免费视频淫片aa毛片_日韩高清在线亚洲专区vr_日韩大片免费观看视频播放_亚洲欧美国产精品完整版

Linux下的開源網(wǎng)絡(luò)流量監(jiān)控工具系列：一、ntopSubmitted bymayu8758on 2009, April 16, 10:11 AM.Linux系統(tǒng)應(yīng)用Linux下的開源網(wǎng)絡(luò)流量監(jiān)控工具系列：一、ntopntop官方網(wǎng)站：http://www.ntop.org/news.html本文搜集了一些關(guān)于ntop應(yīng)用的文章，放到一起以方便查閱。一.高效排除Linux網(wǎng)絡(luò)故障—ntop應(yīng)用實例分析隨著Linux的應(yīng)用日益廣泛，有大量的網(wǎng)絡(luò)服務(wù)器使用Linux操作系統(tǒng)。為了全面衡量網(wǎng)絡(luò)運行狀況，需要能夠?qū)W(wǎng)絡(luò)狀態(tài)做更細致、更精確的測量。網(wǎng)絡(luò)服務(wù)器的資料總流量，以及TCP、UDP等的封包傳送率（或者說是流量），是網(wǎng)絡(luò)管理人員所必須要注意的事項，因為而當(dāng)流量過高的時候，就需要找到網(wǎng)絡(luò)的瓶頸。因此，網(wǎng)絡(luò)管理方面，有必要了解網(wǎng)絡(luò)中每個主機的各種網(wǎng)絡(luò)服務(wù)的狀態(tài)，并視流量來加以限制或者是加大帶寬。我們介紹Linux環(huán)境下一個功能完備的GUI網(wǎng)絡(luò)檢測工具ntop。準(zhǔn)備工作下載軟件：ntop工作時需要使用zlib、gd、libpcap及l(fā)ibpng的函數(shù)（zlib用來壓縮圖表、gd用來繪制圖表），安裝前請檢查服務(wù)器中是 否已經(jīng)含有下列的軟件： zlib(zlib-1.1.3-xx以上)   gd(gd-1.3.xx以上)、libpng?？梢允筊PM來確認：rpm -qa | grep libpcaprpm -qa | grep zlibrpm -qa | grep gdrpm -qa | grep libpngnotp可以在red hat 7.1的工具盤中找到，不過我們盡量不用，因為它有很大的安全漏洞，其中有一個漏洞允許遠程讀取主機上的任意文件。詳細情況可以參看：http://it.rising.com.cn/safety/subject/safety-hole/linux/825ntop.htm。最好下載它的最新版本代碼：ntop-02-07-10.tar.gz.ntop，首頁在http://www.ntop.org/ntop.html。下面以紅旗3.0(kernel 2.4.7-10)為例介紹ntop的安裝和使用。安裝軟件：gunzip ntop-02-07-10.tar.gztar zxvf ntop-02-07-10.tarmv ntop-02-07-10 ntopcd ntop/gdchart0.94c./configurecd gd-1.8.3/libpng-1.2.4makecd ../../zlib-1.1.4./configuremakecd ..makecd ../ntop./configuremakemake install安裝結(jié)束后為ntop 建立一個存放數(shù)據(jù)的目錄：mkdir -p /home/ntop_dbasechown 99,99 /home/ntop_dbase執(zhí)行ntop/usr/local/bin/ntop -u nobody -P /home/ntop_dbase&說明：第一次執(zhí)行ntop系統(tǒng)會讓你輸入密碼，自己可以設(shè)定一個，以后再用ntop 就不用了。啟動X窗口，在瀏覽器中輸入http ://192.168.0.2:3000/ （安裝軟件的主機）即可打開ntop的主菜單。ntop 也可以在命令行下使用：intop -i eth0實際案例分析我單位是一個由多種系統(tǒng)組成的Linux中小局域網(wǎng)。網(wǎng)絡(luò)拓撲如圖1。其中服務(wù)器使用的操作系統(tǒng)為紅旗3.0，客戶端PC使用的是Windows9x/Me/2000。

（點擊查看大圖）一天下午網(wǎng)絡(luò)性能突然下降，導(dǎo)致網(wǎng)上的大量數(shù)據(jù)無法順利傳輸。我首先懷疑是物理故障。但是使用ping命令測試發(fā)現(xiàn)網(wǎng)絡(luò)是連通的，沒有物理損壞。檢測故障啟動ntop,可以看到ntop能檢測網(wǎng)絡(luò)中的絕大多數(shù)協(xié)議文件。首先檢查網(wǎng)絡(luò)負荷：點擊“IP Protos” 菜單（見圖2），發(fā)現(xiàn)網(wǎng)絡(luò)中的機器網(wǎng)絡(luò)負荷為98％。

