網(wǎng)絡(luò)流量反映了網(wǎng)絡(luò)的運(yùn)行狀態(tài)诡蜓,是判別網(wǎng)絡(luò)運(yùn)行是否正常的關(guān)鍵數(shù)據(jù)诽表,在實(shí)際的網(wǎng)絡(luò)中起趾,如果對(duì)網(wǎng)絡(luò)流量控制得不好或發(fā)生網(wǎng)絡(luò)擁塞诗舰,將會(huì)導(dǎo)致網(wǎng)絡(luò)吞吐量下降、網(wǎng)絡(luò)性能降低训裆。通過流量測(cè)量不僅能反映網(wǎng)絡(luò)設(shè)備(如路由器眶根、交換機(jī)等)的工作是否正常,而且能反映出整個(gè)網(wǎng)絡(luò)運(yùn)行的資源瓶頸边琉,這樣管理人員就可以根據(jù)網(wǎng)絡(luò)的運(yùn)行狀態(tài)及時(shí)采取故障補(bǔ)救措施和進(jìn)行相關(guān)的業(yè)務(wù)部署來提高網(wǎng)絡(luò)的性能属百。對(duì)網(wǎng)絡(luò)進(jìn)行流量監(jiān)測(cè)分析,可以建立網(wǎng)絡(luò)流量基準(zhǔn)变姨,通過連接會(huì)話數(shù)的跟蹤族扰、源/目的地址對(duì)分析、TCP流的分析等钳恕,能夠及時(shí)發(fā)現(xiàn)網(wǎng)絡(luò)中的異常流量,進(jìn)行實(shí)時(shí)告警蹄衷,從而保障網(wǎng)絡(luò)安全忧额。本節(jié)將介紹的Ntop便可以提供詳細(xì)的網(wǎng)絡(luò)流量明細(xì)表。在Ossim系統(tǒng)中集成了Ntop可以直接使用愧口。
1.Ntop簡(jiǎn)介
Ntop是一種監(jiān)控網(wǎng)絡(luò)流量的工具睦番,用NTOP顯示網(wǎng)絡(luò)的使用情況比其他一些網(wǎng)管軟件更加直觀、詳細(xì)耍属。NTOP甚至可以列出每個(gè)節(jié)點(diǎn)計(jì)算機(jī)的網(wǎng)絡(luò)帶寬利用率托嚣。
2.Ntop主要功能
Ntop主要提供以下一些功能:
①.自動(dòng)從網(wǎng)絡(luò)中識(shí)別有用的信息;
②.將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識(shí)別的格式厚骗;
③.對(duì)網(wǎng)絡(luò)環(huán)境中通信失敗的情況進(jìn)行分析示启;
④.探測(cè)網(wǎng)絡(luò)環(huán)境中的通信瓶頸,記錄網(wǎng)絡(luò)通信的時(shí)間和過程。
Ntop可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題领舰;也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)夫嗓;還可以很方便地顯示出特定的網(wǎng)絡(luò)協(xié)議、占用大量帶寬的主機(jī)冲秽、各次通信的目標(biāo)主機(jī)舍咖、數(shù)據(jù)包的發(fā)送時(shí)間、傳遞數(shù)據(jù)包的延時(shí)等詳細(xì)信息锉桑。
3.?Ntop支持的協(xié)議
____Ntop比MRTG更容易安裝排霉,如果用手機(jī)話費(fèi)來比喻流量,MRTG便如同提供總費(fèi)用的電話賬單民轴,而Ntop則是列出每一筆費(fèi)用的明細(xì)一樣攻柠。目前市場(chǎng)上可網(wǎng)管型的交換機(jī)球订、路由器都支持SNMP協(xié)議,Ntop支持簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議辙诞,所以可以進(jìn)行網(wǎng)絡(luò)流量監(jiān)控辙售。Ntop幾乎可以監(jiān)測(cè)網(wǎng)絡(luò)上的所有協(xié)議:?TCP/UDP/ICMP、(R)ARP飞涂、IPX旦部、Telnet、DLC较店、Decnet士八、DHCP-BOOTP、AppleTalk梁呈、Netbios婚度、TCP/UDP、FTP官卡、HTTP蝗茁、DNS、Telnet寻咒、SMTP/POP/IMAP哮翘、SNMP、NNTP毛秘、NFS饭寺、X11、SSH和基于P2P技術(shù)的協(xié)議eDonkey叫挟。
4.Ntop支持插件
①.ICMPWATCH:
