一、简介
1. Ntop是一种监控网络流量工具,用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。Ntop甚至可以列出每个节点计算机的网络带宽利用率。
2. 当ntop与nprobe配合使用,其功能更加显著。它同时提供命令行输入和web页面,可应用于嵌入式web服务。
3. 跟 top 监视系统活动状况相似,ntop 是一个用来实时监视网络使用情况的工具。由于 ntop 具有 Web 界面模式,因此无论是配置还是使用都很容易在短时间之内快速上手。
4.功能
①自动从网络中识别有用的信息;
②将截获的数据包转换成易于识别的格式;
③对网络环境中通信失败的情况进行分析;
④探测网络通信的时间和过程。
5. Libpcap是UNIX/Linux平台下的网络数据包捕获函数包,大多数网络监控软件都以它为基础。
6.安装位置
二、安装
1.安装依赖包
yum install libpcap libpcap-devel libpng gdbm* gd rrdtool* libgd-devel -y
2.安装ip国家图标
tar -axf GeoIP.tar.gz -C /usr/local/src/
cd /usr/local/src/GeoIP-1.4.8/
./configure
make
make install
3.安装NTOP
tar -axf ntop-3.3.8.tar.gz -C /usr/local/src/
cd /usr/local/src/ntop-3.3.8/
./autogen.sh
make
make install
useradd -M -s /sbin/nologin -r ntop
chown -R ntop:ntop /usr/local/share/ntop
4.启动NTOP
ntop -w 3000 -u ntop
ntop startup - waiting for user response!
Please enter the password for the admin user: Sun Feb 20 06:32:00 2011 THREADMGMT[t3036109712]: DNSAR(1): Address resolution thread running
Sun Feb 20 06:32:00 2011 THREADMGMT[t3015130000]: DNSAR(3): Address resolution thread running
Please enter the password for the admin user: //此处输入用户ntop密码
Please enter the password again: //二次确认输入ntop密码
5.后台启动(二选一)
ntop -w 3000 -u ntop &
ntop -u ntop -d
三、web使用
1.登陆web
2.【Summary】选项分析介绍
【Traffic】 | 显示全局流量统计,包括活动接口流量统计,全局协议分布,TCP/UDP协议分布及TCP/UDP端口流量分布统计。 |
【Hosts】 | 显示所有可见主机信息。 |
【Network load】 | 网络负载统计,显示10分钟,一小时,一天甚至一个月的流量统计。 |
【Network Flows】 | 列出用户定义的流的规则信息 |
3.【All Protocols】选项
【Traffic】 | 列出每个可见主机的流量信息 |
【Throughput】 | 显示网络吞吐量 |
【Activity】 | 显示可见主机每小时的流量 |
4.【Ip】选项
【Summary】→【Traffic】 | 每个可见主机的TCP/IP流量统计 |
【Summary】→【Multicast】 | 多播信息 |
【Summary】→【Internet Domain】 | 对互联网域的流量统计 |
【Summary】→【Networks】 | 显示所有网络的TCP/IP及ICMP信息 |
【Summary】→【ASs】 | BGP自治域统计的TCP/IP及ICMP信息 |
【Summary】→【Hostclusters】 | 显示之前定义的主机群信息 |
【Summary】→【Distribution】 | 显示流量分布 |
【Traffic Directions】→【Local to Local 】 | 本地到本地的流量 |
【Traffic Directions】→【Local to Remote】 | 本地到远端的流量 |
【Traffic Directions】→【Remote to local】 | 远端到本地的流量 |
【Traffic Directions】→【Remote to Remote】 | 远端到远端的流量 |
【local】→【Ports used】 | 本地使用的端口 |
【local】→【 Active TCP/UDP sessions】 | 活动的TCP/UDP会话 |
【local】→【Host Fingerprints】 | 主机指纹 |
【local】→【Host Characterization】 | 主机类型及运行的服务 |
【local】→【Network Traffic Map】 | 网络流量包 |
【local】→【Local Matrix】 | 本地主机信息交换矩阵图 |
5.【Utils】选项
【Data Dump】 | 转存ntop 的统计信息, 可以用txt,html等格式 |
【View Log】 | 流量ntop的日志 |
6.【Plugins】选项
【cPacket】 | 统计cPacket cTap捕获的流量信息 |
【Last Host Seen】 | 该插件生成从各主机发出的最后一个包的报告 |
【ICMP Watch】 | ICMP信息统计 |
【NetFlow】 | Ntop对收集netflow的配置及统计信息 |
【PDA】 | 用WAP从PDAs配置访问ntop |
【Remote】 | 此插件允许远程应用程序访问ntop数据信息 |
【Round Robin Databases】 | RRD的配置及统计信息 |
【sFlow】 | sFlow一些相关信息 |
【All】 | 显示各种插件是否激活等 |
7.【Admin】选项
【Switch NIC】 | 切换网卡接口 |
【Configure】→【Startup】 | 配置ntop以何种方式启动 |
【Configure】→【Preferences】 | 一个ntop参数设置页面选项 |
【Configure】→【Packet Filter】 | 设置过滤表达式 |
【Configure】→【Reset Stats】 | 清空ntop在内存中的信息,重新统计 |
【Configure】→【Web Users】 | Ntop使用用户及密码 |
【Configure】→【Protect URLs】 | 配置用户访问ntop的网页 |
【Shutdown】 | 关闭ntop程序 |
四、NTOP命令
Options:
-b 禁止协议解码,一般用于服务器性能不强或者在监视一个非常繁忙的网络时使用。
-c 保持主机,防止从内存中清除空闲的主机;因此,建议在开启此参数时使用一个过滤表达式来限制被存储的主机数量。
-d/ --daemon 使NTOP作为后台程序来运行,即服务。
-i --interface指定ntop监控的网络接口,如果指定监控多个网络接口(这个特性只有当ntop在编译时指定了指定逗号隔开。例如:-i "eth0,lo"。
-g 只追踪本地主机的流量数据,包括网络接口地址所处子网和由-m参数指定的本地子网。
-m 定义本地子网,格式为:子网地址/子网掩码,比如192.168.1.0/255.255.255.0或者192.168.1.0/24。如要定义多个子网,用逗号分隔。
-A 设置ntop内置的admin的密码。
-P 定义永久数据库存储路径,默认是在/usr/local/var/ntop下,其中的prefsCache.db和ntop_pw.db是必须存在的。
-u --user username: 指定ntop运行的用户身份。 ntop正常情况下必须以root身份启动,这样它才有足够的权限设置网络接口使用混杂模式,并接收原始的数据帧。
注意:不要使用root的身份运行,除非你明白将要面临的安全风险。为了避免这样带来的偶然风险,唯一的办法是你必须明确的指定-u root。千万不要这样做!!!
-w --http-server ntop:内置有一个web服务发布收集的信息。 例如:使用-w 3000ntop,那么访问地址为http://hostname:3000。如果使用 -w 192.168.1.1:3000,那么ntop仅仅监听指定的"地址+端口"。