（點擊查看大圖）點擊主機“IP Traiffic”菜單來查詢網(wǎng)絡(luò)流量，見圖3。

（點擊查看大圖）果然發(fā)現(xiàn)以主機名為cao1的PC發(fā)送了大量數(shù)據(jù)，它的網(wǎng)絡(luò)負荷接近99％。點擊“cao1”后點擊“Host”可以查看其它情況。見圖4，可以看 出，主機“cao1”IP地址為192.168.0.1，MAC地址為00：50：BA:F0:AB：AC，使用的操作系統(tǒng)為Windows。

（點擊查看大圖）雙擊“cao1”就可以了解主機“cao1”的詳細情況所有網(wǎng)絡(luò)情況。我們來看其中傳輸數(shù)據(jù)類型這一部分見圖5。從中可以看出它發(fā)送的數(shù)據(jù)都是UDP格式的。

（點擊查看大圖）我們知道UDP是Linux網(wǎng)絡(luò)層的傳輸層的數(shù)據(jù)，所以可以判斷是廣播風(fēng)暴造成了網(wǎng)絡(luò)性能下降。解決方法我們找到主機“cao1”，原來一個工作人員正在向客戶演示公司的產(chǎn)品信息，他使用了超級解霸2000。我們知道超級解霸2000播放文件時有一個 選項是進行局域網(wǎng)的DVB音視頻廣播。這名工作人員由于操作失誤以致向網(wǎng)絡(luò)的所有主機包括服務(wù)器進行了DVB音視頻廣播，造成了廣播風(fēng)暴。關(guān)閉主機“cao1”超級解霸2000的DVB音視頻廣播的選項。網(wǎng)絡(luò)恢復(fù)正常。總結(jié)ntop 的確是網(wǎng)管人員的好幫手。通過它，基本上所有進出流量、主機信息網(wǎng)絡(luò)、安全狀態(tài)都無所遁形，不管進行網(wǎng)絡(luò)監(jiān)測還是日志管理，都是非常優(yōu)秀的工具。不過由于 ntop從本質(zhì)上講是一種網(wǎng)絡(luò)嗅探器，所以是一把雙刃劍。對于網(wǎng)絡(luò)的安全，管理顯得格外重要，除網(wǎng)絡(luò)管理員外其它人員禁止在網(wǎng)絡(luò)中使用任何嗅探工具—包括 一些企業(yè)高級管理人員，是完全有必要的。二：安裝配置NTOP監(jiān)控Linux網(wǎng)絡(luò)17.2.1  P2P對于網(wǎng)絡(luò)流量提出挑戰(zhàn)如果讓說Linux網(wǎng)絡(luò)管理員最頭疼的問題，恐怕大家 都會回答是網(wǎng)絡(luò)帶寬匱乏了，實際情況確實如此，隨著網(wǎng)絡(luò)應(yīng)用與網(wǎng)絡(luò)軟件的越來越多，占用帶寬資源的服務(wù)也越來越多。我們究竟應(yīng)該怎么管理網(wǎng)絡(luò)成為一個非常嚴(yán)肅的問題。BT，P2P等軟件吞噬著網(wǎng)絡(luò)帶寬，蠕蟲等網(wǎng)絡(luò)病毒也使網(wǎng)絡(luò)帶寬變得枯竭。從某種意義上講帶寬就是錢，那么我們這些網(wǎng)絡(luò)管理員如何有效地監(jiān)視、控制公司的網(wǎng)絡(luò)流量呢？下面介紹一個不可多得的監(jiān)控網(wǎng)絡(luò)流量的工具NTOP。1．Linux異構(gòu)網(wǎng)絡(luò)中P2P流量情況P2P（Peer-to-Peer）是一種用于文件交換的新技術(shù)，通過Internet允許建立分散的、動態(tài)的、匿名的邏輯網(wǎng)絡(luò)。P2P為對等連接或?qū)Φ染W(wǎng)絡(luò)，點對點網(wǎng)絡(luò)技術(shù)可應(yīng)用于文件共享交換、深度搜索、分布計算等領(lǐng)域。它允許個體的PC通過Internet共享文件。隨著P2P文件交換應(yīng)用的普及，ISP在維持和增加寬帶網(wǎng)的收益上也面臨著新的挑戰(zhàn)和機遇。據(jù)有關(guān)資料統(tǒng)計，現(xiàn)有的網(wǎng)絡(luò)中有超過70%的帶寬被P2P通信占據(jù)著。P2P通信會導(dǎo)致異常的流量峰值，對網(wǎng)絡(luò)資源造成意外的損失；所帶來的網(wǎng)絡(luò) 擁塞、性能下降等問題，已影響到正常的網(wǎng)絡(luò)應(yīng)用，如WWW、E-mail等，緩慢的網(wǎng)頁瀏覽和收發(fā)郵件速度更引起普通用戶的不滿。若想控制P2P通信，就必須對P2P通信進行有效地識 別，然而，許多P2P通信使用了不同的通信技術(shù)和協(xié)議，使用傳統(tǒng)的技術(shù)來識別它們非常困難。比如，許多P2P協(xié)議不使用固定的端口，而是動態(tài)地使用端口，包括使用一些知名服務(wù)的端口。KaZaA就是使用端口80（通常是HTTP/Web來使用）來通信的，從而穿透傳統(tǒng)的基于IP和端口的防火墻和包過濾器。所以，通過簡單的基于IP和端口的分類技術(shù)（分析IP包頭、IP地址、端口號等）很難識別、跟蹤或控制這類通信。