____用于端口檢測(cè)很多人都已經(jīng)知道了可以借助NETSTAT?-AN來查看當(dāng)前的連接與開放的端口艰匙,但NETSTAT并不萬能,比如Win2000遭到OOB攻擊的時(shí)候抹恳,不等NETSTAT就已經(jīng)死機(jī)了员凝。為此,出現(xiàn)了一種特殊的小工具——端口監(jiān)聽程序奋献。端口監(jiān)聽并不是一項(xiàng)復(fù)雜的技術(shù)绊序,但卻能解決一些局部問題。
②.NetFlow:
____近年來秽荞,很多服務(wù)提供商一直使用NetFlow骤公。因?yàn)镹etFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力,可以幫助支持對(duì)等點(diǎn)上的最佳傳輸流扬跋,同時(shí)可以用來進(jìn)行建立在單項(xiàng)服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評(píng)估阶捆,解決服務(wù)和安全問題方面所表現(xiàn)出來的價(jià)值,為服務(wù)計(jì)費(fèi)提供基礎(chǔ)。
③.rrdPlugin:
____用于生成流量圖洒试。RRD的作者倍奢,也是MRTG的作者,RRD可以簡(jiǎn)單的說是MRTG的升級(jí)版垒棋,它比MRTG更靈活卒煞,更適合用shell、perl等程序來調(diào)用叼架,成生所要的圖片畔裕。
④.sFlow:
____sFlow(RFC?3176)是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)協(xié)議,能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題乖订。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)扮饶,可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)?ASIC芯片中。與使用鏡像端口乍构、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比甜无,sFlow能夠明顯地降低實(shí)施費(fèi)用,同時(shí)可以使面向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能哥遮。與數(shù)據(jù)包采樣技術(shù)(如RMON)不同岂丘,sFlow是一種導(dǎo)出格式,它增加了關(guān)于被監(jiān)視數(shù)據(jù)包的更多信息眠饮,并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包奥帘,因此在功能和性能上都超越了當(dāng)前使用的RMON、RMON?II和NetFlow技術(shù)君仆。sFlow技術(shù)獨(dú)特之處在于它能夠在整個(gè)網(wǎng)絡(luò)中翩概,以連續(xù)實(shí)時(shí)的方式監(jiān)視每一個(gè)端口牲距,但不需要鏡像監(jiān)視端口返咱,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響也非常小。
____另外牍鞠,Ntop還允許用戶安裝插件用咖摹,以提供對(duì)于特定協(xié)議下具體統(tǒng)計(jì)數(shù)據(jù)的報(bào)告,如NFS和NetBIOS插件难述。當(dāng)然萤晴,Ntop也可以生成運(yùn)行它的主機(jī)的統(tǒng)計(jì)數(shù)據(jù),列出開放套接字胁后、接收和發(fā)送的數(shù)據(jù)以及每個(gè)過程的相關(guān)主機(jī)對(duì)店读。
對(duì)于共享網(wǎng)絡(luò)攀芯,只須將連接到共享網(wǎng)絡(luò)中的流量采集點(diǎn)的網(wǎng)絡(luò)接口置為混雜工作模式屯断,就可實(shí)現(xiàn)采集網(wǎng)絡(luò)流量數(shù)據(jù)的功能。與交換網(wǎng)絡(luò)相比,網(wǎng)絡(luò)發(fā)生擁塞時(shí)殖演,集線器網(wǎng)絡(luò)的可靠性很低氧秘,SNMP問詢命令和回應(yīng)數(shù)據(jù)包可能發(fā)生延遲或丟失,這時(shí)候Ntop檢測(cè)數(shù)據(jù)也就不準(zhǔn)確了趴久,對(duì)于交換網(wǎng)絡(luò)的情況丸相,需要交換設(shè)備的支持(如具有SPAN端口的交換機(jī))。流量采集主機(jī)連接到交換設(shè)備的一個(gè)端口后彼棍,通過交換機(jī)的SPAN至(Switched?PortAnalyzer)端口把要分析的所有流量鏡像到該采集點(diǎn)上灭忠。