【简 介】
　　MRTG（Multi Router Traffic Grapher）是一个跨平台的监控网络链路流量负载的工具软件，目前它可以运行在大多数Unix系统和Windows NT之上。它通过snmp协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户，以非常直观的形式显示流量负载。

 

 

 

 

MRTG（Multi Router Traffic Grapher）是一个跨平台的监控网络链路流量负载的工具软件，目前它可以运行在大多数Unix系统和Windows NT之上。它通过snmp协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户，以非常直观的形式显示流量负载。

　　或许你还不知道，MRTG还是一个有效的入侵检测工具。大家都知道，入侵者扫描与破坏后都能生成一些异常的网络流量，而人们在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息，以备管理员参考。

　　一，攻击行为对服务器造成的信息　

　　1，攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时，HTTP 404 Not Found errors的记录会增长。

　　2，攻击者尝试暴力破解服务器上的帐户，HTTP 401 Authorization Required errors 的记录会增长。

　　3，一种新的蠕虫出现，某一个特定的协议的流量会增长。
　　

　　4，蠕虫通过傀儡主机，攻击其他的服务器，出外的流量增加，并增大CPU的负荷。

　　5，入侵者尝试SQL injection攻击，HTTP 500 Server Errors记录会增长。

　　6，垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件，会造成SMTP的和DNS lookups流量大增，同时造成CPU负荷增大。

　　7，攻击者进行DDOS攻击，会造成ICMP流量，TCP连接，虚假的IP，多播广播流量大增。造成浪费大量的带宽。

　　看完上面的，我们可以总结出，攻击者要入侵必须会影响到服务器的这些资源：: CPU, RAM,磁盘空间，网络连接和带宽。入侵者还有可能对服务器建立进程后门，开放端口，他们还对他们的入侵行为进行伪装掩盖，避免遭到入侵检测系统的监视。

　　二，攻击者使用以下的方法避免被检测到：　　

　　 1，探测扫描很长时间后，才进行真正的入侵进攻。　　

　　 2，从多个主机进行攻击，避免单一的主机记录。　　

　　 3，尽量避免入侵造成的CPU, RAM和驱动器的负荷。　　

　　 4，利用管理员无人职守时入侵，在周末或者节假日发起攻击。　　

　　 三，对于IIS 6，我们需要监视的是　　

　　 1，网络流量，包括带宽，数据包，连接的数量等。　　

　　 2，网络协议的异常错误。　　

　　 3，网站的内外流量，包括用户的权限设置，外部请求的错误流量等。　　

　　 4，线程和进程。　　

　　 四，在Windows 2003下安装MRTG 　　

　　在使用MRTG之前，你需要在你的服务器里安装SNMP 服务。具体步骤如下：从控制面板中选择添加/删除程序，点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议，即可安装。

 

   MRTG（Multi Router Traffic Grapher）是一个跨平台的监控网络链路流量负载的工具软件，目前它可以运行在大多数Unix系统和Windows NT之上。它通过snmp协议从设备得到设备的流量信息，并将流量负载以包含PNG格式的图形的HTML 文档方式显示给用户，以非常直观的形式显示流量负载。

　　或许你还不知道，MRTG还是一个有效的入侵检测工具。大家都知道，入侵者扫描与破坏后都能生成一些异常的网络流量，而人们在一般情况下是意识不到的。但是MRTG却能通过图形化的形式给管理员提供入侵的信息。并可以查出数周之前的入侵信息，以备管理员参考。

　　一，攻击行为对服务器造成的信息　

　　1，攻击者使用CGI漏洞扫描器对潜在的CGI漏洞脚本进行扫描时，HTTP 404 Not Found errors的记录会增长。

　　2，攻击者尝试暴力破解服务器上的帐户，HTTP 401 Authorization Required errors 的记录会增长。

　　3，一种新的蠕虫出现，某一个特定的协议的流量会增长。
　　

　　4，蠕虫通过傀儡主机，攻击其他的服务器，出外的流量增加，并增大CPU的负荷。

　　5，入侵者尝试SQL injection攻击，HTTP 500 Server Errors记录会增长。

　　6，垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件，会造成SMTP的和DNS lookups流量大增，同时造成CPU负荷增大。

　　7，攻击者进行DDOS攻击，会造成ICMP流量，TCP连接，虚假的IP，多播广播流量大增。造成浪费大量的带宽。

　　看完上面的，我们可以总结出，攻击者要入侵必须会影响到服务器的这些资源：: CPU, RAM,磁盘空间，网络连接和带宽。入侵者还有可能对服务器建立进程后门，开放端口，他们还对他们的入侵行为进行伪装掩盖，避免遭到入侵检测系统的监视。

　　二，攻击者使用以下的方法避免被检测到：　　

　　 1，探测扫描很长时间后，才进行真正的入侵进攻。　　

　　 2，从多个主机进行攻击，避免单一的主机记录。　　

　　 3，尽量避免入侵造成的CPU, RAM和驱动器的负荷。　　

　　 4，利用管理员无人职守时入侵，在周末或者节假日发起攻击。　　

　　 三，对于IIS 6，我们需要监视的是　　

　　 1，网络流量，包括带宽，数据包，连接的数量等。　　

　　 2，网络协议的异常错误。　　

　　 3，网站的内外流量，包括用户的权限设置，外部请求的错误流量等。　　

　　 4，线程和进程。　　

　　 四，在Windows 2003下安装MRTG 　　

　　在使用MRTG之前，你需要在你的服务器里安装SNMP 服务。具体步骤如下：从控制面板中选择添加/删除程序，点击添加和删除windows组件。管理和监视工具中的详细资料里就可以找到简单网络管理协议，即可安装。

 

   Next　　

　　WScript.Echo Param1

　　WScript.Echo Param2

　　WScript.Echo Uptime & " seconds"

　　WScript.Echo "LocalHost"　

　　Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file: 　　

　　@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k

　　@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log

　　@If Exist %logfile% (

　　 @logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 400AND sc-status<500)

　　 AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q

　　 @logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 500AND sc-status<600)

　　 AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q

　　) ELSE (

　　 @Echo %logfile%

　　 @Echo 0

　　)

　　@Echo Unknown

　　@Echo %1
　　

　　 因为微软的日志记录工具也非常强大，和MRTG的计数器配合使用，在加上免费的入侵检测系统Snort，效果会更好。

　　六，最后　

　　在你自定义的完你的计数器完成之后，通过图行化的状况就可以轻易的找出入侵者。可以在网站http：//snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。

 

引用：http://www.enet.com.cn/article/2006/1115/A20061115290645_3.shtml