OS : Centos6.4 x86_64
yum install zlib
yum install zlib-devel
yum install libpng
yum install libpng-devel
yum install libjpeg
yum install libjpeg-devel
yum install freetype
yum install freetype-devel
yum install gd
yum install libart_lgpl
yum install libart_lgpl-devel
yum install gdbm-devel
yum install gdbm-devel.i686
一、 安装软件
Libevent
# tar zxvf libevent-1.4.13-stable.tar.gz
# cd libevent-1.4.13-stable
# ./configure --prefix=/usr/local
# make && make install
Cgilib
# tar zxvf cgilib-0.5.tar.gz
# cd cgilib-0.5
# make
# cp libcgi.a /usr/lib
# cp cgi.h /usr/include
Rrdtool
# tar zxvf rrdtool-1.2.9.tar.gz
# cd rrdtool-1.2.9
# ./configure --prefix=/usr/local/rrdtool
# make;make install
GeoIp
-
tar xzf GeoIP-1.4.6.tar.gz
-
cd GeoIP-1.4.6
-
./configure --prefix=/usr/local/
-
make;make install
Ntop
# tar zxvf ntop-3.3.tar.gz
# cd ntop-3.3
# mkdir m4
# ./autogen.sh --prefix=/usr/local/ntop --with-rrd-home=/usr/local/
#cd path/ntop-3.3/GeoIP-1.4.6/libGeoIP/.libs/
ln -s . .libs 运行 make && make install
或者 ntop-4.1.0.tar.gz
#tar xzf ntop-4.1.0.tar.gz
#cd ntop-4.1.0
#./configure --prefix=/usr/local/ntop --with-rrd-home=/usr/local/rrdtool
#/usr/bin/gmake ;make install
# cp packages/RedHat/ntop.conf.sample /etc/ntop.conf
需要的一些依赖包,比如 ntop-4.1.0,GeoIP可以在 下载
二、 配置ntop运行环境
# groupadd ntop
# useradd ntop –g ntop
# mkdir /var/log/ntop //新建日志存放路径
# chown –R ntop.ntop /usr/local/ntop/share/ntop
# chown –R ntop.ntop /var/log/ntop
# cd /usr/local/ntop/bin
#./ntop –A //设置密码
# ntop -P /var/log/ntop/ -u nobody & //启动服务
//-P [directory]指定.db档存放路径
//-u [user]指定service启动user
设置开机自动启动:
# echo "ntop -p /var/log/ntop & 2>1 1> /dev/null" >> /etc/rc.d/rc.local
#/ntop/bin/ntop -u ntop --use-syslog=local6 -p /var/log/ntop & 2>1 1> /dev/null
#/usr/local/ntop/bin/ntop -d -u root -w 3000 --ipv4 -i eth1 -P /opt/ntop/
配置完成.
IP输入: 就OK 了.
参考:
日志提示如下错误,不知道是何缘故?
2009年12月14日 星期一 11时54分09秒 RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_HTTPBytes.rrd
2009年12月14日 星期一 11时54分09秒 **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒 RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_DNSBytes.rrd
2009年12月14日 星期一 11时54分09秒 **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒 RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_NBios-IPBytes.rrd
2009年12月14日 星期一 11时54分09秒 **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒 RRD: Failing file in graphCounter() is /usr/local//interfaces/eth0/IP_SSHBytes.rrd
2009年12月14日 星期一 11时54分09秒 **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
2009年12月14日 星期一 11时54分09秒 RRD: Failing file in graphSummary() is /usr/local//interfaces/eth0/IP_SNMPBytes.rrd
2009年12月14日 星期一 11时56分11秒 **ERROR** RRD: rrd_graph() call failed, rc -1, unknown option '--watermark'
问题解决了,是版本不兼容,原来的rrdtool版本过低,不支持部分函数功能.
old : rrdtool-1.2.9 & ntop-3.3.10
new : rrdtool-1.4.2 & ntop-3.3.10
重新编译rrdtool之前需要 yum install 安装 pango,pango-devel,cairo,cairo-devel,然后安装ntop
三、设置NTOP参数
[root@adsl ntop]# vi /etc/ntop.conf
修改两处,其它设定可以简单看一下
--interface eth0
--local-subnets 172.16.0.0/24
[root@adsl ntop]# ntop -A //设置ntop管理员密码。
[root@adsl ntop]# ntop -d -u ntop -w 3000 -i eth0
//-d表示作为守护进程在后台运行
//-u指定以nobody身份运行
//-w指定web监听端口(默认为3000),
//-i指定监听网卡。若使用非默认的数据库目录,则需使用“-P /other/dbdir”形式指出。
//各选项均可选使用,更多选项可使用“man ntop”查看
四、测试NTOP
在IE中输入 http://*.*.*.*:3000 ,应该可以看到ntop的主界面了
通过页面中的Admin链接能够对ntop进行管理,包括指定监听的网卡、添加ntop用户……等等。
通过页面中的Summary链接能够查看网络流量、各主机流量、网络负载等统计信息。
五、ntop的常用参数
-d : 放入后台执行。 常用
-L : 输出讯息写入系统记录文件。
-r : 设定页面的自动更新频率,预设每 3 秒更新一次. 。
-w : 使用其它端口 (预设是 3000) 。
-W : 同 -w , 不过这个是使用 SSL 联机 。
-u : 指定使用其它身份执行 。
-i : 指定 ntop 监听的网卡,"," 隔开多个网卡。
-M : 使用 -i 指定多张网卡时, 预设是合并统计.
