1. 【】中的内容表示选项。

2. 文档中插入图片编号格式：章-节-顺序号。如3-2-3表示第三章第二节第三幅图。

3. 手册编写中使用“→”表示菜单项之间的层次关系，如【Summary】→【host】表示Summry下的host项。

4. ntop即支持linux操作系统也支持windows操作系统，目前win32平台还只有demo版本，只能捕捉2000个包，本文是基于linux平台下centos5.3版本介绍的，nprobe+ntop实现。使用源代码编译安装的方式。

本手册详细的介绍了ntop在linux中的安装、配置、及结合nprobe的使用和网络流量分析方法。主要供网络管理员和对网络流量比较感兴趣的用户所使用，在第一章中对ntop的功能做了简单介绍；在第二章中主要讲解ntop在linux下的安装方法及基本配置。第三章中主要讲解ntop在linux下对网络流量统计信息的分析方法。

ntop简介

Ntop是一种监控网络流量工具，用ntop显示网络的使用情况比其他一些网络管理软件更加直观、详细。ntop甚至可以列出每个节点计算机的网络带宽利用率。他是一个灵活的、功能齐全的，用来监控和解决局域网问题的工具；尤其当ntop与nprobe配合使用，其功能更加显著。它同时提供命令行输入和web页面，可应用于嵌入式web服务。

Ntop主要提供以下一些功能：
◆ 自动从网络中识别有用的信息；
◆ 将截获的数据包转换成易于识别的格式；
◆ 对网络环境中通信失败的情况进行分析；
◆ 探测网络环境中的通信瓶颈；
◆ 记录网络通信的时间和过程。

它可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息，网管员可以对故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。

在windows xp系统下的安装：

在ntop 官网（）上下载支持windows的demo版本。在上可直接双击安装ntop-3.3-demo.exe文件，最后会一起安装 4.0。安装以后，在服务里面把ntop服务打开（重启也可以），然后就可以用浏览器访问端口即可。帮助可以到安装目录里面运行：ntop /h

在linux下的安装：

在ntop官网（）下载linux下最新的ntop版本（ntop-3.3.10.tar.gz）。

安装位置：cp到所以安装的目录；

解压：tar xxzvf ntop-3.3.10.tar.gz

安装相关软件：yum install gcc gcc-c++ make libpcap libpcap-devel gdbm-devel libgd-devel libpng-devel libtool libtool-libs rrdtool rrdtool-devel（此处需要注意：首先要在【系统】→【管理】下安装mysql软件，其次最新版ntop需要安装libevent-1.4.x.tar.gz以上版本软件。）

Cd到ntop-3.3.10目录。

运行：./autogen.sh

运行：./configure

运行：make

运行：make install

添加用户：useradd -M -s /sbin/nologin -r ntop

设置用户权限：chown ntop:root /usr/local/var/ntop/

设置用户权限：chown ntop:ntop /usr/local/share/ntop/

设置密码：ntop –A

Ntop做为守护进程运行：/usr/local/bin/ntop -d -L -u ntop -P /usr/local/var/ntop --skip-version-check --use-syslog=daemon