過去有一段時間，有人通過監(jiān)測6881~6889端口來識別BT（BitTorrent），但這種做法現(xiàn)在早已失效——BT已不再使用固定的6881~6889端口來通信，而是動態(tài)地 使用端口。隨著P2P應(yīng)用的不斷增長，更多的通信協(xié)議被使用，識 別和分類P2P的技術(shù)必須快速、簡單，以適應(yīng)這種技術(shù)的變化?，F(xiàn)在，識別P2P通信的方法是在應(yīng)用層分析數(shù)據(jù)包，看是否有某個應(yīng)用協(xié)議的特征碼，然后確定 通信的種類。應(yīng)用層分析數(shù)據(jù)包的基本方法是，如果應(yīng)用層數(shù)據(jù)包的頭部有“220 ftp server ready”的特征串，可以確定是在使用FTP程序；如果有“HTTP/1.1 200 ok”的特征串，可以確定是在使用HTTP傳送數(shù)據(jù)。2．NTOP的功能MRTG基于SNMP獲取信息，對于端口的流量，MRTG能提供精確統(tǒng)計，但對于三層以上的信息則無從得知了。而這正是NTOP的強項。NTOP能夠更加直觀地將網(wǎng)絡(luò)使用量的情況和每個節(jié)點計算機的 網(wǎng)絡(luò)帶寬使用詳細情況顯示出來。NTOP是一種網(wǎng)絡(luò)嗅探器，嗅探器在協(xié)助監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)傳輸、排除網(wǎng)絡(luò)故障等方面有著不可替代的作用?？梢酝ㄟ^分析網(wǎng)絡(luò)流量 來確定網(wǎng)絡(luò)上存在的各種問題，如瓶頸效應(yīng)或性能下降；也可以用來判斷是否有黑客正在攻擊網(wǎng)絡(luò)系統(tǒng)。如果懷疑網(wǎng)絡(luò)正在遭受攻擊，通過嗅探器截獲的數(shù)據(jù)包可以確定正在攻擊系統(tǒng)的是什么類型的數(shù)據(jù)包，以及它們的源頭，從而可以及時地做出響應(yīng)，或者對網(wǎng)絡(luò)進行相應(yīng)的調(diào)整，以保證網(wǎng)絡(luò)運行的效率和安全。通過NTOP 網(wǎng)管員還可以很方便地確定出哪些通信量屬于某個特定的網(wǎng)絡(luò)協(xié)議、占主要通信量的是哪個主機、各次通信的目標(biāo)是哪個主機、數(shù)據(jù)包發(fā)送時間、各主機間數(shù)據(jù)包傳遞的間隔時間等。這些信息為網(wǎng)管員判斷網(wǎng)絡(luò)問題及優(yōu)化網(wǎng)絡(luò)性能，提供了十分寶貴的信息。NTOP提供以下一些功能：① 自動從網(wǎng)絡(luò)中識別有用的信息；② 將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識別的格式；③ 對網(wǎng)絡(luò)環(huán)境中的通信失敗進行分析；④ 探測網(wǎng)絡(luò)環(huán)境下的通信瓶頸；⑤ 記錄網(wǎng)絡(luò)通信時間和過程；⑥ 自動識別客戶端正在使用的操作系統(tǒng)；⑦ 可以在命令行和Web兩種方式下運行。3．流量分析要點① 連接性。也稱可用性、連通性或者可達性，嚴(yán)格說應(yīng)該是網(wǎng)絡(luò)的基本能力或?qū)傩浴nternet的出現(xiàn)，以及采用新技術(shù)而帶來的生產(chǎn)力提高，導(dǎo)致對更高帶寬 和服務(wù)的需求。企業(yè)需要更高帶寬的定制服務(wù)；而消費者則需要像寬帶連接和視頻點播等服務(wù)；運營商必須在他們的目標(biāo)市場需求與他們業(yè)務(wù)的現(xiàn)實之間取得平衡；這些都必須以網(wǎng)絡(luò)的連接性能為基礎(chǔ)和保障。② 時延。定義了一個IP包穿越一個或多個網(wǎng)段所經(jīng)歷的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變，由傳播時延和傳輸時延構(gòu)成；可變時延由中間路由器處理時延和排隊等待時延兩部分構(gòu)成。③ 丟包率。是指丟失的IP包與所有的IP包的比值。許多因素會導(dǎo)致數(shù)據(jù)包在網(wǎng)絡(luò)上傳輸時被丟棄，例如，數(shù)據(jù)包的大小及數(shù)據(jù)發(fā)送時鏈路的擁塞狀況等。不同業(yè)務(wù)對丟包的敏感性不同，在多媒體業(yè)務(wù)中，丟包是導(dǎo)致圖像質(zhì)量降低和斷幀的根本原因。④ 帶寬。一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當(dāng)一條路徑（通路）中沒有其他背景流量時，網(wǎng)絡(luò)能夠提供的最大的吞吐量?？