ntop(www.ntop.org)
功能:網路監控,流量統計
缺點:很吃記憶體
………………………………………………….
安裝前需先有以下程式
gdbm
gd
libpng
libpcap(可能需libpcap-devel)
zlib
rrdtool
mysql(非必要)
1
以rpm或yum安裝
2
ntop -P /tmp -u nobody
ps:
-P 指定執行時的程序檔案
-u 指定使用者執行
輸入帳號admin,密碼admin
3
開啟此網址:localhost:3000
………………………………………………………….
ntop的參數
| -a –access-log-file | (default) (nil) | 指定http的登入access的log檔案的路徑, ps:與apache的log差異是ntop多了一行ntop回應需求的時間 |
| -b –disable-decoders | (default) No | 不處理具解譯功能的protocol,ex:dns,netbios ps:當網路繁忙時可用,但ftp的封包仍會被解析出來 |
| -c –sticky-hosts | (default) No | 鎖定某一台主機,該主機的資訊不會被週期性地清除 |
| -d –daemon | No | 將ntop變成daemon在背景執行 ps:-L參數需指定,否則ntop的資料會被列出並丟棄 |
| -e –max-table-rows | (default) 128 | 顯示web上的最大表格數 |
| -f –traffic-dump-file | (default) (nil) | 從特定的檔案讀取資料,通常讀取tcpdump所產生的檔案 ps:在debug時會用到 |
| -g –track-local-hosts | (default) Track all hosts | 指定區網主機資訊追蹤,適合在ntop在gateway上用 ps:當網路繁忙時可用,或有太多外網host時 |
| -o –no-mac | (default) Trust MAC Addresses | 不信任特定的mac address |
| -i –interface | (effective) eth0 | 指定要分析的界面,ex:-i eth0,ppp0 ps,-M可將各網卡資訊分開 |
| -j –create-other-packets | (default) Disabled | 幫other網路流量製成一檔案,此檔案路徑由-O指定 ps:此檔對了解未被標準化的封包有幫助 |
| -k –filter-expression-in-extra-frame | ntop的報告製作時日,版本資訊,使用中網卡可在額外看見 | |
| -l –pcap-log | (default) (nil) | 將截取到的流量以pcap的格式存放,或以tcpdump的格式作出一個檔案,檔案目錄路徑由-O指定 |
| -m –local-subnets (effective) | (default) (nil) | 指定區網中特定的子網路流量分析,會將指定網路視做local看待 ex:-m 192.168.10.0/24,10.1.2.3/8 |
| -n –numeric-ip-addresses | (default) No | 以ip位置代替dns ps:可省略dns省詢的時間 |
| -p –protocols | (default) internal list | 指定特定的tcp/udp port監控,格式有以下三種 name=port1|port2 ex:-p WWW=http|https 監控http和https的port,並以WWW標示 name=port1-port2 ex:-p other=1024-32767 監控1024到32767的port,並以other標示 filepath ex:-p net.list 將上述的格式寫進net.list,並以此檔內的說明監控 |
| -q –create-suspicious-packets | (default) Disabled | 用pcap格式儲存可疑封包資訊到新檔案 ps:此檔案會放在-O指定目錄下 |
| -r –refresh-time | (default) 120 | 顯示網頁更新時間 |
| -s –no-promiscuous | (default) No | 將雜亂模式關閉 |
| -t –trace-level | (default) 3 | 啟動後所顯示的訊息等級,值越低訊息越少 |
| -u –user | nobody(uid=99, gid=99) | 指定使用者執行,但不可root執行 |
| -w –http-server | (default) Active, all interfaces, port 3000 | 指定登入時的port號 ex:http://localhost:3000 |
| -z –disable-sessions | (default) No | 不顯示tcp session的追蹤,可有較好的效能 |
| -A –set-admin-password | 設定管理員密碼 | |
| -B –filter-expression | (default) none | 加上過濾敘述,與tcpdump相同 ex:只要abc.com.tw的資訊 -B src host abc.com.tw |
| -D –domain | com.tw | 指定域名來做分析,會辦認本地端的domain |
| -F –flow-spec | (default) none | |
| -K –enable-debug | (default) No | 啟動除錯模式,訊息在show configuration頁底下 |
| -L –use-syslog | daemon | 指定輸出的訊息要放到系統的log,不再另輸出檔案 |
| -M –no-interface-merge (effective) | (default) (Merging Interfaces) Yes | 不要將各介面資訊合併 |
| -N –wwn-map | (default) (nil) | |
| -O –pcap-file-path | (default) /var/ntop | 設定各類log存在指定路徑下 |
| -P –db-file-path | /tmp | 指定存放db檔的路徑 |
| -Q –spool-file-path | /tmp | |
| -U –mapper | (default) (nil) | 顯示主機的位置 |
| -W –https-server | Uninitialized | 指定登入時的port號,並有加密功能 |
| -X | 32768 |
-p的預設值
FTP=ftp|ftp-data
HTTP=http|www|https|3128
DNS=name|domain
telnet=telnet|login
Nbios-IP=netbios-ns|netbios-dgm|netbios-ssn
Mail=pop-2|pop-3|pop3|kpop|smtp|imap|imap2
DGCP-BOOTP=67-68
SNMP=snmp|snmp-trap
NNTP=nntp
NFS=mount|pcnfs|bwnfs|nfsd|nfsd-status
X11=6000-6010
SSH=22
Gnutella=6346|6347|6348(某p2p軟體)
Kazaa=1214
WinMx=6699|7730
DiretcConnect=0
EDonkey=4661-4665
Messenger=1863|5000|5001|5190-5193