整理linux下ntop启动、安装、配置、利用安全技术[网络技术]

1、启动ntop

1、在本机上通过     /usr/local/bin/ntop -u ntop -c -d -i eth0 号令启动ntop
注此中:
   （1） /usr/local/bin 为ntop所在途径
   （2） -u ntop 为指定用户名
   （3）-i eth0 为指定网络设备为 eth0
2、web中輸入:

:3000">http://<your_IP>:3000

注:3000为默许的端口号

NTOP主要供应以下一些功效:
　　
　　◆ 自动从网络中辨认有效的信息;
　　
　　◆ 将截获的数据包转换成易于辨认的格局;
　　
　　◆ 对网络环境中通信失利的情形举行解析;
　　
　　◆ 探测网络环境中的通信瓶颈;
　　
　　◆ 记录网络通信的时间和历程.

2、NTop安装

首先,需安装好 libpcap、gdbm等库,普通除libpcap需自己安装外系统会带别的库.

1.成立用户ntop（为了安全起见,只闻名为ntop的用户 才能启用该软件）

＃useradd ntop

2安装
到加压后的文件夹中履行:

＃./cofigure
＃make
＃make install

3改变文件全部者为ntop

（1）＃chown -R ntop:ntop /usr/local/var/ntop/    

＊改正后的状况:(db 文件）             drwxr-xr-x 10 root    root      4096 02-27 10:44 share

（2）＃chown -R ntop:ntop /usr/local/share/ntop/     
*:文件改正后的状况                             drwxr-xr-x 3 root    root      4096 02-25 22:56 var

注: -R 递归地改变指定目录及其全部子目录、文件的文件主

4设置管理员密码

＃/usr/local/bin/ntop -A            (WEB管理时需求,默许的用户名为admin)

5. 執行 ntop:

   (1) 圖形化介面下（web界面）启动ntop:
# /usr/local/bin/ntop -u ntop -c -d

注:若找不到网络设备可用 －i eth0 项指定!

（2）web中輸入:

:3000">http://<your_IP>:3000

注:3000为默许的端口号   -w 利用其他端口

启动界面 初始化:
[root@localhost ld.so.conf.d]# /usr/local/bin/ntop -u ntop -c -d -i eth0
Thu Mar 20 16:11:56 2008 NOTE: Interface merge enabled by default
Thu Mar 20 16:11:56 2008 Initializing gdbm databases
Thu Mar 20 16:11:56 2008 NOTE: Interface merge disabled from prefs file
Thu Mar 20 16:11:56 2008 **WARNING** -s set so will ATTEMPT to open interface w/o promisc mode (this will probably fail below)
Thu Mar 20 16:11:56 2008 ntop v.3.2 SourceForge .tgz
Thu Mar 20 16:11:56 2008 Configured on Mar 20 2008 15:06:45, built on Mar 20 2008 15:25:01.
Thu Mar 20 16:11:56 2008 Copyright 1998-2005 by Luca Deri <deri@ntop.org>
Thu Mar 20 16:11:56 2008 Get the freshest ntop from http://www.ntop.org/
Thu Mar 20 16:11:56 2008 NOTE: ntop is running from '/usr/local/bin'
Thu Mar 20 16:11:56 2008 NOTE: (but see warning on man page for the --instance parameter)
Thu Mar 20 16:11:56 2008 NOTE: ntop libraries are in '/usr/local/lib'
Thu Mar 20 16:11:56 2008 Initializing ntop
Thu Mar 20 16:11:56 2008 Checking eth0 for additional devices
Thu Mar 20 16:11:56 2008 Resetting traffic statistics for device eth0
Thu Mar 20 16:11:56 2008 DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Thu Mar 20 16:11:56 2008 Initializing gdbm databases
Thu Mar 20 16:11:56 2008 VENDOR: Loading MAC address table.
Thu Mar 20 16:11:56 2008 VENDOR: Checking for MAC address table file
Thu Mar 20 16:11:56 2008 VENDOR: Loading newer file '/usr/local/etc/ntop/specialMAC.txt.gz'
Thu Mar 20 16:11:56 2008 VENDOR: ...found 61 lines
Thu Mar 20 16:11:56 2008 VENDOR: ...loaded 59 records
Thu Mar 20 16:11:56 2008 VENDOR: Checking for MAC address table file
Thu Mar 20 16:11:56 2008 VENDOR: Loading newer file '/usr/local/etc/ntop/oui.txt.gz'
Thu Mar 20 16:11:56 2008 VENDOR: ...found 48541 lines
Thu Mar 20 16:11:56 2008 VENDOR: ...loaded 7853 records
Thu Mar 20 16:11:56 2008 Fingeprint: Loading signature file.
Thu Mar 20 16:11:56 2008 Fingeprint: ...loaded 1697 records
Thu Mar 20 16:11:57 2008 INIT: Parent process is exiting (this is normal)
Thu Mar 20 16:11:57 2008 INIT: Bye bye: I'm becoming a daemon...
You have new mail in /var/spool/mail/root
[root@localhost ld.so.conf.d]#

