→【Protect URLs】 | 配置用户访问ntop的网页 |
| 【Shutdown】 | 关闭ntop程序 |
【Admin】→【Configure】→【Startup】:ntop的一些配置信息,这里可修改监控的网卡等其他选项同,图3-2-26
图3-2-26
【Admin】→【Configure】→【Preferences】:编辑ntop首选项信息,图3-2-27
图3-2-27
转载于:https://blog.51cto.com/ss810928/696345
702
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
