NTOP监控网络流量的工具

自动启动：ntop_enable="YES" 加入/etc/rc.conf

设置密码：ntop -A

设置启动：ntop -d

=====================================================================

NTOP是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。
NTOP是一个灵活的、功能齐全的，用来监控和解决局域网问题的工具。它同时提供命令行输入和Web界面，可应用于嵌入式Web服务。
目录
• 网管工具产生缘由
• 功能简介
• 安装简介
• 插件工具
• 流量分析要点
• 操作目录简介
• 网管工具产生缘由
• 功能简介
• 安装简介
• 插件工具
• 流量分析要点
• 操作目录简介
• 软件使用方法
• 参考资料
[显示全部]

编辑本段 NTOP - 网管工具产生缘由

作为一名普通网络用户，在浩瀚的互联网畅游之时，没有人会注意到平静的海面下其实暗流汹涌。一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够
很快地分析出问题的发生原因，迅速定位到线路问题、网络设备问题，或者是路由器和防火墙的设定问题。在一个稍微小的网络中，一个有经验的管理者要回答这些问题并不难，但是如果其所管理的网络范围过于庞大，那么就可能需要
一个有效率的网管系统了。在业务繁忙的工作网络中，网络突然缓慢，在重要数据往来的工作时间段，留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。回答网络为什么缓慢就必须经过科学合理的计算和统计，并且在预先
建立的流量分析系统中才能找到答案。
P2P（Peer-to-Peer）是一种用于文件交换的新技术，通过Internet允许建立分散的、动态的、匿名的逻辑网络。P2P为对等连接或对等网络，点对点网络技术，可应用于文件共享交换，深度搜索、分布计算等领域。它允许个体的PC通过
Internet共享文件。随着P2P文件交换应用的普及，ISP在维持和增加宽带网的收益上也面临着新的挑战和机遇。据有关资料统计，现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值，对网络资源造成意外的
变形；所带来的网络拥塞、性能下降等问题，已影响到正常的网络应用，如WWW、Email等，缓慢的网页浏览和收发邮件速度更引起普通用户的不满。
若想控制P2P通信，就必须对P2P通信进行有效地识别，然而，许多P2P通信使用了不同的通信技术和协议，使用传统的技术来识别它们非常困难。比如，许多P2P协议不使用固定的端口，而是动态地使用端口，包括使用一些知名服务的端
口。KaZaA就是可以使用端口80（通常是http/web来使用）来通信的，从而穿透传统的基于IP和端口的防火墙和包过滤器。所以，通过简单的基于IP和端口的分类技术（分析IP包头、IP地址、端口号等）很难识别、跟踪或控制这类通信。
过去有一段时间，有人使用监测6881~6889端口来识别BT（BitTorrent），但这种做法现在早已失效——BT已不再使用固定的6881~6889端口来通信，而是动态地使用端口。随着P2P应用的不断增长，更多的通信协议被使用；识别和分类
P2P的技术必须快速、简单，以适应这种技术的变化。现在，识别P2P通信的方法是在应用层分析数据包，看是否有某个应用协议的特征码，然后确定通信的种类。应用层分析数据包的基本方法是，如果应用层数据包的头部有“220 ftp
server ready”的特征串，可以确定是在使用ftp程序；如果有“HTTP/1.1 200 ok”的特征串，可以确定是在使用http传送数据。
编辑本段回目录 NTOP - 功能简介

NTOP主要提供以下一些功能：
◆ 自动从网络中识别有用的信息；
◆ 将截获的数据包转换成易于识别的格式；
◆ 对网络环境中通信失败的情况进行分析；
◆ 探测网络环境中的通信瓶颈；
◆ 记录网络通信的时间和过程。
它可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详
细信息。通过了解这些信息，网管员可以对故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。
编辑本段回目录 NTOP - 安装简介