SPAN在使用中非常靈活,可以監(jiān)視交換機(jī)的單個(gè)端口滥酥,也可以監(jiān)視多個(gè)端口更舞,還可以對(duì)VLAN進(jìn)行監(jiān)視。這就使流量異常監(jiān)測(cè)系統(tǒng)具有了很大的靈活性坎吻。在一些流量比較大的企業(yè)缆蝉,我們一般選用兩個(gè)網(wǎng)卡,一塊網(wǎng)卡作為Ntop專用嗅探網(wǎng)卡瘦真,連到核心交換機(jī)的鏡像端口刊头,另一塊配上IP地址并開放相應(yīng)端口(默認(rèn)是3000,也可以修改)诸尽,連接交換機(jī)的作用是用來登錄Web界面進(jìn)行管理原杂,Ntop的部署如圖1所示。
圖1?Ntop的安裝位置
____Ntop沒有自己的捕包工具您机,它需要一個(gè)外部的捕包程序庫:libpcap穿肄。Ntop利用libpcap獨(dú)立地從物理鏈路上進(jìn)行捕包,它可以借助libpcap的平臺(tái)成為一個(gè)真正的與平臺(tái)無關(guān)的應(yīng)用程序际看。它直接從網(wǎng)卡捕包的任務(wù)由libpcap承擔(dān)秕豫,所以我們必須確保Linux系統(tǒng)下正確安裝了libpcap史汗。
____Ntop工作時(shí)需要使用zlib腥刹、gd喻奥、libpcap及l(fā)ibpng的函數(shù),安裝前須檢查服務(wù)器中是否已經(jīng)含有下列的軟件:zlib(zlib-1.1.3-xx以上)赖欣、gd(gd-1.3.xx以上)屑彻、libpng《ニ保可以使用RPM來確認(rèn):
rpm?-qa?|?grep?libpcap
rpm?-qa?|?grep?zlib
rpm?-qa?|?grep?gd
rpm?-qa?|?grep?libpng
如果發(fā)現(xiàn)缺少任何一個(gè)就需要自行安裝社牲,舉例如下。
1.安裝libpcap
#?tar?zxvf?libpcap-0.9.8.tar.gz
#?cd?libpcap-0.9.8
#./configure
#?make&&make?install
2.安裝RRDtool
____RRDtool是指Round?Robin?Database?工具(環(huán)狀數(shù)據(jù)庫)悴了。Round?Robin是一種處理定量數(shù)據(jù)以及當(dāng)前元素指針的技術(shù)搏恤。想象一個(gè)周邊標(biāo)有點(diǎn)的圓環(huán)汗菜,這些點(diǎn)就是時(shí)間存儲(chǔ)的位置。從圓心畫一條到圓周的某個(gè)點(diǎn)的箭頭挑社,這就是指針陨界。一個(gè)圓環(huán)上沒有起點(diǎn)和終點(diǎn),可以一直存儲(chǔ)下去痛阻。經(jīng)過一段時(shí)間后菌瘪,所有可用的位置都會(huì)被用過,該循環(huán)過程會(huì)自動(dòng)重用原來的位置阱当。這樣俏扩,數(shù)據(jù)集不會(huì)增大,并且不需要維護(hù)弊添。
#tar?-zxvf?rrdtool-1.3.1.tar.gz
#export?PKG_CONFIG_PATH=/usr/lib/pkgconfig/
#./configure
#make
#make?install
3.安裝Ntop
下載ntop安裝包:http://www.nmon.net/packages/rpm/x86_64/ntop/
#rpm?-ivh?ntop-3.3.10-.x86.rpm
#yum?install?ntop\\CentOS系統(tǒng)
#apt-get?install?ntop\\Debian系統(tǒng)
____注意:在Ossim?系統(tǒng)中已經(jīng)為我們安裝好Ntop軟件录淡,可以直接使用。如果您選擇單獨(dú)安裝可以繼續(xù)參考以下內(nèi)容油坝。另外如果您使用Red?Hat?Linux?嫉戚、Fedora或CentOS請(qǐng)首先關(guān)閉?SELinux功能。
4.建立Ntop用戶并配置權(quán)限
#useradd?ntop
5.建立Ntop存放數(shù)據(jù)的目錄
#mkdir?-p?/var/ntop
#chown?-R?ntop.ntop?/var/ntop
6.復(fù)制ntop.conf配置文件
#cp?/ntop-3.3.10/ntop.conf.sample?/etc/ntop.conf
7.設(shè)置管理密碼
在執(zhí)行ntop之前必須先建立管理員密碼澈圈,長(zhǎng)度至少5位彬檀。使用參數(shù)-A建立管理員密碼
#ntop?-A
8.?Ntop的管理員密碼重置方法
