安全实现Linux网络监控.docVIP

一、SNMP简介 SNMP 是专门设计用于在 IP 网络管理网络节点（服务器、工作站、路由器、交换机及 HUBS 等）的一种标准协议，它是一种应用层协议。 SNMP 使网络管理员能够管理网络效能，发现并解决网络问题以及规划网络增长。通过 SNMP 接收随机消息（及事件报告）网络管理系统获知网络出现问题。简单网络管理协议(SNMP)首先是由Internet工程任务组织(Internet Engineering Task Force)(IETF)的研究小组为了解决Internet上的路由器管理问题而提出的。许多人认为 SNMP在IP上运行的原因是Internet运行的是TCP/IP协议，然而事实并不是这样。 SNMP被设计成与协议无关，所以它可以在IP，IPX，AppleTalk，OSI以及其他用到的传输协议上被使用。询时顺序不对，那么关于一些大的灾难性的事件的通知又会太馒。这就违背了积极主动的网络管理目的。 SNMP协议运行在UDP协议之上，它利用的是UDP协议的161/162端口。其中161端口被设备代理监听，等待接受管理者进程发送的管理信息查询请求消息；162 端口由管理者进程监听等待设备代理进程发送的异常事件报告陷阱消息，如Trap等。SNMP提供三类操作，分别为Get、Set和Trap。 2.MRTG软件的不足 谈到网络流量监控，相信大家都熟悉MRTG这个工具。MRTG监测网卡流量很方便，但是如果需要监测其它的系统性能比如CPU负载、系统负载，网络连接数等，就不是那么简单了。即使实现了这些功能，但管理起来非常麻烦。比如公司有1、2千个被监测点，分布在不同的机房，为了管理方便需要将这些服务器和网络设备分类，这样的话就需要将这些被监测点放在不同的MRTG配置文件中，运行多个crontab，甚至还要自己写HTML页面对其进行管理。MRTG存在许多缺点： 1.?使用文本式的数据库，数据不能重复使用； 2.?只能按日、周、月、年来查看数据； 3.?只能画两个DS（一条线、一个块）； 4.?无管理功能； 5.?没有详细日志系统； 6.?无法详细了解一一流量具体构成； 7.?只能用于TCP/IP网络对于 SAN网络流量无能为力; 8. 不能在命令行下工作。 MRTG毕竟是一套很老的软件了，而且存在许多不足的地方，其作者Tobias Oetiker在1999年就已经开始开发另一套开源软件RRDTool来代替MRTG。现在RRDTool在已经发展得成熟，在功能上MRTG难以与其相提并论。 3. RRDTool的特点 优点： 1.?使用RRD（Round Robin Database）存储格式，数据等于放在数据库中，可以方便的调用。比如将一个RRD文件中的数据与另一个RRD文件中的数据相加； 2.?可以定义任意时间段画图，可以用半年数据画一张图，也用半小时内的数据画一张图； 3.?能画任意个DS，多种的图形显示方式； 4.?数据存储与绘图分开，减轻系统负载； 5.?能任意处理RRD文件中的数据，比如在浏览监测中我们需要将数据由Bytes转化为Bits，可以将原始数据乘8。 缺点： 1.?RRDTool的作用只是存储数据和画图，它没有MRTG中集成的数据采集功能； 2.?在命令行的使用非常复杂，参数极多。 3.?无用户、图像管理功能。 二、安装配置NTOP监控Linux网络 1 P2P对于网络流量提出挑战 如果说让Linux网络管理员最头疼的问题，恐怕大家都会回答是网络带宽匮乏了，实际情况确实如此，随着网络应用与网络软件的越来越多，占用带宽资源的服务也越来越多。我们究竟应该怎么管理网络成为一个非常严肃的问题。BT，P2P等软件吞噬着网络带宽，蠕虫等网络病毒也使网络应用变得枯竭。从某种意义上讲带宽就是钱，那么我们这些网络管理员如何有效的监视、控制公司的网络流量呢？下面笔者为读者介绍一个不可多得的监控网络流量的工具:NTOP。 1．Linux异构网络中P2P流量情况 P2P（Peer-to-Peer）是一种用于文件交换的新技术，通过Internet允许建立分散的、动态的、匿名的逻辑网络。P2P为对等连接或对等网络，点对点网络技术，可应用于文件共享交换，深度搜索、分布计算等领域。它允许个体的PC通过Internet共享文件。随着P2P文件交换应用的普及，ISP在维持和增加宽带网的收益上也面临着新的挑战和机遇。据有关资料统计，现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值，对网络资源造成意外的变形；所带来的网络拥塞、性能下降等问题，已影响到正常的网络应用，如WWW、Email等，缓慢的网页浏览和收发邮件速度更引起普通用户的不满。 若想控制P2P通信，就必须对P2P通信进行有效地识别，然而，许多P2P通信使用了不同的通