网管经验 用NTOP精确监控网络流量

　　如果说让网络管理员最头疼的问题，恐怕大家都会回答是网络带宽匮乏了，实际情况确实如此，随着网络应用与网络软件的越来越多，占用带宽资源的服务也越来越多。我们究竟应该怎么管理网络成为一个非常严肃的问题。BT，P2P等软件吞噬着网络带宽，蠕虫等网络病毒也使网络应用变得枯竭。从某种意义上讲带宽就是钱，那么我们这些网络管理员如何有效的从监视到控制公司的网络流量呢?笔者为各位读者介绍一个不可多得的监控网络流量的工具:NTOP。

　　为什么需要对流量监控?

　　如果作为一名普通网络用户，在浩瀚的互联网畅游之时，没有人会注意到平静的海面下其实暗流汹涌。一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够很快地区隔出问题的发生原因，迅速定位到线路问题、网络设备问题、或者是路由和放火墙的设定问题。

　　在一个稍微较小的网络中，一个有经验的管理者要回答这些问题并不难，但是如果其所管理的网络范围过于庞大，那么就可能需要一个有效率的网管系统了。在业务繁忙的工作网络中，网络突然缓慢，在重要数据往来的工作时间段，留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。如果你不能回答网络为什么缓慢?必须在经过科学合理的计算和统计，并且在预先建立的流量分析系统中才能找到答案。

　　P2P(Peer-to-Peer)是一种用于文件交换的新技术，通过Internet允许建立分散的、动态的、匿名的逻辑网络。P2P为对等连接或对等网络，点对点网络技术，可应用于文件共享交换，深度搜索、分布计算等领域。它允许个体的PC通过Internet共享文件。随着P2P文件交换应用的普及，ISP在维持和增加宽带网的收益上也面临着新的挑战和机遇。据有关资料统计，现有的网络中有超过70%的带宽被P2P通信占据着。P2P通信会导致异常的流量峰值，对网络资源造成意外的变形;所带来的网络拥塞、性能下降等问题，已影响到正常的网络应用，如WWW、Email等，缓慢的网页浏览和收发邮件速度更引起普通用户的不满。

　　若想控制P2P通信，就必须对P2P通信进行有效地识别，然而，许多P2P通信使用了不同的通信技术和协议，使用传统的技术来识别它们非常困难。 比如，许多P2P协议不使用固定的端口，而是动态地使用端口，包括使用一些知名服务的端口。KaZaA就是可以使用端口80(通常是http/web来使用)来通信的，从而穿透传统的基于IP和端口的防火墙和包过滤器。所以，通过简单的基于IP和端口的分类技术(分析IP包头、IP地址、端口号等)很难识别、跟踪或控制这类通信。

　　过去有一段时间，有人使用监测6881~6889端口来识别BT(BitTorrent)，但这种做法现在早已失效——BT已不再使用固定的6881~6889端口来通信，而是动态地使用端口。随着P2P应用的不断增长，更多的通信协议被使用;识别和分类P2P的技术必须快速、简单，以适应这种技术的变化。现在，识别P2P通信的方法是在应用层分析数据包，看是否有某个应用协议的特征码，然后确定通信的种类。应用层分析数据包的基本方法是，如果应用层数据包的头部有“220 ftp server ready”的特征串，可以确定是在使用ftp程序;如果有“HTTP/1.1 200 ok”的特征串，可以确定是在使用http传送数据。

　　谈到网络流量监控，相信大家都熟悉MRTG这个工具。但是MRTG存在许多缺点:

　　1. 使用文本式的数据库，数据不能重复使用;

　　2. 只能按日、周、月、年来查看数据;

　　3. 只能画两个DS(一条线、一个块);

　　4. 无管理功能;

　　5. 没有详细日志系统;

　　6. 无法详细了解一一流量具体构成;

　　7. 只能用于TCP/IP网络对于 SAN 和iSCSI网络流量无能为力;

　　8. 不能在命令行下工作;

　　9. 过于依赖SNMP协议。

　　MRTG基于SNMP协议获取信息，对于端口的流量，MRTG能提供精确统计，但对于3层以上的信息则无从得知了。而这正是NTOP的强项。NTOP能够更加直观的将网络使用量的情况和每个节点计算机的网络带宽使用详细情况显示出来。ntop是一种网络嗅探器，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用。可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降;也可以用来判断是否有黑客正在攻击网络系统。

　　如果怀疑网络正在遭受攻击，通过嗅探器截获的数据包可以确定正在攻击系统的是什么类型的数据包，以及它们的源头，从而可以及时地做出响应，或者对网络进行相应的调整，以保证网络运行的效率和安全。

　　通过ntop网管员还可以很方便地确定出哪些通信量属于某个特定的网络协议、占主要通信量的是那个主机、各次通讯的目标是哪个主机、数据包发送时间、各主机间数据包传递的间隔时间等。这些信息为网管员判断网络问题及优化网络性能，提供了十分宝贵的信息。ntop提供以下一些功能:

　　1. 自动从网络中识别有用的信息;

　　2. 将截获的数据包转换成易于识别的格式;

　　3. 对网络环境中的通讯失败进行分析;

　　4. 探测网络环境下的通讯瓶颈;

　　5. 记录网络通信时间和过程;

　　6.自动识别客户端正在使用的

　　7.可以在命令行和Web两种方式运行。

　　第1页：为什么需要对流量监控?第2页：流量分析要点第3页：