ntop实现网络监控

ntop 是一款网络监控工具    网络嗅探器

v      可以监视网络流量，甚至可以列出每个节点计算机的网络带宽利用率。

v      通过分析网络流量来确定网络上存在的各种问题；

v      也可以用来判断是否有黑客正在攻击网络系统；

v      还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。

v      通过了解这些信息，网管可以对故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。

Ntop 能提过一下几个主要的功能：

1.       自动从网络中识别有用的信息；

2.       将截获的数据包转换成易于识别的格式；

3.       对网络环境中通信失败的情况进行分析；

4.       探测网络环境中的通信瓶颈；

5.       记录网络通信的时间和过程；

6.       自动识别客户端正在使用的操作系统；

现在最新版本的 ntop 还能提供与谷歌地图整合来定位，增强 sFlow 支持。

接下来我做一下整个安装过程：

一、 环境变量的安装：

# yum groupinstall "Development Tools" "Development Libraries" �Cy

安装依赖包

# yum install libpcap libpcap-devel libpng gdbm gdbm-devel glib libxml2-devel pango pango-devel gd -y

安装 IP 包

#yum localinstall --nogpgcheck GeoIP- 1.4.7 -0.1.20090931cvs.el5.i386.rpm GeoIP-devel-1.4.7-0.1.20090931cvs.el5.i386.rpm

 

二、编译安装 rrdtool

# tar xvf rrdtool- 1.4.4 .tar.gz

# cd rrdtool- 1.4.4

# ./configure --prefix=/usr/local

# make && make install

 

二、 编译安装 NTOP

# tar xf  ntop- 4.0.1 .tar.gz

# cd ntop- 4.0.1

# ./autogen.sh --with-tcpwrap

# make

# make install

 

三、配置 NTOP 检测系统

1. 设置 NTOP 数据存放目录， NTOP 系统默认以低权限用户 nobody 身份运行，为了使 ntop 可以读写数据，需要对默认的存放目录 /usr/local/var/ntop 进行权限调整：

# chown -R nobody /usr/local/var/ntop

2. 为 NTOP 管理员设置密码， NTOP 默认的管理员为 admin ，为安全起见，需要为其设置一个密码。另外，通过 web 页面修改 NTOP 设置或者关闭 NTOP 服务时，必须使用管理员用户名和密码进行验证：

# ntop -A

为用户 Admin 创建密码

然后启动 ntop

# ntop  -d -i eth0

notp 命令的使用：

 ntop -d 后台运行

  ntop -A 添加用户

  notp -i eth0,eth1 指定从哪个网卡收集数据

   notp -i eth0,eth1  -M 分开显示

   -w 设置端口号

   -W 基于加密的

   -B

   -r 刷新页面的间隔时间 -r 1  刷新时间为 1(s)

在浏览其中输入 http;//192.168.0.78;3000 然后就可以访问了

这就是主页面了，如果现在想激活一些监控的对象，可以悬在 Plugins ，把对应项给激活了，接下来的时候我就不多说了，自己装完后可以看看，挺好玩的，你试试吧！！

 

一、 安全考虑：

装完之后，我们没有做任何修改，直接启动了，但是这个时候任何人只要输入上面的网址，就会查看到监控的信息，所以可以左一系列的修改，来增强他的安全性；

方法一：

由于支持 tcp wrapper ，所以可以在 /etc/hosts.allow 和 /etc/hosts.deny 文件中进行修改

#vim /etc/hosts.allow

ntop:192.168.0.0/24

#vim /etc/hosts.deny

ntop:all

方法二：

修改配置文件的定义的默认值

[root@station78 ntop- 4.0.1 ]# cd packages/RedHat/

# cp ntop.conf.sample /etc/ntop.conf

# vim !$

在这里面你就可以通过修改端口号来防止他人登录了

--http-server 3000 // 默认值

方法三：

通过 iptables 防火墙进行设置

方法四：

结合 apache 来整合，通过 apache 的安全来实现 ntop 的安全，暂时保留，我将在后面的博客中进行展开讨论！

当然最新版本的 ntop 可以支持 google 地位，但是要 google 的一个 API 密钥，可以在 http://code.google.com/apis/maps/signup.htmp 注册生成。

 

界面英文的解释：

v      o About: 在线手册。
    o Summary : 目前网络的整体概况

v      Traffic : 流量  

v       Hosts : 所有主机使用概况

v      Network Load : 各时段的网络负载  

v      Netflows : 网络流量图。

v          o IP Summary : 各主机的流量状况与排名明细  

v      Traffic : 所有主机的流量明细  

v      Multicast : 多点传送情况。

v      Domain : 域名

v      Distribution : 通讯量状况  

v      Local >>Local 本地流量。

v      Local>>Remote : 所有主机对外的明细  

v      Remote>>Local : 

v      Remote>>Remote

v      o All Protocols : 查看各主机占用的频宽与各时段网络使用者等的明细  

v      Traffic : 流量。

v      Throughput : 频宽使用明细表 ( 点选主机 , 可以看到该主机详细的信息及使用状况 ) 

v       Activity : 各时段所有主机使用流量 ( 状况 ). ( 点选主机 , 可以看到该主机详细的信息及使用状况 )

v          o Local IP : 局域网络内各主机使用状况 . 

v      Routers : 路由器状况。

v      Ports Used : 端口使用情况。

v      Active TCP Sessions : 目前正在进行的联机 。

v      Host Fingerprint : 主机快照情况。

v      Host Characterization : 主机描述。

v      Local Matrix : 局域网络内各主机间的流量明细。

v          o FC : 光纤网络的状况  
    o SCSI : SCSI 设备状况  
    o Admin : 新增 ntop 使用者或重新启动 , 停止 ntop 。