(2009/12/4发表于台湾乐多日志)
常常看到 iT邦帮忙 有网友在问如何找出网路异常流量的来源,一时手痒回了一篇三步骤抓出网路异常流量的ip ,决定搬回来网志放着。又,下文中提到的在MS Windows安装、使用 ntop 跟在(SUSE Studio 客制化的 openSUSE 11.1 )Linux 环境下使用 ntop ,我都简单实做一次了(算是PoC, Proof of Concept),将会陆续发表 。
第一步骤:找出一个所有封包会经过的节点
既 然要监控流量,就要找一个点,是相关流量都会经过的。不然现在都是 switch 的环境,虽然 Wireshark 跨平台,很多作业系统都可以装,妳高高兴兴的装好,打开看到一堆封包,正在 嗨 的时候,才发现那些封包都是本机跟别人的流量,别台机器的流量都被 switch 区隔开啦!(看到少量别台机器的封包也先别急着高兴,应该都是 broadcast 之类的)
所以如果环境有 switch ,就需要开一个 mirror port,把装好 Wireshark 的电脑插上那个 port 。
不然,如果环境可以串一个 dumb hub 也行,这样所有的流量都会经过这个 hub ,把那台装好 Wireshark 的机器也插上去,就可以监控所有