Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1734792
  • 博文数量: 391
  • 博客积分: 8464
  • 博客等级: 中将
  • 技术积分: 4589
  • 用 户 组: 普通用户
  • 注册时间: 2008-12-13 15:12
个人简介

狮子的雄心,骆驼的耐力,孩子的执著!

文章分类

全部博文(391)

文章存档

2023年(4)

2018年(9)

2017年(13)

2016年(18)

2014年(7)

2013年(29)

2012年(61)

2011年(49)

2010年(84)

2009年(95)

2008年(22)

分类: LINUX

2009-12-03 18:26:12

OS : Centos6.4 x86_64

yum install zlib
yum install zlib-devel
yum install libpng
yum install libpng-devel
yum install libjpeg
yum install libjpeg-devel
yum install freetype
yum install freetype-devel
yum install gd
yum install libart_lgpl
yum install libart_lgpl-devel
yum install gdbm-devel
yum install gdbm-devel.i686
 
一、 安装软件
Libevent
# tar zxvf libevent-1.4.13-stable.tar.gz    
# cd libevent-1.4.13-stable
# ./configure --prefix=/usr/local  
# make && make install 

Cgilib  
# tar zxvf cgilib-0.5.tar.gz    
# cd cgilib-0.5
# make  
# cp libcgi.a /usr/lib
# cp cgi.h /usr/include
 
Rrdtool
# tar zxvf rrdtool-1.2.9.tar.gz
# cd rrdtool-1.2.9
# ./configure --prefix=/usr/local/rrdtool
# make;make install

GeoIp

  1. tar xzf GeoIP-1.4.6.tar.gz
  2. cd GeoIP-1.4.6
  3. ./configure --prefix=/usr/local/
  4. make;make install
Ntop

# tar zxvf ntop-3.3.tar.gz
# cd ntop-3.3
# mkdir m4
# ./autogen.sh --prefix=/usr/local/ntop --with-rrd-home=/usr/local/
#cd path/ntop-3.3/GeoIP-1.4.6/libGeoIP/.libs/
ln -s . .libs 运行 make && make install

或者 ntop-4.1.0.tar.gz
#tar xzf ntop-4.1.0.tar.gz
#cd ntop-4.1.0
#./configure --prefix=/usr/local/ntop --with-rrd-home=/usr/local/rrdtool
#/usr/bin/gmake ;make install

# cp packages/RedHat/ntop.conf.sample /etc/ntop.conf


需要的一些依赖包,比如 ntop-4.1.0,GeoIP可以在 下载

二、 配置ntop运行环境
# groupadd ntop
# useradd ntop –g ntop
# mkdir /var/log/ntop  //新建日志存放路径
# chown –R ntop.ntop /usr/local/ntop/share/ntop  
# chown –R ntop.ntop /var/log/ntop
# cd /usr/local/ntop/bin
#./ntop –A     //设置密码  
#  ntop -P /var/log/ntop/ -u nobody &  //启动服务

//-P [directory]指定.db档存放路径
//-u [user]指定service启动user
设置开机自动启动:
#  echo "ntop -p /var/log/ntop & 2>1 1> /dev/null" >> /etc/rc.d/rc.local
#/ntop/bin/ntop -u ntop --use-syslog=local6 -p /var/log/ntop & 2>1 1> /dev/null
#/usr/local/ntop/bin/ntop -d -u root -w 3000 --ipv4 -i eth1 -P /opt/ntop/
配置完成.
IP输入:    就OK 了.
 
参考:
 
 
日志提示如下错误,不知道是何缘故?

2009年12月14日 星期一 11时54分09秒  RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_HTTPBytes.rrd
2009年12月14日 星期一 11时54分09秒  **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒  RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_DNSBytes.rrd
2009年12月14日 星期一 11时54分09秒  **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒  RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_NBios-IPBytes.rrd
2009年12月14日 星期一 11时54分09秒  **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒  RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_SSHBytes.rrd
2009年12月14日 星期一 11时54分09秒  **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒  RRD: Failing file in graphSummary() is /usr/local//interfaces/eth0/IP_SNMPBytes.rrd
2009年12月14日 星期一 11时56分11秒  **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
 
问题解决了,是版本不兼容,原来的rrdtool版本过低,不支持部分函数功能.
old : rrdtool-1.2.9 &  ntop-3.3.10
new : rrdtool-1.4.2 & ntop-3.3.10
重新编译rrdtool之前需要 yum install 安装 pango,pango-devel,cairo,cairo-devel,然后安装ntop
 
三、设置NTOP参数

[root@adsl ntop]# vi /etc/ntop.conf
修改两处,其它设定可以简单看一下
--interface eth0
--local-subnets 172.16.0.0/24

[root@adsl ntop]# ntop -A  //设置ntop管理员密码。
[root@adsl ntop]# ntop -d -u ntop -w 3000 -i eth0
//-d表示作为守护进程在后台运行
//-u指定以nobody身份运行
//-w指定web监听端口(默认为3000),
//-i指定监听网卡。若使用非默认的数据库目录,则需使用“-P /other/dbdir”形式指出。
//各选项均可选使用,更多选项可使用“man ntop”查看

四、测试NTOP
在IE中输入 http://*.*.*.*:3000 ,应该可以看到ntop的主界面了
通过页面中的Admin链接能够对ntop进行管理,包括指定监听的网卡、添加ntop用户……等等。
通过页面中的Summary链接能够查看网络流量、各主机流量、网络负载等统计信息。
五、ntop的常用参数

     -d : 放入后台执行。 常用
    -L : 输出讯息写入系统记录文件。
    -r : 设定页面的自动更新频率,预设每 3 秒更新一次. 。
    -w : 使用其它端口 (预设是 3000) 。
    -W : 同 -w , 不过这个是使用 SSL 联机 。
    -u : 指定使用其它身份执行 。
    -i : 指定 ntop 监听的网卡,"," 隔开多个网卡。
    -M : 使用 -i 指定多张网卡时, 预设是合并统计.

