ネットワークトラフィックは、ネットワークの運用状況を反映し、実際のネットワークでは、ネットワークトラフィックがうまく制御されていないか、またはネットワークが混雑している場合、ネットワークスループットの低下、ネットワークパフォーマンスの低下につながる、ネットワークの動作が正常であるかどうかを判断するための重要なデータです。トラフィックの測定だけでなく、ネットワーク機器の正常な動作を反映するだけでなく、管理者がネットワークの障害や関連するビジネス展開の運用状況に応じて、ネットワークのパフォーマンスを向上させるためにタイムリーな是正措置を取ることができるように、ネットワーク全体の運用のリソースのボトルネックを反映しています。ネットワークのトラフィックの監視と分析は、ネットワークトラフィックのベンチマークを確立することができます接続セッションの数の追跡、ソース/宛先アドレスのペアの分析、TCPフローの分析などを通じて、タイムリーにネットワーク内の異常なトラフィックを検出するために、リアルタイムの警告は、ネットワークのセキュリティを保護するように。このセクションで紹介するNtopは、ネットワークトラフィックの詳細な内訳を提供することができます。
1.Ntopの紹介
Ntopは、ネットワークトラフィックを監視するためのツールです。NTOPでネットワークの使用状況を表示すると、他のネットワーク管理ソフトウェアよりも直感的で詳細です。
2.Ntopの主な機能
Ntopは、以下の主な機能を提供します:
1. .ウェブから有用な情報を自動的に識別 .
2. .傍受したパケットを認識しやすい形式に変換します。
3. .ネットワーク環境における通信障害の分析 .
④.ネットワーク環境の通信ボトルネックを検出し、ネットワーク通信の時間とプロセスを記録します。
Ntopは、ネットワークトラフィックを解析して、ネットワーク上の様々な問題の有無を判定したり、ハッカーがネットワークシステムを攻撃しているかどうかを判定したりすることができます。また、特定のネットワークプロトコル、大量の帯域幅を使用しているホスト、各通信のターゲットホスト、パケットの送信時間、パケット配信の遅延などの詳細情報を簡単に表示することができます。
3.Ntopがサポートするプロトコル
NtopはMRTGよりもインストールが簡単で、携帯電話の請求書をトラフィックに例えるなら、MRTGは電話料金の総額を提供するようなもので、Ntopは各費用の詳細をリストアップするようなものです。現在市販されているマネージドスイッチやルーターはSNMPをサポートしており、NtopはSimple Network Management Protocolをサポートしているため、ネットワークトラフィックを監視することができます。 Ntopは、TCP/UDP/ICMP、ARP、IPX、Telnet、DLC、Decnet、DHCP-BOOTP、AppleTalk、Netbaseなど、ネットワーク上のほぼすべてのプロトコルを監視することができます、AppleTalk, Netbios, TCP/UDP, FTP, HTTP, //,,,,,,,,,,,,,,,,,,,,SHと2P技術に基づくプロトコルアイ。
4.Ntopサポートプラグイン
1.ICMPWATCH:
ポート検出のために多くの人々はすでにあなたが現在の接続と開いているポートを表示するには、NETSTAT - ANを使用することができますが、NETSTATは、Win2000のようなOOB攻撃は、NETSTATを待っていない死んでいたような、確実ではありません知っています。ポートリスニングプログラム - このため、特別なガジェットがあります。ポートリスニングは、複雑な技術ではありませんが、いくつかのローカルの問題を解決することができます。
2.NetFlow:
近年、多くのサービスプロバイダーが NetFlow を使用しています。その理由は、大規模な WAN 環境で拡張できること、ピアリングポイントで最適なトランスポートフローをサポートできること、単一サービスベースで構築されたインフラ最適化評価を実行するために使用できること、実証されたサービス価値やセキュリティ問題に対処できること、サービス課金の基盤を提供できること、などです。
3.rrdPlugin:
RRDの作者はMRTGの作者でもあり、RRDはMRTGのアップグレード版とも言えます。
sFlow:
sFlow (RFC 3176) は、今日のネットワーク管理者が直面する多くの問題を解決する最新の標準ベースのネットワークエクスポートプロトコルです。sFlow は、ワイヤスピードで動作し、ネットワークルータやスイッチの ASIC チップに組み込むことができる「常時接続」技術となっています。イメージ・ポート、プローブ、バイパス・モニタリング技術を使用する従来のネットワーク・モニタリング・ソリューションと比較して、sFlow は導入コストを大幅に削減すると同時に、すべてのポートに対して企業規模のネットワーク・モニタリング・ソリューションを実現します。パケットサンプリングとは異なり、sFlow は、監視対象のパケットに関するより多くの情報を追加し、ネットワークデバイスに組み込まれた sFlow エージェントを使用してサンプリングされたパケットを転送するエクスポートフォーマットであるため、現在使用されている RMON、RMON II、NetFlow テクノロジーを機能性とパフォーマンスの面で凌駕します。sFlow テクノロジーのユニークな特徴は、イメージ監視ポートを必要とせず、ネットワーク全体のパフォーマンスへの影響を最小限に抑えながら、ネットワーク内のすべてのポートを継続的かつリアルタイムに監視できることです。
さらに Ntop では、NFS や NetBIOS プラグインなど、特定のプロトコルの特定の統計に関するレポートを提供するプラグインをインストールすることができます。もちろん、Ntop はそれを実行しているホストに関する統計も生成でき、各プロセスのオープンソケット、送受信データ、関連するホストペアを一覧表示します。
II.Ntopシステムの展開
