运用Ntop监控网络流量.docxVIP

网络流量反映了网络的运行状态，是判别网络运行是否正常的关键数据，在实际的网络中，如果对网络流量控制得不好或发生网络拥塞，将会导致网络吞吐量下降、网络性能降低。通过流量测量不仅能反映网络设备（如路由器、交换机等）的工作是否正常，而且能反映出整个网络运行的资源瓶颈，这样管理人员就可以根据网络的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能。对网络进行流量监测分析，可以建立网络流量基准，通过连接会话数的跟踪、源/目的地址对分析、TCP流的分析等，能够及时发现网络中的异常流量，进行实时告警，从而保障网络安全。本节将介绍的Ntop便可以提供详细的网络流量明细表。在Ossim系统中集成了Ntop可以直接使用。1．Ntop简介____Ntop是一种监控网络流量的工具，用NTOP显示网络的使用情况比其他一些网管软件更加直观、详细。NTOP甚至可以列出每个节点计算机的网络带宽利用率。2.Ntop主要功能Ntop主要提供以下一些功能：①.自动从网络中识别有用的信息；②.将截获的数据包转换成易于识别的格式；③.对网络环境中通信失败的情况进行分析；④.探测网络环境中的通信瓶颈,记录网络通信的时间和过程。____Ntop可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。3.?Ntop支持的协议____Ntop比MRTG更容易安装，如果用手机话费来比喻流量，MRTG便如同提供总费用的电话账单，而Ntop则是列出每一笔费用的明细一样。目前市场上可网管型的交换机、路由器都支持SNMP协议，Ntop支持简单网络管理协议，所以可以进行网络流量监控。Ntop几乎可以监测网络上的所有协议:?TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP－BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技术的协议eDonkey。4.Ntop支持插件①.ICMPWATCH：____用于端口检测很多人都已经知道了可以借助NETSTAT?-AN来查看当前的连接与开放的端口，但NETSTAT并不万能，比如Win2000遭到OOB攻击的时候，不等NETSTAT就已经死机了。为此，出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术，但却能解决一些局部问题。②.NetFlow：____近年来，很多服务提供商一直使用NetFlow。因为NetFlow在大型广域网环境里具有伸缩能力，可以帮助支持对等点上的最佳传输流，同时可以用来进行建立在单项服务基础之上的基础设施最优化评估，解决服务和安全问题方面所表现出来的价值，为服务计费提供基础。③.rrdPlugin：____用于生成流量图。RRD的作者，也是MRTG的作者，RRD可以简单的说是MRTG的升级版，它比MRTG更灵活，更适合用shell、perl等程序来调用，成生所要的图片。④.sFlow：____sFlow（RFC?3176）是基于标准的最新网络协议，能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术，可以将sFlow技术嵌入到网络路由器和交换机?ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比，sFlow能够明显地降低实施费用，同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术（如RMON）不同，sFlow是一种导出格式，它增加了关于被监视数据包的更多信息，并使用嵌入到网络设备中的sFlow代理转发被采样数据包，因此在功能和性能上都超越了当前使用的RMON、RMON?II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中，以连续实时的方式监视每一个端口，但不需要镜像监视端口，对整个网络性能的影响也非常小。____另外，Ntop还允许用户安装插件用，以提供对于特定协议下具体统计数据的报告，如NFS和NetBIOS插件。当然，Ntop也可以生成运行它的主机的统计数据，列出开放套接字、接收和发送的数据以及每个过程的相关主机对。二、Ntop系统的部署?对于共享网络，只须将连接到共享网络中的流量采集点的网络接口置为混杂工作模式，就可实现采集网络流量数据的功能。与交换网络相比，网络发生拥塞时，集线器网络的可靠性很低，SNMP问询命令和回应数据包可能发生延迟或丢失，这时候Ntop检测数据也就不准确了，对于交换网络的情况，需要交换设备的支持（如具有SPAN端口的交换机）。流量采集主