close

ntop安裝筆記

                                                多啦A2008/12/03             amon0626@gmail.com

install distroubuntu8.04 server LTS

 

ntop介紹:

ntop是一套流傳已久知名的網路監測分析軟體,以下對它的概念進行簡單的介紹


基本架構分成三個模組

3.jpg

 

Packet Sniffer收集網路上的Packet,再送給Packet Analyser去處理,再由Report Engine將處理分析後的資料呈現出來。

 

分別說明三個模組的功能如下:

1. Packet Sniffer

a. 為使NTOP的程式碼具有可攜性(portability)NTOP採用libpcap library,提供一致的Packet擷取介面及程式碼,不需依作業系統不同而需重新更改程式碼,同時利用libpcap對網路上的封包逐一加以擷取,交由Packet Analyser元件處理。

b. 可用於不同網路介面媒體,如PPPEthernetToken Ring,並且可依Filter條件來執行擷取Packet並過濾(Filtering)的功能。由於libpcap內建緩衝區不足,可能造成封包漏失的情形,ntop另利用gdbm實作第一層快取,SQL資料庫為第二層快取,避免在大量交通流量時,會形成Packet loss的情況發生。

2. Packet Analyser

a. Packet分析後,可依照結果來儲存各個host間交通流量相關資料,host的資料是採用hash table來儲存,記錄著hostMAC Address(因為IP Address在非IP網路中是沒有用的)。但是為防止hash tablehost數目過大而影響到整體的效能,所以,一旦有一段較長時間,host資料並未做更新時,Packet Analyser會將hash tablePacket無變化的host相關的資料刪除。

b. Caching的工作分成二個步驟

i. caching半永久的資料(IpAddress Resolution及遠端hosts所使用的作業系統(OS)

ii. 永久儲存使用SQL database(如網路事件及效能資料)Database資料的取用可採perljavaperl 使用perl DBI(DataBase interface)java使用java JDBC(java DataBase Connectivity)來連接DataBase

  c. 內部包含的Counter,分別是Protocol Traffic CountersIP Traffic CountersTCP/UDP Connections StatsActive TCP Connections ListPeers List。將可依不同的Packet,將流量資料放到不同Counter中。

d. 簡單說,Packet Analyser對於常見的通訊協定均具備辨識的功能,能對ntop所在的網路中,所有傳送及接收的封包,依據通訊協定的類別及傳送接收的主機,分別記錄其傳輸量及封包數

 

3.     Report Engine:目前具有二種模式

a. Interactive Mode:是以文字為基礎的terminal

b. Web-Mode:NTOP是一個Http Server的服務,遠端使用者可利用Web browser   看到分析過後的交通流量。

c. 為提供以後的延伸性,Report Engine完全是獨立出來的,所以如XML的標    示語言(Mark-up Language)都可以支援到。

 


ntop運作方式:

安裝NTOP的主機與網路相椄的方式可利用下列二種方式:

1. 使用hub相連。

4.jpg

2. 使用switch相連,則需將連接埠設定monitor的功能,如此switch才會另外將網路的資訊複製給NTOP監控。此方式需要設備支援(有網管功能可以設定的),如此一來抓取的資訊才會比較準確,須特別注意!!!

 


ntop on ubuntu8.04 server安裝步驟:

1. sudo apt-get update

2. sudo apt-get install ntop        //萬年不變的軟體安裝方法

3. sudo /etc/init.d/ntop start

如果出現以下訊息

           Starting network top daemon: ERR: interface eth1 is DOWN...

           Wed Dec  3 00:46:11 2008  NOTE: Interface merge enabled by default

           Wed Dec  3 00:46:11 2008  Initializing gdbm databases

           ntop not started. Read /usr/share/doc/ntop/README.Debian.

netstat –tuln                                -->觀察port的情況

沒有出現:3000listen port代表服務沒有順利啟動,先別著緊張,只不過是找不到預設的啟動介面,可以編輯/var/lib/ntop/init.cfg(ntop的設定檔)

sudo vim /var/lib/ntop/init.cfg

           USER="ntop"                              //執行ntopuser

           INTERFACES="eth1"             //改成你要listen的網路介面,大部分人是eth0

編輯完存檔離開

sudo /etc/init.d/ntop start           -->再重新啟動一次

netstat –tuln                               -->觀察port的情況,有listen 3000代表成功囉

4.      sudo ntop –A                         -->更改管理者密碼

5.      接著可以在瀏覽器裡打

   http://ip:3000

   連到你的ntop去觀察網路情況囉

 

P.S.  Admintag裡的功能會要求輸入管理者的帳號密碼

        帳號=admin

        密碼=剛剛第四步驟設定的密碼

 

arrow
arrow
    全站熱搜

    amon0626 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