捎脦捠侵冈诰W(wǎng)絡(luò)路徑（通路）存在背景流量的情況下，能夠提供給某個業(yè)務(wù)的最大吞吐量。在復(fù)雜的網(wǎng)絡(luò)系統(tǒng)上面，不同的應(yīng)用占用不同的帶寬，重要的應(yīng)用是否得到了最佳的帶寬？它占的比例 是多少？隊列設(shè)置和網(wǎng)絡(luò)優(yōu)化是否生效？通過如MRTG等網(wǎng)絡(luò)流量分析會使其更加明確，并以圖形HTML文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。4．主動分析避免異常流量面對異常流量，我們應(yīng)當(dāng)建立一套分析系統(tǒng)，支持異常流量發(fā)現(xiàn)和報警，能夠通過對一個時間段內(nèi)歷史數(shù)據(jù)的自動學(xué)習(xí)，獲取包括總體網(wǎng)絡(luò)流量水平、流量波動、流量跳變等在內(nèi)的多種網(wǎng)絡(luò)流量測度，并自動建立當(dāng)前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎(chǔ)。如果自行建立主動型的網(wǎng)絡(luò)分析系統(tǒng)，一般包括測量節(jié) 點、中心服務(wù)器、數(shù)據(jù)庫和分析服務(wù)器。但對于中小企業(yè)來說難度較大。主動分析是借助產(chǎn)品化和集成程度較高的測量工具，有目的地對生產(chǎn)網(wǎng)絡(luò)注入監(jiān)控點，并根據(jù)測量數(shù)據(jù)流的傳送情況來分析網(wǎng)絡(luò)的性能。雖然這些監(jiān)控點也會占用帶寬，但和P2P下載所占用的可用帶寬相比是微不足道的。排除病毒和封鎖P2P之后，一 般帶寬占用前兩名的應(yīng)用是基于網(wǎng)站頁面的在線音頻與在線視頻。為了節(jié)約帶寬，我們應(yīng)該在工作時間段對其進行限制和封鎖。NTOP和MRTG相比它的安裝配置比較簡單。目前市場上可網(wǎng)管型的交換機、路由器都支持SNMP，NTOP支持簡單網(wǎng)絡(luò)管理協(xié)議，所以可以進行網(wǎng)絡(luò)流量監(jiān)控。NTOP幾乎可以監(jiān)測網(wǎng)絡(luò)上的所有協(xié) 議：TCP/UDP/ICMP, (R)ARP,IPX, Telnet, DLC, Decnet, DHCP-BOOTP, AppleTalk, Netbios, TCP/UDP, FTP, HTTP,DNS, Telnet, SMTP/POP/IMAP, SNMP, NNTP, NFS, X11, SSH和基于P2P技術(shù)的協(xié)議eDonkey, Overnet, BitTorrent,Gnutella (Bearshare, Limewire,etc), Kazaa, Imesh, Grobster。17.2.2  NTOP的安裝NTOP在http://www.ntop.org可以下載最新的源代碼。NTOP可以安裝在所有計算機(Linux/Unix/BSD/Windows)上，這里根據(jù)各服務(wù)器自身應(yīng)用的特點，定制規(guī)則，并將收集到的信息、告警等傳至網(wǎng)管員控制臺的NTOP控制中心。運行軟件需要 Libpcap庫支持。Libpcap是UNIX/Linux平臺下的網(wǎng)絡(luò)數(shù)據(jù)包捕獲函數(shù)包，大多數(shù)網(wǎng)絡(luò)監(jiān)控軟件都以它為基礎(chǔ)。Libpcap提供了系統(tǒng) 獨立的用戶級別網(wǎng)絡(luò)數(shù)據(jù)包捕獲接口，并充分考慮到應(yīng)用程序的可移植性。Libpcap可以在絕大多數(shù)類UNIX平臺下工作，Libpcap軟件包可從 http://www.tcpdump.org/下載。Windows客戶端安裝了WinPcap(http:// www.winpcap.org/)，它是網(wǎng)絡(luò)數(shù)據(jù)包截取驅(qū)動程序，能夠分析在線播放的流媒體直接下載地址信息，類似于Libpcap包，支持 Windows平臺。可以進行信息包捕獲和網(wǎng)絡(luò)分析，是基于UNIX的Libpcap和BPF（Berkeley分幀過濾器）模型的包。配置NTOP的網(wǎng) 絡(luò)拓撲，如圖17-2所示，核心交換機是SmartBits 6000C。其L3+模塊的NetStream功能兼容Cisco的NetFlowV5/V8格式，能夠提供對業(yè)務(wù)流量數(shù)據(jù)的精確統(tǒng)計。使用基于Linux平臺的NTOP作為收集和分析NetStream數(shù)據(jù)的工具。另外，還要安裝以下 函數(shù)庫：glibc, glibc-devel, gcc, gdbm, binutils, ncurses, RRDTool。