六、网卡及路由交换设备的设置
1. 开启网卡的混杂模式
ifconfig eth1 promisc #开启
ifconfig eth1 -promisc #关闭
2.开启Cisco路由交换设备的SPAN功能或者叫做 端口镜像,比如dell m6248
ntop与snort这类网络监控软件,若是架设在hub下时便能监测到网络上所有的封包。但若是架设在switch环境下时,除非是开启SPAN的功能否则只能监测给自己的封包。
简单讲就是将连接到边界网关的交换机端口,镜像到连接ntop主机eth1网卡的交换机端口。
下面示范cisco switch设定SPAN的方式,其它厂牌的switch作法类似。
输入密码后进入
enable
模式(提示符号为#)
#conf t
(config)#interface fastEthernet 0/3
(config-if)#port monitor fastEthernet 0/4
(config-if)#port monitor fastEthernet 0/5
(config-if)#^Z
#write
#exit
Dell M6248交换机
Example #1: Set up a Port Mirroring Session
The following command sequence enables port mirroring and specifies a source and destination ports.
console#configure
console(config)#monitor session 1 mode
console(config)#monitor session 1 source interface 1/g7
rx Monitor ingress packets only.
tx Monitor egress packets only.
Press enter to execute the command.
console(config)#monitor session 1 source interface 1/g7
console(config)#monitor session 1 destination interface 1/g10
console(config)#exit
Example #2: Show the Port Mirroring Session
console#show monitor session 1
Session ID Admin Mode Probe Port Mirrored Port Type
---------- ---------- ---------- ------------- -----
1 Enable 1/g10 1/g7 Rx,Tx
七、ntop的页面说明
o About: 在线手册。
o Summary : 目前网络的整体概况
* Traffic : 流量
* Hosts : 所有主机使用概况
* Network Load : 各时段的网络负载
* Netflows : 网络流量图。
o IP Summary : 各主机的流量状况与排名明细
* Traffic : 所有主机的流量明细
* Multicast : 多点传送情况。
* Domain : 域名
* Distribution : 通讯量状况
* Local >>Local 本地流量。
* Local>>Remote : 所有主机对外的明细
* Remote>>Local :
* Remote>>Remote :
o All Protocols : 查看各主机占用的频宽与各时段网络使用者等的明细
* Traffic : 流量。
* Throughput : 频宽使用明细表 (点选主机,可以看到该主机详细的信息及使用状况)
* Activity : 各时段所有主机使用流量(状况). (点选主机,可以看到该主机详细的信息及使用状况)
o Local IP : 局域网络内各主机使用状况.
* Routers : 路由器状况。3.2版的ntop中已经好像没有这一项了
* Ports Used : 端口使用情况。
* Active TCP Sessions : 目前正在进行的联机 。
* Host Fingerprint : 主机快照情况。
* Host Characterization : 主机描述。
* Local Matrix : 局域网络内各主机间的流量明细。
o Media: 高级货,一般人用不到的东西
* Fibre Channel 光纤通道,企业级存储时使用的东西
o Utils 日志一类的东西
oPlugins 一些插件
ICMPWATCH:用于端口检测很多人都已经知道了可以借助NETSTAT -AN来查看当前的连接与开放的端口,但NETSTAT并不万能,比如你的Win2000遭到OOB攻击的时候,不等NETSTAT你就已经死机了。为此,出现了一种特殊的小工具——端口监听程序。端口监听并不是一项复杂的技术,但却能解决一些局部问题。
NetFlow:近年来,很多服务提供商一直使用NetFlow。因为 NetFlow在大型广域网环境里具有伸缩能力,可以帮助支持对等点上的最佳传输流,同时可以用来进行建立在单项服务基础之上的基础设施最优化评估,解决服务和安全问题方面所表现出来的价值,为服务计费提供基础。NetFlow是一种数据交换方式,其工作原理是:NetFlow利用标准的交换模式处理数据流的第一个IP包数据,生成NetFlow 缓存,随后同样的数据基于缓存信息在同一个数据流中进行传输,不再匹配相关的访问控制等策略,NetFlow缓存同时包含了随后数据流的统计信息。但是, NetFlow也不是万能的,比如它无法提供应用反应时间。
rrdPlugin:用于生成流量图。RRD的作者,也是MRTG的作者,RRD可以简单的说是MRTG的升级版,它比MRTG更灵活,更适合用shell、perl等程序来调用,成生所要的图片。
sFlow:sFlow(RFC 3176)是基于标准的最新网络导出协议,能够解决当前网络管理人员面临的很多问题。sFlow已经成为一项线速运行的“永远在线”技术,可以将 sFlow技术嵌入到网络路由器和交换机ASIC芯片中。与使用镜像端口、探针和旁路监测技术的传统网络监视解决方案相比,sFlow能够明显地降低实施费用,同时可以使面向每一个端口的全企业网络监视解决方案成为可能。与数据包采样技术(如RMON)不同,sFlow是一种导出格式,它增加了关于被监视数据包的更多信息,并使用嵌入到网络设备中的sFlow代理转发被采样数据包,因此在功能和性能上都超越了当前使用的RMON、RMON II和NetFlow技术。sFlow技术独特之处在于它能够在整个网络中,以连续实时的方式监视每一个端口,但不需要镜像监视端口,对整个网络性能的影响也非常小。
snmpPlugin:这个大家都知道,就不说了。
参考:
阅读(833) | 评论(0) | 转发(0) |