ntop

 ntop(www.ntop.org)
功能:網路監控,流量統計
缺點:很吃記憶體

..........................................................

安裝前需先有以下程式
gdbm
gd
libpng
libpcap(可能需libpcap-devel)
zlib
rrdtool
mysql(非必要)

1
以rpm或yum安裝

2
ntop -P /tmp -u nobody
ps:
-P 指定執行時的程序檔案
-u 指定使用者執行

輸入帳號admin,密碼admin

3
開啟此網址:localhost:3000

...................................................................

ntop的參數
-a
--access-log-file
(default) (nil)指定http的登入access的log檔案的路徑,
ps:與apache的log差異是ntop多了一行ntop回應需求的時間
-b
--disable-decoders
(default) No 不處理具解譯功能的protocol,ex:dns,netbios
ps:當網路繁忙時可用,但ftp的封包仍會被解析出來
-c
--sticky-hosts
(default) No鎖定某一台主機,該主機的資訊不會被週期性地清除
-d
--daemon
No將ntop變成daemon在背景執行
ps:-L參數需指定,否則ntop的資料會被列出並丟棄
-e
--max-table-rows
(default) 128顯示web上的最大表格數
-f
--traffic-dump-file
(default) (nil)從特定的檔案讀取資料,通常讀取tcpdump所產生的檔案
ps:在debug時會用到
-g
--track-local-hosts
(default) Track all hosts指定區網主機資訊追蹤,適合在ntop在gateway上用
ps:當網路繁忙時可用,或有太多外網host時
-o
--no-mac
(default) Trust MAC Addresses不信任特定的mac address
-i
--interface
(effective) eth0指定要分析的界面,ex:-i eth0,ppp0
ps,-M可將各網卡資訊分開
-j
--create-other-packets
(default) Disabled幫other網路流量製成一檔案,此檔案路徑由-O指定
ps:此檔對了解未被標準化的封包有幫助
-k
--filter-expression-in-extra-frame

ntop的報告製作時日,版本資訊,使用中網卡可在額外看見
-l
--pcap-log
(default) (nil)將截取到的流量以pcap的格式存放,或以tcpdump的格式作出一個檔案,檔案目錄路徑由-O指定
-m
--local-subnets (effective)
(default) (nil)指定區網中特定的子網路流量分析,會將指定網路視做local看待
ex:-m 192.168.10.0/24,10.1.2.3/8
-n
--numeric-ip-addresses
(default) No以ip位置代替dns
ps:可省略dns省詢的時間
-p
--protocols
(default) internal list指定特定的tcp/udp port監控,格式有以下三種
name=port1|port2   
ex:-p WWW=http|https 監控http和https的port,並以WWW標示

name=port1-port2   
ex:-p other=1024-32767 監控1024到32767的port,並以other標示
filepath   
ex:-p net.list 將上述的格式寫進net.list,並以此檔內的說明監控
-q
--create-suspicious-packets
(default) Disabled用pcap格式儲存可疑封包資訊到新檔案
ps:此檔案會放在-O指定目錄下
-r
--refresh-time
(default) 120顯示網頁更新時間
-s
--no-promiscuous
(default) No將雜亂模式關閉
-t
--trace-level
(default) 3啟動後所顯示的訊息等級,值越低訊息越少
-u
--user
nobody(uid=99, gid=99)指定使用者執行,但不可root執行
-w
--http-server
(default) Active, all interfaces, port 3000指定登入時的port號 ex:http://localhost:3000
-z
--disable-sessions
(default) No不顯示tcp session的追蹤,可有較好的效能
-A
--set-admin-password

設定管理員密碼
-B
--filter-expression
(default) none加上過濾敘述,與tcpdump相同
ex:只要abc.com.tw的資訊
-B src host abc.com.tw
-D
--domain
com.tw指定域名來做分析,會辦認本地端的domain
-F
--flow-spec
(default) none   
-K
--enable-debug
(default) No啟動除錯模式,訊息在show configuration頁底下
-L
--use-syslog
daemon指定輸出的訊息要放到系統的log,不再另輸出檔案
-M
--no-interface-merge (effective)
(default) (Merging Interfaces) Yes不要將各介面資訊合併
-N
--wwn-map
(default) (nil)  
-O
--pcap-file-path
(default) /var/ntop設定各類log存在指定路徑下
-P
--db-file-path
/tmp指定存放db檔的路徑
-Q
--spool-file-path
/tmp 
-U
--mapper
(default) (nil)顯示主機的位置
-W
--https-server
Uninitialized指定登入時的port號,並有加密功能
-X32768 
         

-p的預設值
FTP=ftp|ftp-data
HTTP=http|www|https|3128
DNS=name|domain
telnet=telnet|login
Nbios-IP=netbios-ns|netbios-dgm|netbios-ssn
Mail=pop-2|pop-3|pop3|kpop|smtp|imap|imap2
DGCP-BOOTP=67-68
SNMP=snmp|snmp-trap
NNTP=nntp
NFS=mount|pcnfs|bwnfs|nfsd|nfsd-status
X11=6000-6010
SSH=22
Gnutella=6346|6347|6348(某p2p軟體)
Kazaa=1214
WinMx=6699|7730
DiretcConnect=0
EDonkey=4661-4665
Messenger=1863|5000|5001|5190-5193

2008-08-04 11:32:57發表 0000-00-00 00:00:00修改   

數據分析
程式開發
計算機組織與結構
資料結構與演算法
Database and MySql
manage tool

windows
unix-like
linux service
network
network layer3
network layer2
network WAN
network service
作業系統
數位鑑識
資訊安全解決方案
資訊安全威脅
Cisco security
Cisco network
Cisco layer3
Cisco layer2



  登入      [牛的大腦] | [單字我朋友] Powered by systw.net