圖17-2  配置NTOP的網(wǎng)絡(luò)拓撲軟件安裝過程：＃rpm－ ivh  ntop-3.2-1.el4.rf.i386.rpm然后建立日志文件目錄：＃mkdir/var/log/ntop/建立賬號：#useradd -g ntop -s /bin/true -M ntop初始化：/usr/sbin/ntop -P /usr/share/ntop/ -u ntop -A啟動NTOP：＃ntop-i eth0第一次運行系統(tǒng)它會要你輸入管理員的密碼，預(yù)設(shè)密碼是admin，第二次執(zhí)行就不用再輸入，如果希望系統(tǒng)啟動時自動啟動NTOP，可以這樣操作。如果沒有打開窗口可以運行命令：＃ntsysv打開終端窗口，在NTOP服務(wù)選項加上*（用空格鍵），然后重新啟動系統(tǒng)，這樣系統(tǒng)會自動啟動NTOP監(jiān)控服務(wù)。這時你可以打開瀏覽器輸入http://IP:3000，即可打開管理界面。NTOP主界面如圖17-3所示。NTOP的主界面一共8個大版面，33個選項。主要包括以下內(nèi)容。① About：在線手冊。

圖17-3  NTOP主界面② Summary：目前網(wǎng)絡(luò)的整體概況。—  Traffic：流量。—  Hosts：所有主機的使用概況。—  Network Load：各時段的網(wǎng)絡(luò)負載。—  Netflows：網(wǎng)絡(luò)流量圖。③ IP Summary：各主機的流量狀況與排名明細。—  Traffic：所有主機的流量明細。—  Multicast：多點傳送情況。—  Domain：域名。—  Distribution：通信量狀況。—  Local >>Local：本地流量。—  Local>>Remote：所有主機對外的明細。—  Remote>>Local：遠程主機到本地流量。—  Remote>>Remote：遠程主機到遠程主機流量。④ All Protocols：查看各主機占用的頻寬與各時段網(wǎng)絡(luò)使用者等的明細。—  Traffic：流量。—  Throughput：頻寬使用明細表（點選主機，可以看到該主機詳細的信息及使用狀況）。—  Activity：各時段所有主機使用流量狀況（點選主機，可以看到該主機詳細的信息及使用狀況）。⑤ Local IP：局域網(wǎng)絡(luò)內(nèi)各主機使用狀況。—  Routers：路由器狀況。—  Ports Used：端口使用情況。—  Active TCP Sessions：目前正在進行的聯(lián)機。—  Host Fingerprint：主機快照情況。—  Host Characterization：主機描述。—  Local Matrix：局域網(wǎng)絡(luò)內(nèi)各主機間的流量明細。⑥ FC：光纖網(wǎng)絡(luò)的狀況。⑦ SCSI：SCSI設(shè)備狀況。⑧ Admin：新增NTOP使用者或重新啟動，停止NTOP。17.2.3  軟件使用方法NTOP是一個靈活的、功能齊全的，用來監(jiān)控和解決局域網(wǎng)問題的工具。它同時提供命令行輸入和Web界面，可應(yīng)用于嵌入式Web服務(wù)。下面分別介紹。1．Web瀏覽器方式（1）查看網(wǎng)絡(luò)的所有的計算機流量查看網(wǎng)絡(luò)整體流量用鼠標(biāo)點擊“Stats”按鈕后，下載“Triffic”選項。網(wǎng)絡(luò)流量會以柱面圖和明細表格的形式顯示出，如果你想查看網(wǎng)絡(luò)的所有的計算機流量，用鼠標(biāo)點擊“IP Traffic”－“Host”按鈕即可，如圖17-4所示。