查看统计信息：在浏览器地址 栏输入。

2.3 ntop在linux下的参数配置

选项介绍

（1）.【About】选项，该选项主要对ntop做以简单介绍

l 【What is ntop？】；

l 【Credits】；【Make a Donation】；

l 【Ntop World】→【ntop-based Solution】；

l 【Online Documentation】→【Man Page】；

l 【Show Configuration】

l 【Report a Problem】

（2）.【Summary】选项，该选项对所有主机流量信息统计，包含如下选项：

l 【Traffic】

l 【Host】

l 【Network load】

l 【Hosts World Map】

l 【Network Flows】

（3）.【All Protocols】选项，统计所有协议类型的流量信息。

l 【Traffic】

l 【Throughput】

l 【Activity】

（4）.【IP】选项。分析TCP/IP谢了流量。

l 【Summary】→【Traffic】

l 【Summary】→【Multicast】

l 【Summary】→【Internet Domain】

l 【Summary】→【Networks】

l 【Summary】→【ASs】

l 【Summary】→【Hostclusters】

l 【Summary】→【Distribution】

l 【Traffic Directions】→【Local to Local 】

l 【Traffic Directions】→【Local to Remote】

l 【Traffic Directions】→【Remote to local】

l 【Traffic Directions】→【Remote to Remote】

l 【local】→【Ports used】

l 【local】→【Active TCP/UDP sessions】

l 【local】→【Host Fingeflag】

l 【local】→【Host Characterization】

l 【local】→【Local Matrix】

（5）.【Utils】选项，对一些ntop信息日志的处理。

l 【Data Dump】

l 【View Log】

（6）.【Plugins】选项，对一些自定义规则流的统计分析。包含如下选项：

l 【cPacket】

l 【Last Host Seen】

l 【ICMP Watch】

l 【NetFlow】

l 【PDA】

l 【Remote】

l 【Round Robin Databases】

l 【sFlow】

l 【All】

（7）.【Admin】选项；该选项主要是用于切换网卡接口，以ntop用户身份配置和管理ntop。

l 【Switch NIC】

l 【Configure】→【Startup】

l 【Configure】→【Preferences】

l 【Configure】→【Packet Filter】

l 【Configure】→【Reset Stats】

l 【Configure】→【Web Users】

l 【Configure】→【Protect URLs】

l 【Shutdown】

选项具体分析介绍

（1）.【About】选项具体分析：

【What is ntop？】	关于ntop的简单介绍
【Credits】	介绍ntop的由来
【Make a Donation】	如何拥有ntop
【Ntop World】→【ntop-based Solution】
【Ntop World】→【Online Documentation】
【Online Documentation】 →【Man Page】	显示ntop主界面。
【Online Documentation】→【Help】	获得ntop帮助信息
【Online Documentation】 →【FAQ】	ntop的常见问题解答
【Online Documentation】 →【Risk flags】	ntop报告一些带标志的信息
【Show Configuration】	显示ntop的参数配置信息及运行时的配置信息。
【Report a Problem】	发送ntop错误信息的报告格式。

（2） 【Summary】选项分析介绍

【Traffic】	显示全局流量统计，包括活动接口流量统计，全局协议分布，TCP/UDP协议分布及TCP/UDP端口流量分布统计。
【Host】	显示所有可见主机信息，
【Network load】	网络负载统计，显示10分钟，一小时，一天甚至一个月的流量统计。
【Hosts World Map】	显示世界各地主机分布图
【Network Flows】	列出用户定义的流的规则信息

【Summary】→【Traffic 】：图示如3-2-1，3-2-2，3-2-3，3-2-4。在这个选项页面中统计了可用网卡接口信息，目前监控网卡接口监听网络流量信息，对packets进行了详细分析，也对Traffic的生存期也进行了详细分析，以及对某些协议流量进行了分析统计。

图3-2-1

【Summary】→【Traffic 】：对监听的网卡接口所捕获的packets进行分析如图3-2-2

图3-2-2

【Summary】→【Traffic 】：对监听网卡接口中的Traffic的生存时间分析如图3-2-3

图3-2-3

【Summary】→【Traffic 】：所有TCP/UDP协议分布如图3-2-4，该图对网络的一些协议类型的流量进行了统计分析.

图3-2-4

：列出了所有可见主机的流量信息，可以用Tytes统计，也可以用packets统计分析，要了解其详细信息，只需点击对应的Host便可查看，如图3-2-5

图3-2-5

【Summary】→【Network load Statistices】：该项可以查看最近10分钟，一小时，一天，一个月的网络流量统计，如图3-2-6

图3-2-6

【Summary】→【Hosts World Map】：通过goolge地图，可以搜索主机的分布位置(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),例如图3-2-7

图3-2-7

【Summary】→【Network Flows】：此处是统计一些按用户定义的流规则统计的流信息，如图3-2-8

图3-2-8

（3）.【All Protocols】选项

【Traffic】	列出每个可见主机的流量信息
【Throughput】	显示网络吞吐量
【Activity】	显示可见主机每小时的流量

【All Protocols】→【Traffic】：该页面统计了所以可见主机的网络流量信息可查看分布位置，是DNS、HTTP或路由器DHCP等，包含TCP，UDP，ICMP和一些其他协议，要查看具体某个主机的流量信息，只需点击对应的Host项即可查看，如图3-2-9

图3-2-9

【All Protocols】→【Throughput】：列出可见主机的吞吐量，。查看具体某个主机可点击对应的Host选项，如图3-2-10

图3-2-10

【All Protocols】→【activity】：列出了当前网络中主机的流量（24小时中每小时的流量状态），可以按发送来查看，也可以按接收来查看，默认是统计所有的信息，如图3-2-11