Ntop的用戶密碼文件是經(jīng)過加密存儲(chǔ)在ntop_pw.db文件中,Ntop用戶密碼存儲(chǔ)位置:
64位版本:/var/lib/ntop_db_64/ntop_pw.db
64位版本需先刪除其密碼文件ntop_pw.db,然后用notp?-A?重置管理員密碼后瞬女,最后重啟ntop服務(wù)就能生效窍帝。
#/etc/init.d/ntop?restart
另外,注意一個(gè)細(xì)節(jié)诽偷,ntop的訪問日志位置在/var/log/ntop/目錄下,它的pcap?log在/var/lib/ntop目錄下坤学。
1.啟動(dòng)Ntop
#/usr/local/bin/ntop?-i?eth0?-d?-L?-u?ntop?-P?/var/ntop?--use-syslog=daemon
命令行中各項(xiàng)簡(jiǎn)要介紹如下报慕。
-i?"eth0":指定監(jiān)聽網(wǎng)卡深浮。
-d:后臺(tái)執(zhí)行。
-L:輸出日志寫入系統(tǒng)日志(/var/log/messages)卖子。
-u?ntop:指定使用Ntop身份執(zhí)行略号。
-P?/var/ntop:指定Ntop數(shù)據(jù)庫的文件位置刑峡。
-use-syslog=daemon:使用系統(tǒng)日志進(jìn)程洋闽。
-w:使用其他端口,指定ntop使用其他端口突梦,例如執(zhí)行ntop?–w?1900以后诫舅,便可以使用http://ip:1900來連接ntop
2.利用Web瀏覽器查看Ntop狀況
Ntop的通訊端口為3000,所以在瀏覽器使用IP:3000進(jìn)入ntop便可看到ntop歡迎界面
,如圖2所示宫患。
圖2?查看Ntop狀況
3.查看整體流量
____對(duì)于網(wǎng)絡(luò)整體流量的統(tǒng)計(jì)刊懈,分別是Protocol?Traffic?Counters、IP?Traffic?Counters、TCP/UDP?Connections?Stats虚汛、Active?TCP?Connections?List匾浪、Peers?List。按照不同的Packet卷哩,將流量數(shù)據(jù)存放到不同的Counter中蛋辈。對(duì)網(wǎng)絡(luò)整體流量進(jìn)行分類統(tǒng)計(jì),包括下列情形将谊。
流量分布情形:區(qū)分為本網(wǎng)絡(luò)主機(jī)之間冷溶、本網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間、外部網(wǎng)絡(luò)與本網(wǎng)絡(luò)之間的網(wǎng)絡(luò)流量統(tǒng)計(jì)尊浓。
數(shù)據(jù)包分布情形:依據(jù)數(shù)據(jù)包大小逞频、廣播形態(tài)及IP與非IP等加以分類及統(tǒng)計(jì)。
協(xié)議使用及分布情形:本網(wǎng)絡(luò)各主機(jī)傳送與接收數(shù)據(jù)所使用的通信協(xié)議種類與數(shù)據(jù)傳輸量栋齿。
通過Summary→Traffic查看整體流量(如圖3所示)苗胀,網(wǎng)絡(luò)流量會(huì)以清晰的表格形式顯示,如圖3所示瓦堵。
圖3?查看整體流量
____在圖3中柒巫,Summary內(nèi)容為目前玩過的整體概況,包括流量谷丸,主機(jī)網(wǎng)絡(luò)負(fù)載等堡掏。All?Protocols選項(xiàng)可以查看各主機(jī)占用的帶寬和各時(shí)段使用的流量明細(xì)。IP顯示網(wǎng)絡(luò)主機(jī)的流量狀況和排名刨疼;Utils可以顯示ntop記錄的網(wǎng)絡(luò)狀況泉唁、流量統(tǒng)計(jì)并可以將數(shù)據(jù)存儲(chǔ)為txt,xml等格式;Plugins包含了ntop所支持的插件類型揩慕;Admin選項(xiàng)可以對(duì)ntop進(jìn)行配置亭畜,例如我們可以配置Pcap?Log的路徑,這對(duì)于解決Ntop數(shù)據(jù)占用磁盤空間問題很有幫助迎卤,默認(rèn)路徑為/usr/local/ntop/var/ntop目錄下拴鸵。另外為了節(jié)約磁盤空間可以降低Max?Hashes和Max?Sessions的值。此外還可以進(jìn)行ntop重啟停止等操作蜗搔。另外劲藐,如果ntop啟動(dòng)失敗,你可以到/var/log/messages中尋找錯(cuò)誤日志樟凄。如果你需要設(shè)置開機(jī)自動(dòng)啟動(dòng)還可以到/etc/rc.d/rc.local文件最后加入啟動(dòng)ntop的命令聘芜。如果你想修改ntop外觀可以編輯ntop的HTML文檔、或CSS式樣文件缝龄,這些內(nèi)容在/usr/share/ntop/html目錄下汰现。
圖4?以表格形式顯示網(wǎng)絡(luò)流量