圖17-4  網(wǎng)絡(luò)的所有的計算機流量（2）查看通信數(shù)據(jù)包（協(xié)議）比例數(shù)據(jù)包對于網(wǎng)絡(luò)管理的網(wǎng)絡(luò)安全具有至關(guān)重要的意義。比 如，防火墻的作用本質(zhì)就是檢測網(wǎng)絡(luò)中的數(shù)據(jù)包，判斷其是否違反了預(yù)先設(shè)置的規(guī)則，如果違反就加以阻止。Linux網(wǎng)絡(luò)中最常見的數(shù)據(jù)包是TCP和UDP。如果想了解一個計算機傳輸了哪些數(shù)據(jù)，可以雙擊計算機名稱即可分析出用戶各種網(wǎng)絡(luò)傳輸?shù)膮f(xié)議類型和占用帶寬的比例。如圖17-5、圖17-6所示。圖 17-5是全部網(wǎng)絡(luò)數(shù)據(jù)包柱狀圖，圖17-6是數(shù)據(jù)包（協(xié)議）比例圖。

圖17-5  全部網(wǎng)絡(luò)數(shù)據(jù)包柱狀圖

圖17-6  數(shù)據(jù)包（協(xié)議）比例圖說明  Linux網(wǎng)絡(luò)中最常見的數(shù)據(jù)包是TCP和UDP。1）面向連接的TCP“面向連接” 就是在正式通信前必須要與對方建立起連接。TCP（Transmission Control Protocol，傳輸控制協(xié)議）是基于連接的協(xié)議，也就是說，在正式收發(fā)數(shù)據(jù)前，必須和對方建立可靠的連接。一個TCP連接必須要經(jīng)過三次“對話”才能建立起來，其中的過程非常復(fù)雜，我們這里只做簡單、形象的介紹，你只要做到能夠理解這個過程即可。這三次對話的 簡單過程：主機A向主機B發(fā)出連接請求數(shù)據(jù)包“我想給你發(fā)數(shù)據(jù)，可以嗎？”，這是第一次對話；主機B向主機A發(fā)送同意連接和要求同步（同步就是兩臺主機一 個在發(fā)送，一個在接收，協(xié)調(diào)工作）的數(shù)據(jù)包“可以，你什么時候發(fā)？”，這是第二次對話；主機A再發(fā)出一個數(shù)據(jù)包確認主機B的要求同步“我現(xiàn)在就發(fā)，你接著吧！”，這是第三次對話。三次“對話”的目的是使數(shù)據(jù)包的發(fā)送和接收同步，經(jīng)過三次“對話”之后，主機A才向主機B正式發(fā)送數(shù)據(jù)。TCP協(xié)議能為應(yīng)用程序 提供可靠的通信連接，使一臺計算機發(fā)出的字節(jié)流無差錯地發(fā)往網(wǎng)絡(luò)上的其他計算機，對可靠性要求高的數(shù)據(jù)通信系統(tǒng)往往使用TCP傳輸數(shù)據(jù)。2）面向非連接的UDP協(xié)議“面向非連接”就是在正式通信前不必與對方先建立連接，不管對方狀態(tài)就直接發(fā)送。這與現(xiàn)在流行的手機短信非常相似：你在發(fā)短信的時候，只需要輸入對方手機號就OK了。UDP（User Data Protocol，用戶數(shù)據(jù)報協(xié)議）是與TCP相對應(yīng)的協(xié)議。它是面向非連接的協(xié)議，它不與對方建立連接，而是直接就把數(shù)據(jù)包發(fā)送過去。UDP適用于一次 只傳送少量數(shù)據(jù)、對可靠性要求不高的應(yīng)用環(huán)境。比如，我們經(jīng)常使用“ping”命令來測試兩臺主機之間TCP/IP通信是否正常，其實“ping”命令的 原理就是向?qū)Ψ街鳈C發(fā)送UDP數(shù)據(jù)包，然后對方主機確認收到數(shù)據(jù)包，如果數(shù)據(jù)包是否到達的消息及時反饋回來，那么網(wǎng)絡(luò)就是通的。