NTOP是可以支持win32平台、linux、Unix、BSD等平台的。
目前win32平台还只有demo版本，只能捕捉2000个包，这里使用的当然是linux平台。使用源代码编译安装的方式。
平台：红旗 DC Server 4.1 for x86
源代码下载：
http://sourceforge.net/projects/ntop/
，其中也包括了win32平台的demo版
1、win32平台的安装
在Windows XP上测试，直接双击即可，最后会一起安装WinPcap 3.1。安装以后，在服务里面把ntop服务打开（重启也可以），然后就可以用浏览器访问
http://ip:3000/
端口即可。
帮助可以到安装目录里面运行：ntop /h
2、linux平台的安装
首先，需要确认系统上时候已经安装了libpcap包：
# rpm -qa|grep libpcap
libpcap-0.7.2-7.E3.1
然后，下载原代码，并放到/usr/local/src目录中：
# cd /usr/local/src
# wget
http://surfnet.dl.sourceforge.net/sourceforge/ntop/ntop-3.2.tgz
如果想拿CVS包，也可以：
# cd /usr/local/src
# mkdir my_ntop_goes_here
# cd my_ntop_goes_here
# export CVSROOT=:pserver:anonymous@cvs.ntop.org:/export/home/ntop
# cvs login
密码是ntop
# cvs checkout ntop
下载好源码后，就开始解压、配置、编译、安装：
# tar xzvf ntop-3.2.tgz
# cd ntop-3.2
# ./configure
如果配置有问题，请看error/warning/note，解决后再编译：
# make
# make install
启动NTOP：（先建立存放日志的路径，如果在编译前已经配置，可以不用指定）
# mkdir /var/log/ntop
# chown -R nobody:nobody /var/log/ntop
# chown -R nobody:nobody /usr/local/share/ntop
# ntop -P /var/log/ntop/ &
ntop startup - waiting for user response!
Please enter the password for the admin user:
Please enter the password again:
输入两次管理员的密码（默认用户名是：admin）
然后，NTOP会以nobody用户，在后台运行。
设置开机自动启动：
# echo "ntop -P /var/log/ntop & 2>&1 1> /dev/null" >> /rc.local
查看网络状态，访问
http://IP:3000/
。配置NTOP，可以在网页的Admin里面调整（默认用户名：admin，密码就是前面设置的密码）
编辑本段回目录 NTOP - 插件工具