六、网卡及路由交换设备的设置
1. 开启网卡的混杂模式
ifconfig eth1 promisc   #开启
ifconfig eth1 -promisc  #关闭

2.开启Cisco路由交换设备的SPAN功能或者叫做 端口镜像,比如dell m6248
ntop与snort这类网络监控软件,若是架设在hub下时便能监测到网络上所有的封包。但若是架设在switch环境下时,除非是开启SPAN的功能否则只能监测给自己的封包。
简单讲就是将连接到边界网关的交换机端口,镜像到连接ntop主机eth1网卡的交换机端口。

下面示范cisco switch设定SPAN的方式,其它厂牌的switch作法类似。
输入密码后进入
enable
模式(提示符号为#)
#conf t
(config)#interface fastEthernet 0/3
(config-if)#port monitor fastEthernet 0/4
(config-if)#port monitor fastEthernet 0/5
(config-if)#^Z
#write
#exit


Dell M6248交换机
Example #1: Set up a Port Mirroring Session
The following command sequence enables port mirroring and specifies a source and destination ports.
console#configure
console(config)#monitor session 1 mode
console(config)#monitor session 1 source interface 1/g7
rx                       Monitor ingress packets only.
tx                       Monitor egress packets only.
                     Press enter to execute the command.
console(config)#monitor session 1 source interface 1/g7
console(config)#monitor session 1 destination interface 1/g10
console(config)#exit

Example #2: Show the Port Mirroring Session
console#show monitor session 1
Session ID   Admin Mode   Probe Port   Mirrored Port   Type
----------   ----------   ----------   -------------   -----
1            Enable       1/g10        1/g7            Rx,Tx


七、ntop的页面说明

o About: 在线手册。
o Summary : 目前网络的整体概况

    * Traffic : 流量
    * Hosts : 所有主机使用概况
    * Network Load : 各时段的网络负载
    * Netflows : 网络流量图。

o IP Summary : 各主机的流量状况与排名明细

    * Traffic : 所有主机的流量明细
    * Multicast : 多点传送情况。
    * Domain : 域名
    * Distribution : 通讯量状况
    * Local >>Local 本地流量。
    * Local>>Remote : 所有主机对外的明细
    * Remote>>Local :
    * Remote>>Remote :

o All Protocols : 查看各主机占用的频宽与各时段网络使用者等的明细

    * Traffic : 流量。
    * Throughput : 频宽使用明细表 (点选主机,可以看到该主机详细的信息及使用状况)
    * Activity : 各时段所有主机使用流量(状况). (点选主机,可以看到该主机详细的信息及使用状况)

o Local IP : 局域网络内各主机使用状况.

    * Routers : 路由器状况。3.2版的ntop中已经好像没有这一项了
    * Ports Used : 端口使用情况。
    * Active TCP Sessions : 目前正在进行的联机 。
    * Host Fingerprint : 主机快照情况。
    * Host Characterization : 主机描述。
    * Local Matrix : 局域网络内各主机间的流量明细。

o Media: 高级货,一般人用不到的东西

    *  Fibre Channel  光纤通道,企业级存储时使用的东西

o Utils 日志一类的东西

oPlugins 一些插件

ICMPWATCH:用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口,但NETSTAT并不万能,比如你的Win2000遭到OOB攻击的时候,不等NETSTAT你就已经死机了。为此,出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术,但却能解决一些局部问题。

NetFlow:近年来,很多服务提供商一直使用NetFlow。因为 NetFlow在大型广域网环境里具有伸缩能力,可以帮助支持对等点上的最佳传输流,同时可以用来进行建立在单项服务基础之上的基础设施最优化评估,解决服务和安全问题方面所表现出来的价值,为服务计费提供基础。NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。但是, NetFlow也不是万能的,比如它无法提供应用反应时间。

rrdPlugin:用于生成流量图。RRD的作者,也是MRTG的作者,RRD可以简单的说是MRTG的升级版,它比MRTG更灵活,更适合用shell、perl等程序来调用,成生所要的图片。
sFlow:sFlow(RFC 3176)是基于标准的最新网络导出协议,能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术,可以将 sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术(如RMON)不同,sFlow是一种导出格式,它增加了关于被监视数据包的更多信息,并使用嵌入到网络设备中的sFlow代理转发被采样数据包,因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中,以连续实时的方式监视每一个端口,但不需要镜像监视端口,对整个网络性能的影响也非常小。

snmpPlugin:这个大家都知道,就不说了。
 
参考:
阅读(826) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~