ntop安裝筆記
多啦A夢2008/12/03 amon0626@gmail.com
install distro:ubuntu8.04 server LTS
ntop介紹:
ntop是一套流傳已久知名的網路監測分析軟體,以下對它的概念進行簡單的介紹
基本架構分成三個模組:
由Packet Sniffer收集網路上的Packet,再送給Packet Analyser去處理,再由Report Engine將處理分析後的資料呈現出來。
分別說明三個模組的功能如下:
1. Packet Sniffer
a. 為使NTOP的程式碼具有可攜性(portability),NTOP採用libpcap library,提供一致的Packet擷取介面及程式碼,不需依作業系統不同而需重新更改程式碼,同時利用libpcap對網路上的封包逐一加以擷取,交由Packet Analyser元件處理。
b. 可用於不同網路介面媒體,如PPP、Ethernet、Token Ring,並且可依Filter條件來執行擷取Packet並過濾(Filtering)的功能。由於libpcap內建緩衝區不足,可能造成封包漏失的情形,ntop另利用gdbm實作第一層快取,SQL資料庫為第二層快取,避免在大量交通流量時,會形成Packet loss的情況發生。
2. Packet Analyser
a. Packet分析後,可依照結果來儲存各個host間交通流量相關資料,host的資料是採用hash table來儲存,記錄著host的MAC Address(因為IP Address在非IP網路中是沒有用的)。但是為防止hash table內host數目過大而影響到整體的效能,所以,一旦有一段較長時間,host資料並未做更新時,Packet Analyser會將hash table內Packet無變化的host相關的資料刪除。
b. Caching的工作分成二個步驟
i. caching半永久的資料(如IpAddress Resolution及遠端hosts所使用的作業系統(OS)。
ii. 永久儲存使用SQL database(如網路事件及效能資料)。Database資料的取用可採perl或java,perl 使用perl DBI(DataBase interface)而java使用java JDBC(java DataBase Connectivity)來連接DataBase。
c. 內部包含的Counter,分別是Protocol Traffic Counters、IP Traffic Counters、TCP/UDP Connections Stats、Active TCP Connections List、Peers List。將可依不同的Packet,將流量資料放到不同Counter中。
d. 簡單說,Packet Analyser對於常見的通訊協定均具備辨識的功能,能對ntop所在的網路中,所有傳送及接收的封包,依據通訊協定的類別及傳送接收的主機,分別記錄其傳輸量及封包數
3. Report Engine:目前具有二種模式
a. Interactive Mode:是以文字為基礎的terminal。
b. Web-Mode:NTOP是一個Http Server的服務,遠端使用者可利用Web browser 看到分析過後的交通流量。
c. 為提供以後的延伸性,Report Engine完全是獨立出來的,所以如XML的標 示語言(Mark-up Language)都可以支援到。
ntop運作方式:
安裝NTOP的主機與網路相椄的方式可利用下列二種方式:
1. 使用hub相連。
2. 使用switch相連,則需將連接埠設定monitor的功能,如此switch才會另外將網路的資訊複製給NTOP監控。此方式需要設備支援(有網管功能可以設定的),如此一來抓取的資訊才會比較準確,須特別注意!!!
ntop on ubuntu8.04 server安裝步驟:
1. sudo apt-get update
2. sudo apt-get install ntop //萬年不變的軟體安裝方法
3. sudo /etc/init.d/ntop start
如果出現以下訊息
Starting network top daemon: ERR: interface eth1 is DOWN...
Wed Dec 3 00:46:11 2008 NOTE: Interface merge enabled by default
Wed Dec 3 00:46:11 2008 Initializing gdbm databases
ntop not started. Read /usr/share/doc/ntop/README.Debian.
netstat –tuln -->觀察port的情況
沒有出現:3000的listen port代表服務沒有順利啟動,先別著緊張,只不過是找不到預設的啟動介面,可以編輯/var/lib/ntop/init.cfg(ntop的設定檔)
sudo vim /var/lib/ntop/init.cfg
USER="ntop" //執行ntop的user
INTERFACES="eth1" //改成你要listen的網路介面,大部分人是eth0
編輯完存檔離開
sudo /etc/init.d/ntop start -->再重新啟動一次
netstat –tuln -->觀察port的情況,有listen 3000代表成功囉
4. sudo ntop –A -->更改管理者密碼
5. 接著可以在瀏覽器裡打
連到你的ntop去觀察網路情況囉
P.S. 在Admin的tag裡的功能會要求輸入管理者的帳號密碼
帳號=admin
密碼=剛剛第四步驟設定的密碼
留言列表