例如，在默認狀態(tài)下，一次 “ping”操作發(fā)送4個數(shù)據(jù)包。發(fā)送的數(shù)據(jù)包數(shù)量是4包，收到的也是4包（因為對方主機收到后會發(fā)回一個確認收到的數(shù)據(jù)包）。這充分說明了UDP是面向 非連接的協(xié)議，沒有建立連接的過程。正因為UDP沒有連接的過程，所以它的通信效率高；但也正因為如此，它的可靠性不如TCP高。QQ就使用UDP發(fā)消息，因此，有時會出現(xiàn)收不到消息的情況。（3）查看端口使用情況網(wǎng)絡(luò)中有許多TCP數(shù)據(jù)包和UDP數(shù)據(jù)包在傳送，根據(jù) 它們使用的不同端口，就可以識別它們的用途，從而可判斷網(wǎng)絡(luò)中有什么類型的數(shù)據(jù)在傳送，為網(wǎng)絡(luò)管理提供依據(jù)。在網(wǎng)絡(luò)技術(shù)中，端口（Port）有好幾種意 思。集線器、交換機、路由器的端口指的是連接其他網(wǎng)絡(luò)設(shè)備的接口，如RJ—45端口、Serial端口等。我們這里所指的端口不是指物理意義上的端口，而 是特指TCP/IP中的端口，是邏輯意義上的端口。如果想了解一個計算機傳輸數(shù)據(jù)使用哪些端口，可以雙擊計算機名稱即可分析出網(wǎng)絡(luò)傳輸?shù)膮f(xié)議使用的端口號。如圖17-7所示。

圖17-7  端口使用情況（4）使用NTOP監(jiān)控SAN網(wǎng)絡(luò)SAN（Storage AreaNetwork的縮寫）意為存儲區(qū)域網(wǎng)絡(luò)，是真正的專注于企業(yè)級的存儲。SAN采用一個分離的網(wǎng)絡(luò)（從傳統(tǒng)的局域網(wǎng)中分離）連接所有的存儲器和服務(wù)器，這個網(wǎng)絡(luò)可以采用高性能的實現(xiàn)技術(shù)，如光纖通道（Fiber Channel），可以容納SCSI等協(xié)議，使數(shù)據(jù)塊的移動更為有效，也便于用戶自由增加磁盤陣列、磁帶庫或服務(wù)器等設(shè)備?，F(xiàn)在的SAN基本都是通過 Fibre Channel來實現(xiàn)的。Fibre Channel，又稱光纖通道，是利用專用設(shè)備進行數(shù)據(jù)高速傳輸?shù)囊环N網(wǎng)絡(luò)標(biāo)準(zhǔn)，主要用于連接服務(wù)器的干線（backbones），并把服務(wù)器連接到存儲 設(shè)備上。與光纖通道相比，iSCSI具有許多優(yōu)勢，用 “iSCSI=低廉+高性能”這個等式來表示再恰當(dāng)不過了。iSCSI是基于IP的技術(shù)標(biāo)準(zhǔn)，實現(xiàn)了SCSI和TCP/IP的連接，那些以局域網(wǎng)為網(wǎng)絡(luò)環(huán)境的用戶只需要少量的投入，就可以方便、快捷地對信息和數(shù)據(jù)進行交互式傳輸和管理。相對于以往的網(wǎng)絡(luò)接入存儲，iSCSI的產(chǎn)生解決了開放性、容量、傳輸速度，以及兼容性等許多問題，讓用戶可以通過現(xiàn)有的TCP/IP網(wǎng)絡(luò)來構(gòu)建存儲區(qū)域網(wǎng)，能夠更容易地管理SAN存儲。NTOP最新版本比MRTG的最大優(yōu)勢是可以監(jiān)控SAN網(wǎng)絡(luò)。工作界面如圖17-8所示。