4.查看通信數(shù)據(jù)包(協(xié)議)比例
____數(shù)據(jù)包對(duì)于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全而言具有至關(guān)重要的意義挂谍,如防火墻的作用就是檢測(cè)網(wǎng)絡(luò)中的數(shù)據(jù)包,判斷其是否違反了預(yù)先設(shè)置的規(guī)則瞎饲,如果違反就加以阻止口叙。Linux網(wǎng)絡(luò)中最常見的數(shù)據(jù)包是TCP和UDP。如果想了解一個(gè)計(jì)算機(jī)傳輸了哪些數(shù)據(jù)嗅战,可以雙擊計(jì)算機(jī)名稱即可分析出用戶各種網(wǎng)絡(luò)傳輸?shù)膮f(xié)議類型和占用帶寬的比例庐扫,如圖5所示。
圖5查看協(xié)議類型和占用比例
5.與Google?Map整合:Ntop中標(biāo)注IP所在國(guó)家的位置
____選取Summary→Hosts?World?Map?Ntop命令仗哨,與Google?Earth(谷歌地球)進(jìn)行技術(shù)整合形庭,能將收集到的信息實(shí)時(shí)地在谷歌地球上顯示出來。首先要有Gmail賬號(hào)厌漂,然后到http://code.google.com/apis/maps/signup.html上申請(qǐng)Google?Maps?API的密鑰萨醒,成功后如圖6所示。
圖6注冊(cè)使用Google?Maps?API
____接下來復(fù)制密鑰苇倡,選擇Admin→Configure→Preferences富纸,這時(shí)會(huì)提示輸入用戶名、密碼旨椒,如圖7所示晓褪。
圖7??定位到Admin→Configure→Preferences
____在如圖8所示的界面中找到google_maps.key選項(xiàng),并把密鑰填寫進(jìn)去综慎。注意涣仿,調(diào)整參數(shù)需要輸入用戶和密碼,如果忘記了Ntop密碼示惊,可以通過root輸入“/usr/sbin/ntop?–A”來修改用戶admin的密碼好港。
圖8?填寫密鑰
保存退出后,在Chrome?瀏覽器中再次選擇Hosts?World?Map米罚,配置完成钧汹。
注意:由于Google?Maps的限制,不能跟蹤所有IP地址录择。如果在設(shè)置時(shí)出現(xiàn)“Please enable make sure that the ntop html/ directory is properly installed”提示錯(cuò)誤拔莱,多半是權(quán)限問題,可采用以下方法解決:
#chown -R ntop:ntop ?/var/lib/ntop/ ? ? ? ? ? \\**改變owner**\
#chown -R ntop:ntop ?/usr/share/ntop/
# ln -s /usr/share/ntop/html ?/var/lib/ntop/ ? ? \\*建立一個(gè)符號(hào)鏈接*\\
# /etc/init.d/ntop restart ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?重啟服務(wù)以便設(shè)置生效
6.?dāng)?shù)據(jù)轉(zhuǎn)儲(chǔ)功能
____Ntop還支持把流量轉(zhuǎn)儲(chǔ)成其他格式(如文本文件隘竭、Perl塘秦、PHP、Python)货裹,以便其他外部程序可以對(duì)數(shù)據(jù)進(jìn)行深加工嗤形【ィ可以選擇Utils→Data?Dump命令弧圆,如圖9所示赋兵。
圖9定位到Utils→Data?Dump
如我們選擇報(bào)告主機(jī)類型,格式為PHP搔预。則轉(zhuǎn)儲(chǔ)數(shù)據(jù)如下:
'1.1.1.12'?=>?array(
'hostResolvedName'?=>?'1.1.1.12',
'pktSent'?=>?12628,
'pktRcvd'?=>?32668,
'ipv4BytesSent'?=>?1818480,
'ipv4BytesRcvd'?=>?30936426,
'bytesMulticastSent'?=>?0,
'pktMulticastSent'?=>?0,
