整理的linux下ntop启动、安装、配置、使用

整理的linux下ntop启动、安装、配置、使用

本文介绍了linux 下 ntop3.2的启动、安装、配置、使用！

一、启动ntop

1、在本机上通过     /usr/local/bin/ntop -u ntop -c -d -i eth0 命令启动ntop
注其中：
   （1） /usr/local/bin 为ntop所在路径
   （2） -u ntop 为指定用户名
   （3）-i eth0 为指定网络设备为 eth0
2、web中輸入:

:3000">http://<your_IP>:3000

注：3000为默认的端口号

 

NTOP主要提供以下一些功能：
　　
　　◆ 自动从网络中识别有用的信息；
　　
　　◆ 将截获的数据包转换成易于识别的格式；
　　
　　◆ 对网络环境中通信失败的情况进行分析；
　　
　　◆ 探测网络环境中的通信瓶颈；
　　
　　◆ 记录网络通信的时间和过程。

 

二、NTop安装

首先，需安装好 libpcap、gdbm等库，通常除libpcap需自己安装外系统会带其它库。

1.建立用户ntop（为了安全起见，只有名为ntop的用户 才能启用该软件）

＃useradd ntop

2安装
到加压后的文件夹中执行：

＃./cofigure
＃make
＃make install

3改变文件所有者为ntop

（1）＃chown -R ntop:ntop /usr/local/var/ntop/    

＊修改后的状态:(db 文件）             drwxr-xr-x 10 root    root      4096 02-27 10:44 share

（2）＃chown -R ntop:ntop /usr/local/share/ntop/     
*:文件修改后的状态                             drwxr-xr-x 3 root    root      4096 02-25 22:56 var

注: -R 递归地改变指定目录及其所有子目录、文件的文件主

4设置管理员密码

＃/usr/local/bin/ntop -A            (WEB管理时需要，默认的用户名为admin)

5. 執行 ntop:

   (1) 圖形化介面下（web界面）启动ntop:
# /usr/local/bin/ntop -u ntop -c -d

注：若找不到网络设备可用 －i eth0 项指定！

（2）web中輸入:

:3000">http://<your_IP>:3000

注：3000为默认的端口号   -w 使用其他端口

启动界面 初始化：
[root@localhost ld.so.conf.d]# /usr/local/bin/ntop -u ntop -c -d -i eth0
Thu Mar 20 16:11:56 2008 NOTE: Interface merge enabled by default
Thu Mar 20 16:11:56 2008 Initializing gdbm databases
Thu Mar 20 16:11:56 2008 NOTE: Interface merge disabled from prefs file
Thu Mar 20 16:11:56 2008 **WARNING** -s set so will ATTEMPT to open interface w/o promisc mode (this will probably fail below)
Thu Mar 20 16:11:56 2008 ntop v.3.2 SourceForge .tgz
Thu Mar 20 16:11:56 2008 Configured on Mar 20 2008 15:06:45, built on Mar 20 2008 15:25:01.
Thu Mar 20 16:11:56 2008 Copyright 1998-2005 by Luca Deri <deri@ntop.org>
Thu Mar 20 16:11:56 2008 Get the freshest ntop from http://www.ntop.org/
Thu Mar 20 16:11:56 2008 NOTE: ntop is running from /usr/local/bin
Thu Mar 20 16:11:56 2008 NOTE: (but see warning on man page for the --instance parameter)
Thu Mar 20 16:11:56 2008 NOTE: ntop libraries are in /usr/local/lib
Thu Mar 20 16:11:56 2008 Initializing ntop
Thu Mar 20 16:11:56 2008 Checking eth0 for additional devices
Thu Mar 20 16:11:56 2008 Resetting traffic statistics for device eth0
Thu Mar 20 16:11:56 2008 DLT: Device 0 [eth0] is 1, mtu 1514, header 14
Thu Mar 20 16:11:56 2008 Initializing gdbm databases
Thu Mar 20 16:11:56 2008 VENDOR: Loading MAC address table.
Thu Mar 20 16:11:56 2008 VENDOR: Checking for MAC address table file
Thu Mar 20 16:11:56 2008 VENDOR: Loading newer file /usr/local/etc/ntop/specialMAC.txt.gz
Thu Mar 20 16:11:56 2008 VENDOR: ...found 61 lines
Thu Mar 20 16:11:56 2008 VENDOR: ...loaded 59 records
Thu Mar 20 16:11:56 2008 VENDOR: Checking for MAC address table file
Thu Mar 20 16:11:56 2008 VENDOR: Loading newer file /usr/local/etc/ntop/oui.txt.gz
Thu Mar 20 16:11:56 2008 VENDOR: ...found 48541 lines
Thu Mar 20 16:11:56 2008 VENDOR: ...loaded 7853 records
Thu Mar 20 16:11:56 2008 Fingeprint: Loading signature file.
Thu Mar 20 16:11:56 2008 Fingeprint: ...loaded 1697 records
Thu Mar 20 16:11:57 2008 INIT: Parent process is exiting (this is normal)
Thu Mar 20 16:11:57 2008 INIT: Bye bye: Im becoming a daemon...
You have new mail in /var/spool/mail/root
[root@localhost ld.so.conf.d]#