共有ネットワークの場合、共有ネットワークに接続されたトラフィック収集ポイントのネットワーク・インタフェースをプロミスキャス動作モードに設定するだけで、ネットワーク・トラフィック・データの収集機能を実現できます。交換ネットワークと比較すると、ネットワークが混雑している場合、ハブネットワークの信頼性は非常に低く、SNMPの問合せコマンドや応答パケットが遅延したり、消失したりすることがあり、その場合、Ntopの検出データが不正確になるため、交換ネットワークの場合は、交換装置のサポートが必要です。トラフィック収集ホストがスイッチング・デバイスのポートに接続された後、分析されるすべてのトラフィックはスイッチの SPAN to port を通してその収集ポイントにイメージされます。このため、トラフィック異常監視システムは非常に柔軟性に富んでいます。大規模なトラフィックが発生する企業では、通常2つのNICが使用されます。1つのNICはNtop専用のスニファNICとして使用され、コアスイッチのImageポートに接続され、もう1つのNICはIPアドレスを備え、対応するポートを開き、管理用のWebインターフェイスにログインするためにスイッチに接続されます。
Ntopは独自のパケットトラッピングツールを持たず、外部のパケットトラッピングライブラリであるlibpcapを必要とします。 Ntopはlibpcapを使用して物理リンクから独立してパケットをトラップし、libpcapのプラットフォームを使用することで、真にプラットフォームに依存しないアプリケーションにすることができます。NICから直接パケットをキャプチャするタスクはlibpcapが引き受けるため、libpcapがLinuxシステムに正しくインストールされていることを確認することが重要です。
Ntopのインストールと設定
Ntopはzlib、gd、libpcap、libpngの機能を使用する必要があるため、インストールする前に、サーバーに以下のソフトウェアがすでに含まれているかどうかを確認する必要があります:zlib(zlib-1.1.3-xx以上)、gd(gd-1.3.xx以上)、libpng:
rpm -qa | grep libpcap
rpm -qa | grep zlib
rpm -qa | grep gd
rpm -qa | grep libpng
もしどれかが欠けていたら、例として自分でインストールする必要があります。
1.libpcapのインストール
# tar zxvf libpcap-0.9.8.tar.gz
# cd libpcap-0.9.8
#./設定
# make&&make install
2.RRDtoolのインストール
RRDtoolとは、ラウンドロビン・データベースツールのことです。ラウンドロビンは、量的データと現在の要素へのポインタを扱うテクニックです。外周に点のラベルが付いた円を想像してください。円の中心から円周上の点に矢印を引きます。円には始点も終点もなく、永遠に保存することができます。一定時間が経過すると、利用可能なすべての位置が使用され、この循環的なプロセスによって、元の位置が自動的に再利用されます。このようにして、データセットは大きくならず、メンテナンスも必要ありません。
#tar -zxvf rrdtool-1.3.1.tar.gz
#PKG_CONFIG_PATH=/usr/lib/pkgconfig/ をエクスポートします。
#./設定
#作る
#インストール
3.Ntopのインストール
#rpm -ivh ntop-3.3.10-.x86.rpm
#CentOS
#ntop ¦ Debian system
4.Ntopユーザーの作成と権限の設定
#useradd ntop
5.Ntopがデータを保存するディレクトリを作成します。
#mkdir -p /var/ntop
#chown -R ntop.ntop /var/ntop
6.ntop.conf設定ファイルをコピーします。
#cp /ntop-3.3.10/ntop.conf.sample /etc/ntop.conf
7.管理パスワードの設定
ntop を実行するには、まず 5 桁以上の管理者パスワードを作成する必要があります。管理者パスワードを作成するには、-A パラメータを使用します。
#トップA
8.Ntop管理者パスワードリセット方法
Ntop ユーザー・パスワード・ファイルは暗号化され、Ntop ユーザー・パスワードの保存場所である ntop_pw.db ファイルに保存されます:
64 ビット版: /var/lib/ntop_db_64/ntop_pw.db
64ビット版の場合は、まずパスワードファイル ntop_pw.db を削除し、次に notp -A を使用して管理者パスワードをリセットし、最後に ntop サービスを再起動すると有効になります。
#/etc/init.d/ntop restart
さらに、ntopのアクセスログが/var/log/ntop/ディレクトリに、pcapログが/var/lib/ntopディレクトリにあることに注意してください。
IV.Ntopの適用
1.Ntopの開始
コマンドラインの各項目の簡単な説明は以下の通り。
l -i "eth0": リスニングNICを指定します。
l -d: バックグラウンドで実行されます。
l -L: 出力ログはシステムログに書き込まれます。
l -u ntop: 実行に Ntop ID を使用することを指定します。
l -P /var/ntop: Ntop データベースのファイルの場所を指定します。
l -use-syslog=daemon: syslogプロセスを使用します。
l -w: 他のポートを使用する場合、ntop に他のポートを使用するように指定します。例えば、ntop -w 1900 を実行した後、http://:00来连接op を使用できます。
2.ウェブブラウザでNtopの状態を確認します。
Ntopの通信ポートは3000なので、IP:3000を使ってブラウザでntopと入力すると、ntopのウェルカム画面が表示されます。
また、Ntopのもう一つの重要な機能は、DDoS型攻撃を検出するために、主にそれはネットワーク上のさまざまな問題の存在を決定するために、ネットワークトラフィックを分析することができますので、また、ハッカーがネットワークシステムを攻撃しているかどうかを判断するために使用することができますが、また、特定のネットワークプロトコルを表示するために非常に便利なことができます、ホストの帯域幅、さまざまな通信のターゲットホストを多数占め、パケット配信時間、パケットやその他の詳細情報の配信の遅延。遅延やその他の詳細情報。