'bytesMulticastRcvd'?=>?0,
'pktMulticastRcvd'?=>?0,
'bytesSent'?=>?1818480,
'bytesRcvd'?=>?30936426,
'ipv4BytesSent'?=>?1818480,
'ipv4BytesRcvd'?=>?30936426,
'ipv6BytesSent'?=>?0,
'ipv6BytesRcvd'?=>?0,
'tcpBytesSent'?=>?1813788,
'tcpBytesRcvd'?=>?30936426,
'udpBytesSent'?=>?4692,
'udpBytesRcvd'?=>?0,
'icmpSent'?=>?0,
'icmpRcvd'?=>?0,
),
7.查看網(wǎng)絡(luò)流量圖(Local?Network?Traffic?Map)
____首先霹期,在Admin→Configure→Preference中,配置dot.path的參數(shù)為?/usr/bin/dot拯田,然后選擇IP→Local→Network?Traffic?Map历造,就可以看到一張反應(yīng)各個(gè)主機(jī)流量流向的拓?fù)鋱D,箭頭方向代表數(shù)據(jù)的流向船庇,鼠標(biāo)點(diǎn)擊相應(yīng)的IP地址就能看到非常詳細(xì)的IP統(tǒng)計(jì)信息吭产。圖10是Ntop根據(jù)網(wǎng)絡(luò)流量情況自動(dòng)生成的拓?fù)鋱D。
圖10Ntop檢測(cè)數(shù)據(jù)流向圖
8.查看主機(jī)流量
____管理人員在查看了網(wǎng)絡(luò)整體流量信息后鸭轮,還希望能深入分析網(wǎng)絡(luò)中的主機(jī)流量情況臣淤,從而進(jìn)行流量限制等方面的管理工作,可以選擇IP→Summary→Traffic窃爷,如圖11所示邑蒋。
圖11?查看主機(jī)流量
查看傳輸層的會(huì)話,能明顯看出接收和發(fā)送了多少數(shù)據(jù)包按厘,如圖12所示医吊。
圖12?查看傳輸層的會(huì)話
9.啟用插件,Ntop還提供了5個(gè)插件逮京,如圖13所示卿堂。
圖13?Ntop提供的插件
(1)ICMPWatch:用于端口檢測(cè),很多人都已經(jīng)知道了可以借助“netstat?–an”來查看當(dāng)前的連接與開放的端口懒棉,但netstat并不是萬能的御吞,在遭到OOB攻擊時(shí),不等使用netstat命令漓藕,機(jī)器就已經(jīng)死機(jī)了陶珠。為此,出現(xiàn)了一種特殊的小工具——端口監(jiān)聽程序享钞。端口監(jiān)聽并不是一項(xiàng)復(fù)雜的技術(shù)揍诽,但卻能解決一些局部問題。
____圖中的圖標(biāo)表示這是一臺(tái)Linux主機(jī)栗竖,圖標(biāo)表示是Windows主機(jī)暑脆,表示郵件服務(wù)器,表示是Web服務(wù)器狐肢。當(dāng)我們需要查看所有服務(wù)器發(fā)送流量的大小排序的添吗,只要單擊Byte下方的Sent即可,若單擊Host下方的某一臺(tái)主機(jī)份名,還能詳細(xì)顯示當(dāng)前主機(jī)的IP碟联、主機(jī)名妓美、MAC、每小時(shí)發(fā)送/接收數(shù)據(jù)包的大小鲤孵、協(xié)議分布類型統(tǒng)計(jì)等信息壶栋,如圖14所示,非常詳細(xì)普监。
圖14
(2)NetFlow:近年來贵试,很多服務(wù)提供商一直使用NetFlow。因?yàn)镹etFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力凯正,可以幫助支持對(duì)等點(diǎn)上的最佳傳輸流毙玻,同時(shí)可以用來建立在單項(xiàng)服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評(píng)估,解決服務(wù)和安全問題方面所表現(xiàn)出來的價(jià)值廊散,為服務(wù)計(jì)費(fèi)提供基礎(chǔ)淆珊。NetFlow是一種數(shù)據(jù)交換方式,其工作原理是:NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個(gè)IP包數(shù)據(jù)奸汇,生成NetFlow?緩存施符,隨后同樣的數(shù)據(jù)基于緩存信息在同一個(gè)數(shù)據(jù)流中進(jìn)行傳輸,不再匹配相關(guān)的訪問控制等策略擂找,NetFlow緩存同時(shí)包含了隨后數(shù)據(jù)流的統(tǒng)計(jì)信息戳吝。
