安全实现Linux网络监控(3)

三、 Ntop使用详解

ntop是一个灵活的、功能齐全的,用来监控和解决局域网问题的工具。它同时提供命行输入和web界面，可应用于嵌入式web服务。下面分别介绍：

1         Web浏览器方式：

（１）查看网络的所有的计算机流量

查看网络整体流量用鼠标点击“Stats”按钮后下载“Triffic”选项。网络流量会以柱面图和明细表格的形式显示出，如果你想查看网络的所有的计算

机流量，用鼠标点击“IP Traffic”－“Host”按钮即可，如图3。

图3网络总体流量

（2）查看通信数据包（协议）比例

数据包对于网络管理的网络安全具有至关重要的意义。比如，防火墙的作用本质就是检测网络中的数据包，判断其是否违反了预先设置的规则，如果违反就加以阻止。Linux网络中最常见的数据包是是TCP和UDP。如果想了解一个计算机传输了那些数据，可以双击计算机名称即可分析出用户各种网络传输的协议类型和占用带宽的比例。如图4、图5。图4 是全部网络数据包柱状图，图5是数据包（协议）比例图。

图4 全部网络数据包柱状图

图5 数据包（协议）比例图

说明：Linux网络中最常见的数据包是是TCP和UDP。                            

（3）查看端口使用情况

网络中有许多TCP数据包和UDP数据包在传送，根据它们使用的不同端口，就可以识别它们的用途，从而可判断网络中有什么类型的数据在传送，为网络管理提供依据。在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由器的端口指的是连接其他网络设备的接口，如RJ-45端口、Serial端口等。我们这里所指的端口不是指物理意义上的端口，而是特指TCP/IP协议中的端口，是逻辑意义上的端口。如果想了解一个计算机传输数据使用哪些端口，可以双击计算机名称即可分析出网络传输的协议使用的端口号。如图6。

图6  端口使用情况

（4）使用NTOP监控SAN网络

    SAN（Storage Area Network的缩写）意为存储区域网络，是真正的专注于企业级的存储。SAN采用一个分离的网络（从传统的局域网中分离）连接所有的存储器和服务器，这个网络可以采用高性能的实现技术，如光纤通道（Fiber Channel），可以容纳SCSI等协议，使数据块的移动更为有效，也便于用户自由增加磁盘阵列、磁带库或服务器等设备。现在的SAN基本都是通过Fibre Channel来实现的，Fibre Channel，简称FIBRE CHANNEL，又称光纤通道，是利用专用设备进行数据高速传输的一种网络标准，主要用于连接服务器的干线（backbones），并把服务器连接到存储设备上。NTOP最新版本比MRTG的最大优势是可以监控SAN网络。工作界面如图7。

图7使用ntop监控SAN网络

（5）NTOP 提供的插件

NTOP还提供的几个插件，最主要包括：

ICMPWATCH：用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如你的Win2000遭到OOB***的时候，不等NETSTAT你就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题。

NetFlow：近年来，很多服务提供商一直使用NetFlow。因为NetFlow在大型广域网环境里具有伸缩能力，可以帮助支持对等点上的最佳传输流，同时可以用来进行建立在单项服务基础之上的基础设施最优化评估，解决服务和安全问题方面所表现出来的价值，为服务计费提供基础。NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。但是，NetFlow也不是万能的，比如它无法提供应用反应时间。

rrdPlugin：用于生成流量图。RRD的作者，也是MRTG的作者，RRD可以简单的说是MRTG的升级版，它比MRTG更灵活，更适合用shell、perl等程序来调用，成生所要的图片。

sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术（如RMON）不同，sFlow是一种导出格式，它增加了关于被监视数据包的更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中，以连续实时的方式监视每一个端口，但不需要镜像监视端口，对整个网络性能的影响也非常小。NTOP插件工作界面如图8。

               图8 NTOP插件工作界面

2.命令行方式：

实际上我们还可以通过命令行方式来使用NTOP，一般高手都是这样操作的，因为命令行下修改和添加设置非常迅速，而且还有很多图形化无法实现的操作，特别适合远程操作。如图9。

图9命令行下的ntop

常用参数

-d : 放入后台执行。

-L : 输出讯息写入系统记录文件。

-r : 设定页面的自动更新频率,预设每 3 秒更新一次. 。

-w : 使用其它端口 (预设是 3000) 。

-W : 同 -w , 不过这个是使用 SSL 联机 。

-u : 指定使用其它身份执行。

-i : 指定 ntop 监听的网卡,"," 隔开多个网卡。

-M : 使用 -i 指定多张网卡时, 预设是合并统计. 若要分别统计,加此参数。

－h:获取帮助信息。

如果安装了lynx浏览器还可以大大方便远程管理。方法是使用命令：“lynx：[url]http://ip:3000[/url] ”即可如图10。

图10 命令行浏览器下的ntop

Ntop有很多命令行参数，可以使用ntop －h获取帮助信息。另外在首选单“About”的“Man Page”中有200页的常见问题回答。这样你也可以自己轻松监控流量了

转载于:https://blog.皇冠云.com/20194/11872