ICMPWATCH：
用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如Win2000遭到OOB攻击的时候，不等NETSTAT就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听
并不是一项复杂的技术，但却能解决一些局部问题。
NetFlow：
近年来，很多服务提供商一直使用NetFlow。因为NetFlow在大型广域网环境里具有伸缩能力，可以帮助支持对等点上的最佳传输流，同时可以用来进行建立在单项服务基础之上的基础设施最优化评估，解决服务和安全问题方面所表现出
来的价值，为服务计费提供基础。NetFlow是一种数据交换方式，其工作原理是：NetFlow利用标准的交换模式处理数据流的第一个IP包数据，生成NetFlow 缓存，随后同样的数据基于缓存信息在同一个数据流中进行传输，不再匹配相关
的访问控制等策略，NetFlow缓存同时包含了随后数据流的统计信息。但是，NetFlow也不是万能的，比如它无法提供应用反应时间。
rrdPlugin：
用于生成流量图。RRD的作者，也是MRTG的作者，RRD可以简单的说是MRTG的升级版，它比MRTG更灵活，更适合用shell、perl等程序来调用，成生所要的图片。
sFlow：
sFlow（RFC 3176）是基于标准的最新网络导出协议，能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机 ASIC芯片中。与使用镜像端口、探针和
旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术（如RMON）不同，sFlow是一种导出格式，它增加了关于被监视数据包的
更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中，以连续实时的方式监视每一个端口，但不需要
镜像监视端口，对整个网络性能的影响也非常小。
编辑本段回目录 NTOP - 流量分析要点连接性
也称可用性、连通性或者可达性，严格说应该是网络的基本能力或属性。Internet的出现以及采用新技术而带来的生产力提高，导致对更高带宽和服务的需求。企业需要更高带宽的定制服务；而消费者则需要像宽带连接和视频点播等服
务；运营商必须在他们的目标市场需求与他们业务的现实之间取得平衡；这些都必须以网络的连接性能为基础和保障。
延时
定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变，由传播时延和传输时延构成；可变时延由中间路由器处理时延和排队等待时延两部分构成。
丢包率
是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃，例如数据包的大小以及数据发送时链路的拥塞状况等。不同业务对丢包的敏感性不同，在多媒体业务中，丢包是导致图像质量降低和断帧的根本原因
。
带宽
一般分为瓶颈带宽和可用带宽。
瓶颈带宽是指当一条路径（通路）中没有其它背景流量时，网络能够提供的最大的吞吐量。
可用带宽是指在网络路径（通路）存在背景流量的情况下，能够提供给某个业务的最大吞吐量。
在复杂的网络系统上面，不同的应用占用不同的带宽，重要的应用是否得到了最佳的带宽？它占的比例是多少？队列设置和网络优化是否生效？通过例如MRTG等网络流量分析会使其更加明确，并以图形HTML文档方式显示给用户，以非常
直观的形式显示流量负载。
主动分析避免异常流量
面对异常流量，应当建立一套分析系统，支持异常流量发现和报警，能够通过对一个时间段内历史数据的自动学习，获取包括总体网络流量水平、流量波动、流量跳变等在内的多种网络流量测度，并自动建立当前流量的置信度区间作为
流量异常监测的基础。
如果自行建立主动型的网络分析系统一般包括：测量节点、中心服务器、数据库和分析服务器。但对于中小企业来说难度较大。主动分析是借助产品化和集成程度较高的测量工具，有目的对生产网络注入监控点，并根据测量数据流的传
送情况来分析网络的性能。虽然这些监控点也会占用带宽，但和P2P下载所占用的可用带宽相比是微不足道的。排除病毒和封锁P2P之后，一般带宽占用前两名的应用是基于网站页面的在线音频与在线视频。为了节约带宽，应该在工作时
间段对其进行限制和封锁。
ntop和MRTG相比相比它的安装配置比较简单，可以不使用Web服务器。目前市场上可网管型的交换机、路由器都支持SNMP协议，Ntop支持简单网络管理协议，所以可以进行网络流量监控。
ntop几乎可以监测网络上的所有协议: TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP－BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技术的协议
eDonkey, Overnet, Bittorrent, Gnutella (Bearshare, Limewire,etc), (Kazaa, Imesh, Grobster)。
NTOP的主界面一共8个大版面，33个选项。主要包括以下内容。
编辑本段回目录 NTOP - 操作目录简介① About：在线手册。
② Summary：目前网络的整体概况。
—  Traffic：流量。
—  Hosts：所有主机的使用概况。
—  Network Load：各时段的网络负载。
—  Netflows：网络流量图。
③ IP Summary：各主机的流量状况与排名明细。
—  Traffic：所有主机的流量明细。
—  Multicast：多点传送情况。
—  Domain：域名。
—  Distribution：通信量状况。
—  Local >>Local：本地流量。
—  Local>>Remote：所有主机对外的明细。
—  Remote>>Local：远程主机到本地流量。
—  Remote>>Remote：远程主机到远程主机流量。
④ All Protocols：查看各主机占用的频宽与各时段网络使用者等的明细。
—  Traffic：流量。
—  Throughput：频宽使用明细表（点选主机，可以看到该主机详细的信息及使用状况）。
—  Activity：各时段所有主机使用流量状况（点选主机，可以看到该主机详细的信息及使用状况）。
⑤ Local IP：局域网络内各主机使用状况。
—  Routers：路由器状况。
—  Ports Used：端口使用情况。
—  Active TCP Sessions：目前正在进行的联机。
—  Host Fingerprint：主机快照情况。
—  Host Characterization：主机描述。
—  Local Matrix：局域网络内各主机间的流量明细。
⑥ FC：光纤网络的状况。
⑦ SCSI：SCSI设备状况。
⑧ Admin：新增NTOP使用者或重新启动，停止NTOP。
编辑本段回目录 NTOP - 软件使用方法NTOP是一个灵活的、功能齐全的，用来监控和解决局域网问题的工具。它同时提供命令行输入和Web界面，可应用于嵌入式Web服务。下面分别介绍。
1．Web浏览器方式
（1）查看网络的所有的计算机流量
查看网络整体流量用鼠标点击“Stats”按钮后，下载“Triffic”选项。网络流量会以柱面图和明细表格的形式显示出，如果想查看网络的所有的计算机流量，用鼠标点击“IP Traffic”－“Host”按钮即可.

（2）查看通信数据包（协议）比例
数据包对于网络管理的网络安全具有至关重要的意义。比如，防火墙的作用本质就是检测网络中的数据包，判断其是否违反了预先设置的规则，如果违反就加以阻止。Linux网络中最常见的数据包是TCP和UDP。如果想了解一个计算机传输
了哪些数据，可以双击计算机名称即可分析出用户各种网络传输的协议类型和占用带宽的比例。