____下面我們分兩步走,首先在路由器上配置一個(gè)NetFlow轉(zhuǎn)發(fā)流量贯涎,然后在Ntop上增加一個(gè)NetFlow接收流量听哭。啟用NetFlow,定位到Plugins→NetFlow→Activate塘雳,然后添加設(shè)備陆盘,在NetFlow?Device?Configuration中選擇Add?NetFlow?Device選項(xiàng),如圖15所示败明,設(shè)置端口可以自己定義隘马,只要不與現(xiàn)有的沖突就可以,接口地址填寫打算監(jiān)控的網(wǎng)段地址妻顶。
圖15NetFlow的配置
圖?16?網(wǎng)絡(luò)接口選擇
____接著,我們需要在路由器上做設(shè)置酸员,NetFlow早期都是在路由器上實(shí)現(xiàn)的,但是現(xiàn)在一些高端的交換機(jī)支持NetFlow讳嘱,比如Cisco6500系列幔嗦。
首先需要全局配置,啟用NetFlow:
ip?flow-export?version?5
ip?flow-sampling-mode?packet-interval?100
在需要監(jiān)控的Interface沥潭,啟用NetFlow:
Interface?FastEthernet?9/0/1
ip?address?192.168.150.20?255.255.255.0
ip?route-cache?flow?sampled
show?ip?cache?fow?//查看NetFlow統(tǒng)計(jì)信息
show?ip?flow?export?//查看NetFlow輸出信息
____不是所有的NetFlow源設(shè)備都支持基于Interface的NetFlow邀泉,比如Cisco4500就不支持。也就是說它不能在某個(gè)Interface配置打開NetFlow,要么所有端口啟用汇恤,要么都不啟用庞钢,重要的是無法區(qū)分不同Interface上的流量情況,只能看到整個(gè)設(shè)備所有的流量情況屁置。
在實(shí)踐中配置NetFlow需要注意以下兩點(diǎn):
(1)根據(jù)NetFlow流的單向性焊夸,部署NetFlow時(shí)應(yīng)根據(jù)網(wǎng)絡(luò)拓?fù)浔M量在邊界的兩個(gè)端設(shè)備上配置協(xié)議仁连。
(2)對(duì)于Catalyst?6000三層交換設(shè)備蓝角,通過Supervisor?Engine?1和MultilayerSwitch?Feature?Card?CMSFC支持多層交換(MLS)來實(shí)現(xiàn)快速交換。
____然后,是Ntop的設(shè)置環(huán)節(jié)饭冬,這很重要使鹅,各個(gè)參數(shù)不能設(shè)置錯(cuò)誤。首先是NetFlow的設(shè)備名稱昌抠,可以隨便填寫一個(gè)患朱。接下來是使用的端口,這里一定要填寫路由器上NetFlow的應(yīng)用端口炊苫,例如3217裁厅。同時(shí)還要針對(duì)NetFlow監(jiān)控的地址網(wǎng)段做設(shè)置,例如筆者的是192.168.150.0/255.255.255.0侨艾。如圖10.24所示执虹,每項(xiàng)參數(shù)修改設(shè)置完畢后直接單擊右邊的按鈕生效,完成后定位到菜單中的Admin→switch?NIC命令唠梨,找到我們添加的這個(gè)NetFlow設(shè)備點(diǎn)Switch?Nic按鈕讓其生效袋励,生效后我們就可以方便查看流量了,如圖17所示当叭。
圖17?查看流量
(3)rrdPlugin:用于生成流量圖茬故。RRD可以簡(jiǎn)單的說是MRTG的升級(jí)版,它比MRTG更靈活蚁鳖,更適合用Shell磺芭、Perl等程序來調(diào)用,生成所要的圖片醉箕。
(4)sFlow:sFlow(RFC?3176)是基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議徘跪,能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。sFlow已經(jīng)成為一項(xiàng)線速運(yùn)行的“永遠(yuǎn)在線”技術(shù)琅攘,可以將sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機(jī)ASIC芯片中垮庐。