＊＊＊＊＊＊＊＊＊＊＊至此成功在页面中启动ntop*****************************

三.配置NetFlow

（1）http://host:port/ 翻开页面
（2）Plugins->NetFlow->Active　激活NetFlow
（3）Plugins->NetFlow->Configure 配置网口,新增一个设备,端口默许是9996
（4）Plugins->NetFlow->Statistics NetFlow状况

四 利用ntop

   1. 查看网络整体流量
　　
　　查看网络整体流量用鼠标点击“Stats”选项卡,然后单击“Traffic”选项.网络流量会以柱面图和明细表格的情势显示出来.
　　
　2. 查看主机流量
　　
　　假如想查看具体节点计算机的网络流量,用鼠标单击“IP Traffic”选项卡,然后单击“Host”选项便可.
　　
　3. 监测主机利用的网络协议
　　
　　在图3里可以看到一个主机名称“CAO”的计算机发送了大量数据,其IP地址是“192.168.0.5”,MAC地址是“52:54:AB:34: 5B:09”.假如想理解该计算机传输了那些数据,双击该主机名便可解析出用户利用的各种网络传输协议的范例和辨别占据带宽的比例.
　　
　4.查看端口利用情形
　　
　　NTOP可以把端口利用情形与利用程序关联起来,这和利用“netstat -an”号令的效果近似,并且可以显示端口翻开时间、端口流量等具体信息.比方,可以把本机开放的TCP/UDP端口同利用程序关联起来,单击“IP Traffic”→“L―L”→“TCP/UDP Servers/Ports Usage”

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

另有字符界面方法启动,需求进一步考虑!

附网文转载:

实际案例解析:

我单位是一个由多种系统构成的Linux中小局域网.网络拓扑（图－1）此中服务器利用的操作系统为红旗3.0,客户端PC利用的是win9x/me/2000.

               图－1网络拓扑构造

1、问题的呈现

一天下午网络性能忽然下降,招致网上的大量数据无法顺利传输.我首先猜疑是物理弊端.但是利用ping号令测试发现网络是连通的没有物理破坏.接着启动ntop,（见图－2）可以看到ntop能检测网络中的绝大大都协议文件.

           图－2 ntop主菜单

2、检测弊端

（1）首先查抄网络负荷:点击“IP Protos” 菜单.（见图－3）公然发现网络中的机械网络负荷为98％.

       图－3显示网络网络负荷太高

   （2）点击主机“IP Traiffic”菜单来查询网络流量 :见图－4

           图－4网络中的数据流量

(3)公然发现以主机名为cao1的PC发送了大量数据,它的网络负荷接近99％.点击“cao1”后点击”Host“查看别的情形.见图－5,可以看出”主机“cao1”IP地址为192.168.0.1,MAC地址为00:50:BA:F0:AB:AC,利用的操作系统为Windows.

           图－5主机名为cao1的基本情形

(3)双击“cao1”便可以理解主机“cao1”的具体情形全部网络情形.见图－6

           图－6主机“cao1”的具体情形

（4）我们来看此中传输数据范例这一部份见图－7.从中可以看出它发送的数据都是UDP格局的.

           图－7主机“cao1”的传输数据范例为UDP格局数据

   我们知道UDP是Linux网络层的传输层的数据,所以可以判断是广播风暴造成了网络性能下降.我们找到主机“cao1”,本来一个工作人员正在向客户演示公司的产品信息,他利用了超级解霸2000.我们知道超级解霸2000播放文件时有一个选项是举行局域网的DVB音视频广播.这名工作人员由于操作失误乃至向网络的全部主机包含服务器举行了DVB音视频广播,造成了广播风暴.

3、办理办法

   关闭主机“cao1”超级解霸2000的DVB音视频广播的选项.网络恢复正常.

4、总结:

ntop的确是网管人员的好辅佐﹐通过它基本上全部收支流量、主机信息网络、安全状况都无所遁形.不管举行网络监测﹐还是日记管理﹐都是非常优异的工具.不过﹐由于ntop从本质上讲是一种网络嗅探器﹐所以是一把双刃剑.关于网络的安全,管理显得分外重要.除网络管理员外别的人员禁止在网络中利用任何嗅探工具包含一些企业高级管理人员,是完好有必要的.