图3-2-11

（4）. 【Ip】选项

【Summary】→【Traffic】
【Summary】→【Multicast】	多播信息
【Summary】→【Internet Domain】	对互联网域的流量统计
【Summary】→【Networks】	显示所有网络的
【Summary】→【ASs】	BGP自治域统计的TCP/IP及ICMP信息
【Summary】→【Hostclusters】	显示之前定义的主机群信息
【Summary】→【Distribution】	显示流量分布
【Traffic Directions】→【Local to Local 】	本地到本地的流量
【Traffic Directions】→【Local to Remote】	本地到远端的流量
【Traffic Directions】→【Remote to local】	远端到本地的流量
【Traffic Directions】→【Remote to Remote】	远端到远端的流量
【local】→【Ports used】	本地使用的端口
【local】→【Active TCP/UDP sessions】
【local】→【Host Fingeflag】
【local】→【Host Characterization】	主机类型及运行的服务
【local】→【Local Matrix】	本地主机信息交换矩阵图

【Summary】→【Traffic】：每个可见主机的TCP/IP流量统计，列出各个主机的FTP，HTTP，DNS等一些应用层协议流量，可以在Host下选择所需要查看的对应相信主机信息，图3-2-12

图3-2-12

【Summary】→【Internet Domain】：列出所有域的TCP/IP及ICMP信息，

图3-2-13

【Summary】→【Networks】：显示网络中TCP/IP及ICMP的信息，本网络是192.168.2361.0/24，(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),例如图3-2-14

图3-2-14

【Summary】→【ASs】：显示所有域中的TCP/IP及ICMP流量信息，(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本没有),

图3-2-15

【Summary】→【Distribution】：IP协议流量分布，有本地到本地的，本地到远端的，远端到本地的和远端到远端的，图3-2-16

图3-2-16

【Traffic Directions】→【Local to Local 】：显示本地到本地的IP流量统计图3-2-17

图3-2-17

【Traffic Directions】→【Local to Remote】：本地到远端的IP流量统计，图3-2-18

图3-2-18

【Traffic Directions】→【Remote to local】：远端到本地的IP流量统计，

图3-2-19

【local】→【Ports used】：本地的TCP/UDP协议使用端口等信息，图3-2-20

图3-2-20

（5）.【Utils】选项

【Data Dump】	转存ntop的统计信息，可以用txt，html等格式
【View Log】	流量ntop的日志

【Data Dump】：ntop可以把Hosts，Hosts Matrix等信息存于txt或html等其他格式，(NTOP-3.3以上版本才有此选项功能,我使用NTIP-3.2的版本却显示空白,),例如1

图3-2-21

【View Log】：图3-2-22

图3-22

（6）.【Plugins】选项

【cPacket】	统计cPacket cTap捕获的流量信息
【Last Host Seen】	该插件生成从各主机发出的最后一个包的报告
【ICMP Watch】	ICMP信息统计
【NetFlow】	Ntop对收集netflow的配置及统计信息
【PDA】	用WAP从PDAs配置访问ntop
【Remote】	此插件允许远程应用程序访问ntop数据信息
【Round Robin Databases】	RRD的配置及统计信息
【sFlow】	sFlow一些相关信息
【All】	显示各种插件是否激活等

【Plugins】→【NetFlow】→【Statistics】：在对netflow配置后，可以统计Netflow的详细信息，包括netflow的格式、数量及端口的流量的统计，(我的没有配置,借用他人的图),如图

3-2-24

【Plugins】→【Round Robin Databases】→【Statistics】：对RRD数据信息的统计，(我的没有配置,借用他人的图),图3-2-25

图3-2-25

（7）. 【Admin】选项

【Switch NIC】	切换网卡接口
【Configure】→【Startup】	配置ntop以何种方式启动
【Configure】→【】	一个ntop参数设置页面选项
【Configure】→【Packet Filter】	设置过滤表达式
【Configure】→【Reset Stats】	清空ntop在内存中的信息，重新统计
【Configure】→【Web Users】	Ntop使用用户及密码
【Configure】→【Protect URLs】	配置用户访问ntop的网页
【Shutdown】	关闭ntop程序

【Admin】→【Configure】→【Startup】：ntop的一些配置信息，这里可修改监控的网卡等其他选项同,图3-2-26

图3-2-26

【Admin】→【Configure】→【Preferences】：编辑ntop首选项信息，

图3-2-27