與使用鏡像端口、探針和旁路監(jiān)測(cè)技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比坞琴,sFlow能夠明顯地降低實(shí)施費(fèi)用哨查,同時(shí)可以使面向每一個(gè)端口的全企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。與數(shù)據(jù)包采樣技術(shù)(如RMON)不同剧辐,sFlow是一種導(dǎo)出格式寒亥,它增加了關(guān)于被監(jiān)視數(shù)據(jù)包的更多信息邮府,并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包,因此在功能和性能上都超越了當(dāng)前使用的RMON溉奕、RMON?II和NetFlow技術(shù)褂傀。sFlow技術(shù)的獨(dú)特之處在于它能夠在整個(gè)網(wǎng)絡(luò)中,以連續(xù)實(shí)時(shí)的方式監(jiān)視每一個(gè)端口加勤,但不需要鏡像監(jiān)視端口仙辟,對(duì)整個(gè)網(wǎng)絡(luò)性能的影響也非常小。
(5)手機(jī)插件:這個(gè)功能很有意思鳄梅,我們可以用智能手機(jī)叠国,隨時(shí)隨地監(jiān)控我們的網(wǎng)絡(luò),如圖18所示戴尸。
圖18?手機(jī)插件
插件使用高清演示:http://www.tudou.com/programs/view/Jvq8HOBDOuI/
Ntop在病毒查殺方面的應(yīng)用
____某客戶感染病毒案例:某天上班時(shí)間粟焊,網(wǎng)絡(luò)性能突然下降,導(dǎo)致不少用戶無法上網(wǎng)傳輸文件孙蒙。首先懷疑是設(shè)備故障项棠,后來又查找了線路是否有問題,但都能ping通從而一一排除挎峦,隨后在Ntop檢測(cè)的“IP協(xié)議”菜單中發(fā)現(xiàn)網(wǎng)絡(luò)負(fù)荷維持在95%以上香追。在“Network?Traffic:Data?Sent”圖表中顯示局域網(wǎng)中一臺(tái)機(jī)器發(fā)送大量的數(shù)據(jù)包,這臺(tái)機(jī)器的IP地址和MAC也能找到浑测〕嵴螅基本能斷定這臺(tái)機(jī)器中了病毒在發(fā)送大量的UDP包,從而造成了廣播風(fēng)暴迁央,導(dǎo)致網(wǎng)絡(luò)性能急速下降掷匠,如圖19所示,是Ntop捕捉到的隨機(jī)發(fā)送的地址列表岖圈。找到故障節(jié)點(diǎn)后讹语,隨后根據(jù)MAC-IP-墻點(diǎn)的對(duì)應(yīng),及時(shí)將這臺(tái)機(jī)器隔離出網(wǎng)絡(luò)進(jìn)行殺毒處理蜂科。
圖19?病毒隨機(jī)發(fā)送數(shù)據(jù)包列表
____除此之外,Ntop另一個(gè)重要功能是探測(cè)DDoS類型攻擊顽决,主要是它可以通過分析網(wǎng)路流量來確定網(wǎng)路上存在的各種問題,也可以用來判斷是否有駭客正在攻擊網(wǎng)路系統(tǒng)导匣,還可以很方便地顯示出特定的網(wǎng)路協(xié)議才菠、佔(zhàn)用大量頻寬的?主機(jī)、各次通信的目標(biāo)主機(jī)贡定、資料包的發(fā)送時(shí)間赋访、傳遞資料包的延時(shí)等詳細(xì)訊息。
___
最后談?wù)勏乱淮鶱top工具 ---Ntopng,功能上有所增強(qiáng)蚓耽,主要亮點(diǎn)還是圖形化顯示方面渠牲,只要大家掌握了Ntop的使用,能夠理解Ntop各種菜單中顯示參數(shù)的含義步悠,那么對(duì)于Ntopng的使用將易如反掌签杈,下面展示幾個(gè)Ntopng的工作界面。
看了以上精美圖片是不是有些心動(dòng)鼎兽?下載地址為:http://www.ntop.org/get-started/download/答姥、Windows 64位系統(tǒng)安裝地址為:http://www.nmon.net/packages/Windows/具體安裝方法不再講述。
上面介紹了一些Ntop工具的特點(diǎn)接奈,不過還有很多由于篇幅限制沒有給大家介紹踢涌,要知道Ntop這個(gè)工具只是Ossim平臺(tái)的一個(gè)很小的模塊通孽,Ossim系統(tǒng)中集成的ntop可以將netflow數(shù)據(jù)存入mysql數(shù)據(jù)庫序宦,并可以再下次系統(tǒng)啟動(dòng)后繼續(xù)從數(shù)據(jù)庫中讀取,不會(huì)影響新生成的數(shù)據(jù)分析圖背苦。要了解Ossim是什么互捌,請(qǐng)參考我的其他有關(guān)博文或視頻。