目前有空趁便再来说一下ntop的常用参数

     -d : 放入后台履行. 常用
    -L : 输出讯息写入系统记录文件.
    -r : 设定页面的自动更新频率,预设每 3 秒更新一次. .
    -w : 利用别的端口 (预设是 3000) .
    -W : 同 -w , 不过这个是利用 SSL 联机 .
    -u : 指定利用别的身份履行 .
    -i : 指定 ntop 监听的网卡,"," 离隔多个网卡.
    -M : 利用 -i 指定多张网卡时, 预设是归并统计.

ntop的页面阐明

o About: 在线手册.
o Summary : 目前网络的整体大要

    * Traffic : 流量
    * Hosts : 全部主机利用大要
    * Network Load : 各时段的网络负载
    * Netflows : 网络流量图.

o IP Summary : 各主机的流量情况与排名明细

    * Traffic : 全部主机的流量明细
    * Multicast : 多点传送情形.
    * Domain : 域名
    * Distribution : 通讯量情况
    * Local >>Local 本地流量.
    * Local>>Remote : 全部主机对外的明细
    * Remote>>Local :
    * Remote>>Remote :

o All Protocols : 查看各主机占用的频宽与各时段网络利用者等的明细

    * Traffic : 流量.
    * Throughput : 频宽利用明细表 (点选主机,可以看到该主机具体的信息及利用情况)
    * Activity : 各时段全部主机利用流量(情况). (点选主机,可以看到该主机具体的信息及利用情况)

o Local IP : 局域网络内各主机利用情况.

    * Routers : 路由器情况.3.2版的ntop中已经仿佛没有这一项了
    * Ports Used : 端口利用情形.
    * Active TCP Sessions : 目前正在举行的联机 .
    * Host Fingerprint : 主机快照情形.
    * Host Characterization : 主机描写.
    * Local Matrix : 局域网络内各主机间的流量明细.

o Media: 高级货,常人用不到的东西

    * Fibre Channel 光纤通道,企业级存储时利用的东西

o Utils 日记一类的东西

oPlugins 一些插件

ICMPWATCH:用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的衔接与开放的端口,但NETSTAT并不万能,比方你的Win2000遭到OOB攻击的时刻,不等NETSTAT你就已经死机了.为此,呈现了一种特别的小工具——端口监听程序.端口监听并非一项复杂的技术,但却能办理一些部分问题.

NetFlow:近些年来,很多服务供应商一向利用NetFlow.因为 NetFlow在大型广域网环境里具有伸缩本领,可以帮忙支持对等点上的最佳传输流,同时可以用来举行成立在单项服务底子之上的底子设备最优化评价,办理服务和安全问题方面所表现出来的代价,为服务计费供应底子.NetFlow是一种数据交换方法,其工作原理是:NetFlow操纵尺度的交换情势处理数据流的第一个IP包数据,生成NetFlow 缓存,随后一样的数据基于缓存信息在同一个数据流中举行传输,不再匹配相关的拜候掌握等战略,NetFlow缓存同时包含了随后数据流的统计信息.但是, NetFlow也不是万能的,比方它无法供应利用反映时间.

rrdPlugin:用于生成流量图.RRD的作者,也是MRTG的作者,RRD可以简单的说是MRTG的进级版,它比MRTG更机动,更适实用shell、perl等程序来调用,成生所要的图片.
sFlow:sFlow （RFC 3176）是基于尺度的最新网络导出协议,可以办该当前网络管理人员面对的很多问题.sFlow已经成为一项线速运行的“永久在线”技术,可以将 sFlow技术嵌入到网络路由器和交换机ASIC芯片中.与利用镜像端口、探针和旁路监测技术的传统网络监督办理筹划相比,sFlow可以明显地降低实施费用,同时可以使面向每一个端口的全企业网络监督办理筹划成为大概.与数据包采样技术（如RMON）差别,sFlow是一种导分外式,它增添了关于被监督数据包的更多信息,并利用嵌入到网络设备中的sFlow代理转发被采样数据包,因此在功效和性能上都超越了当前利用的RMON、RMON II和NetFlow技术.sFlow技术独特之处在于它可以在整个网络中,以持续及时的方法监督每一个端口,但不需求镜像监督端口,对整个网络性能的影响也非常小.

snmpPlugin:这个大家都知道,就不说是

最后说一下,ntop确切很损耗资源,倡议找专门找台闲置的PC做这个,并且主机安排的位置最好是在路由器边上,假如是交换机上,哪么最好将交换机出口做一个端口镜象,将镜象的端口用来衔接ntop