＊＊＊＊＊＊＊＊＊＊＊至此成功在页面中启动ntop*****************************

三.配置NetFlow

（1）http://host:port/ 打开页面
（2）Plugins->NetFlow->Active　激活NetFlow
（3）Plugins->NetFlow->Configure 配置网口，新增一个设备，端口默认是9996
（4）Plugins->NetFlow->Statistics NetFlow状态

四 使用ntop

   1. 查看网络整体流量
　　
　　查看网络整体流量用鼠标点击“Stats”选项卡，然后单击“Traffic”选项。网络流量会以柱面图和明细表格的形式显示出来.
　　
　2. 查看主机流量
　　
　　如果想查看具体节点计算机的网络流量，用鼠标单击“IP Traffic”选项卡，然后单击“Host”选项即可.
　　
　3. 监测主机使用的网络协议
　　
　　在图3里可以看到一个主机名称“CAO”的计算机发送了大量数据，其IP地址是“192.168.0.5”，MAC地址是“52:54:AB:34: 5B:09”。如果想了解该计算机传输了那些数据，双击该主机名即可分析出用户使用的各种网络传输协议的类型和分别占有带宽的比例.
　　
　4.查看端口使用情况
　　
　　NTOP可以把端口使用情况与应用程序关联起来，这和使用“netstat -an”命令的效果类似，并且可以显示端口打开时间、端口流量等详细信息。比如，可以把本机开放的TCP/UDP端口同应用程序关联起来，单击“IP Traffic”→“L―L”→“TCP/UDP Servers/Ports Usage”

＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊＊

尚有字符界面方式启动，需要进一步考虑！

附网文转载：

实际案例分析：

我单位是一个由多种系统组成的Linux中小局域网。网络拓扑（图－1）其中服务器使用的操作系统为红旗3.0，客户端PC使用的是win9x/me/2000。

               图－1网络拓扑结构

一、问题的出现

一天下午网络性能突然下降，导致网上的大量数据无法顺利传输。我首先怀疑是物理故障。但是使用ping命令测试发现网络是连通的没有物理损坏。接着启动ntop,（见图－2）可以看到ntop能检测网络中的绝大多数协议文件。

           图－2 ntop主菜单

二、检测故障

（1）首先检查网络负荷：点击“IP Protos” 菜单。（见图－3）果然发现网络中的机器网络负荷为98％。

       图－3显示网络网络负荷过高

   （2）点击主机“IP Traiffic”菜单来查询网络流量 ：见图－4

           图－4网络中的数据流量

(3)果然发现以主机名为cao1的PC发送了大量数据，它的网络负荷接近99％。点击“cao1”后点击”Host“查看其它情况。见图－5，可以看出”主机“cao1”IP地址为192.168.0.1，MAC地址为00：50：BA:F0:AB：AC，使用的操作系统为Windows。

           图－5主机名为cao1的基本情况

(3)双击“cao1”就可以了解主机“cao1”的详细情况所有网络情况。见图－6

           图－6主机“cao1”的详细情况

（4）我们来看其中传输数据类型这一部分见图－7。从中可以看出它发送的数据都是UDP格式的。

           图－7主机“cao1”的传输数据类型为UDP格式数据

   我们知道UDP是Linux网络层的传输层的数据，所以可以判断是广播风暴造成了网络性能下降。我们找到主机“cao1”，原来一个工作人员正在向客户演示公司的产品信息，他使用了超级解霸2000。我们知道超级解霸2000播放文件时有一个选项是进行局域网的DVB音视频广播。这