NTOP安装配置监控Linux网络.doc

安装配置NTOP监控Linux网络 17.2.1?? P2P对于网络流量提出挑战 如果让说Linux网络管理员最头疼的问题，恐怕大家都会回答是网络带宽匮乏了，实际情况确实如此，随着网络应用与网络软件的越来越多，占用带宽资源的服务也越来越多。我们究竟应该怎么管理网络成为一个非常严肃的问题。BT，P2P等软件吞噬着网络带宽，蠕虫等网络病毒也使网络带宽变得枯竭。从某种意义上讲带宽就是钱，那么我们这些网络管理员如何有效地监视、控制公司的网络流量呢？下面介绍一个不可多得的监控网络流量的工具NTOP。 1．Linux异构网络中P2P流量情况 P2P（Peer-to-Peer）是一种用于文件交换的新技术，通过Internet允许建立分散的、动态的、匿名的逻辑网络。P2P为对等连接或对等网络，点对点网络技术可应用于文件共享交换、深度有哪些信誉好的足球投注网站、分布计算等领域。它允许个体的PC通过Internet共享文件。随着P2P文件交换应用的普及，ISP在维持和增加宽带网的收益上也面临着新的挑战和机遇。据有关资料统计，现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值，对网络资源造成意外的损失；所带来的网络拥塞、性能下降等问题，已影响到正常的网络应用，如WWW、E-mail等，缓慢的网页浏览和收发邮件速度更引起普通用户的不满。 若想控制P2P通信，就必须对P2P通信进行有效地识别，然而，许多P2P通信使用了不同的通信技术和协议，使用传统的技术来识别它们非常困难。比如，许多P2P协议不使用固定的端口，而是动态地使用端口，包括使用一些知名服务的端口。KaZaA就是使用端口80（通常是HTTP/Web来使用）来通信的，从而穿透传统的基于IP和端口的防火墙和包过滤器。所以，通过简单的基于IP和端口的分类技术（分析IP包头、IP地址、端口号等）很难识别、跟踪或控制这类通信。过去有一段时间，有人通过监测6881~6889端口来识别BT（BitTorrent），但这种做法现在早已失效——BT已不再使用固定的6881~6889端口来通信，而是动态地使用端口。 随着P2P应用的不断增长，更多的通信协议被使用，识别和分类P2P的技术必须快速、简单，以适应这种技术的变化。现在，识别P2P通信的方法是在应用层分析数据包，看是否有某个应用协议的特征码，然后确定通信的种类。应用层分析数据包的基本方法是，如果应用层数据包的头部有“220 ftp server ready”的特征串，可以确定是在使用FTP程序；如果有“HTTP/1.1 200 ok”的特征串，可以确定是在使用HTTP传送数据。 2．NTOP的功能 MRTG基于SNMP获取信息，对于端口的流量，MRTG能提供精确统计，但对于三层以上的信息则无从得知了。而这正是NTOP的强项。NTOP能够更加直观地将网络使用量的情况和每个节点计算机的网络带宽使用详细情况显示出来。NTOP是一种网络嗅探器，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用。可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降；也可以用来判断是否有黑客正在攻击网络系统。如果怀疑网络正在遭受攻击，通过嗅探器截获的数据包可以确定正在攻击系统的是什么类型的数据包，以及它们的源头，从而可以及时地做出响应，或者对网络进行相应的调整，以保证网络运行的效率和安全。通过NTOP网管员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的是哪个主机、各次通信的目标是哪个主机、数据包发送时间、各主机间数据包传递的间隔时间等。这些信息为网管员判断网络问题及优化网络性能，提供了十分宝贵的信息。 NTOP提供以下一些功能： ① 自动从网络中识别有用的信息； ② 将截获的数据包转换成易于识别的格式； ③ 对网络环境中的通信失败进行分析； ④ 探测网络环境下的通信瓶颈； ⑤ 记录网络通信时间和过程； ⑥ 自动识别客户端正在使用的操作系统； ⑦ 可以在命令行和Web两种方式下运行。 3．流量分析要点 ① 连接性。也称可用性、连通性或者可达性，严格说应该是网络的基本能力或属性。Internet的出现，以及采用新技术而带来的生产力提高，导致对更高带宽和服务的需求。企业需要更高带宽的定制服务；而消费者则需要像宽带连接和视频点播等服务；运营商必须在他们的目标市场需求与他们业务的现实之间取得平衡；这些都必须以网络的连接性能为基础和保障。 ② 时延。定义了一个IP包穿越一个或多个网段所经历的时间。时延由固定时延和可变时延两部分组成。固定时延基本不变，由传播时延和传输时延构成；可变时延由中间路由器处理时延和排队等待时延两部分构成。 ③ 丢包率。是指丢失的IP包与所有的IP包的比值。许多因素会导致数据包在网络上传输时被丢弃，例如，数据包