1）面向连接的TCP
“面向连接”就是在正式通信前必须要与对方建立起连接。TCP（Transmission Control Protocol，传输控制协议）是基于连接的协议，也就是说，在正式收发数据前，必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”
才能建立起来，其中的过程非常复杂，。
这三次对话的简单过程：主机A向主机B发出连接请求数据包“我想给你发数据，可以吗？”，这是第一次对话；主机B向主机A发送同意连接和要求同步（同步就是两台主机一个在发送，一个在接收，协调工作）的数据包“可以，你什么
时候发？”，这是第二次对话；主机A再发出一个数据包确认主机B的要求同步“我现在就发，你接着吧！”，这是第三次对话。三次“对话”的目的是使数据包的发送和接收同步，经过三次“对话”之后，主机A才向主机B正式发送数据
。TCP协议能为应用程序提供可靠的通信连接，使一台计算机发出的字节流无差错地发往网络上的其他计算机，对可靠性要求高的数据通信系统往往使用TCP传输数据。
2）面向非连接的UDP协议
“面向非连接”就是在正式通信前不必与对方先建立连接，不管对方状态就直接发送。这与现在流行的手机短信非常相似：在发短信的时候，只需要输入对方手机号就OK了。UDP（User Data Protocol，用户数据报协议）是与TCP相对应
的协议。它是面向非连接的协议，它不与对方建立连接，而是直接就把数据包发送过去。UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。比如，经常使用“ping”命令来测试两台主机之间TCP/IP通信是否正常，其实
“ping”命令的原理就是向对方主机发送UDP数据包，然后对方主机确认收到数据包，如果数据包是否到达的消息及时反馈回来，那么网络就是通的。例如，在默认状态下，一次“ping”操作发送4个数据包。发送的数据包数量是4包，收
到的也是4包（因为对方主机收到后会发回一个确认收到的数据包）。这充分说明了UDP是面向非连接的协议，没有建立连接的过程。正因为UDP没有连接的过程，所以它的通信效率高；但也正因为如此，它的可靠性不如TCP高。QQ就使用
UDP发消息，因此，有时会出现收不到消息的情况。
（3）查看端口使用情况
网络中有许多TCP数据包和UDP数据包在传送，根据它们使用的不同端口，就可以识别它们的用途，从而可判断网络中有什么类型的数据在传送，为网络管理提供依据。在网络技术中，端口（Port）有好几种意思。集线器、交换机、路由
器的端口指的是连接其他网络设备的接口，如RJ—45端口、Serial端口等。我们这里所指的端口不是指物理意义上的端口，而是特指TCP/IP中的端口，是逻辑意义上的端口。如果想了解一个计算机传输数据使用哪些端口，可以双击计算
机名称即可分析出网络传输的协议使用的端口号。
（4）使用NTOP监控SAN网络
SAN（Storage Area Network的缩写）意为存储区域网络，是真正的专注于企业级的存储。SAN采用一个分离的网络（从传统的局域网中分离）连接所有的存储器和服务器，这个网络可以采用高性能的实现技术，如光纤通道（Fiber
Channel），可以容纳SCSI等协议，使数据块的移动更为有效，也便于用户自由增加磁盘阵列、磁带库或服务器等设备。现在的SAN基本都是通过Fibre Channel来实现的。Fibre Channel，又称光纤通道，是利用专用设备进行数据高速传
输的一种网络标准，主要用于连接服务器的干线（backbones），并把服务器连接到存储设备上。
与光纤通道相比，iSCSI具有许多优势，用“iSCSI=低廉+高性能”这个等式来表示再恰当不过了。iSCSI是基于IP的技术标准，实现了SCSI和TCP/IP的连接，那些以局域网为网络环境的用户只需要少量的投入，就可以方便、快捷地对信息
和数据进行交互式传输和管理。相对于以往的网络接入存储，iSCSI的产生解决了开放性、容量、传输速度，以及兼容性等许多问题，让用户可以通过现有的TCP/IP网络来构建存储区域网，能够更容易地管理SAN存储。NTOP最新版本比
MRTG的最大优势是可以监控SAN网络。
2．命令行方式
实际上还可以通过命令行方式来使用NTOP，一般高手都是这样操作的，因为命令行下修改和添加设置非常迅速，而且还有很多图形化无法实现的操作，特别适合远程操作。
常用参数如下。
— -d：放入后台执行。
— -L：输出信息写入系统记录文件。
— -r：设定页面的自动更新频率，预设每3秒更新一次。
— -w：使用其他端口（预设是3000）。
— -W：同–w，不过这个是使用SSL联机。
— -u：指定使用其他身份执行。
— -i：指定NTOP监听的网卡，“,”隔开多个网卡。
— -M：使用-i指定多张网卡时，预设是合并统计，若要分别统计，加此参数。
— -h：获取帮助信息。

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。