圖17-8  使用NTOP監(jiān)控SAN網(wǎng)絡(luò)（5）NTOP提供的插件NTOP還提供幾個插件，最主要包括以下幾個。—  icmpWatch：用于端口檢測。很多人都已經(jīng)知道了可以借助netstat-an來查看當(dāng)前的連接與開放的端口，但netstat并不萬能，比如你的 Win2000遭到OOB攻擊的時候，不等netstat你就已經(jīng)死機了。為此，出現(xiàn)了一種特殊的小工具——端口監(jiān)聽程序。端口監(jiān)聽并不是一項復(fù)雜的技 術(shù)，但卻能解決一些局部問題。—  NetFlow：近年來，很多服務(wù)提供商一直使用NetFlow。因為NetFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力，可以幫助支持對等點上的最佳傳輸流，同時可以用來進行建立在單項服務(wù)基礎(chǔ)之上的基礎(chǔ)設(shè)施最優(yōu)化評估，解決服務(wù)和安全問題方面所表現(xiàn)出來的價值，為服務(wù)計費提供基礎(chǔ)。NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標(biāo)準(zhǔn)的交換模式處理數(shù)據(jù)流的第一個IP數(shù)據(jù)包，生成NetFlow緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同 一個數(shù)據(jù)流中進行傳輸，不再匹配相關(guān)的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。但是，NetFlow也不是萬能的，比如它無法提供應(yīng)用反應(yīng)時間。—  rrdPlugin：用于生成流量圖。RRD可以簡單地說是MRTG的升級版，它比MRTG更靈活，更適合用shell、Perl等程序來調(diào)用，生成所要的圖片。—  sFlow（RFC 3176）：基于標(biāo)準(zhǔn)的最新網(wǎng)絡(luò)導(dǎo)出協(xié)議，能夠解決當(dāng)前網(wǎng)絡(luò)管理人員面臨的很多問題。sFlow已經(jīng)成為一項線速運行的“永遠在線”技術(shù)，可以將 sFlow技術(shù)嵌入到網(wǎng)絡(luò)路由器和交換機ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術(shù)的傳統(tǒng)網(wǎng)絡(luò)監(jiān)視解決方案相比，sFlow能夠明顯地降低實施費用，同時可以使面向每一個端口的企業(yè)網(wǎng)絡(luò)監(jiān)視解決方案成為可能。與數(shù)據(jù)包采樣技術(shù)（如RMON）不同，sFlow是一種導(dǎo)出格式，它增加了關(guān)于被監(jiān)視數(shù) 據(jù)包的更多信息，并使用嵌入到網(wǎng)絡(luò)設(shè)備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，因此，在功能和性能上都超越了當(dāng)前使用的RMON、RMON II和NetFlow技術(shù)。sFlow技術(shù)獨特之處在于它能夠在整個網(wǎng)絡(luò)中，以連續(xù)實時的方式監(jiān)視每一個端口，但不需要鏡像監(jiān)視端口，對整個網(wǎng)絡(luò)性能的影 響也非常小。NTOP插件工作界面如圖17-9所示。

圖17-9  NTOP插件工作界面2．命令行方式實際上我們還可以通過命令行方式來使用NTOP，一般高手都是這樣操作的，因為命令行下修改和添加設(shè)置非常迅速，而且還有很多圖形化無法實現(xiàn)的操作，特別適合遠程操作。如圖17-10所示。

圖17-10  命令行下的NTOP常用參數(shù)如下。— -d：放入后臺執(zhí)行。— -L：輸出信息寫入系統(tǒng)記錄文件。— -r：設(shè)定頁面的自動更新頻率，預(yù)設(shè)每3秒更新一次。— -w：使用其他端口（預(yù)設(shè)是3000）。— -W：同–w，不過這個是使用SSL聯(lián)機。— -u：指定使用其他身份執(zhí)行。— -i：指定NTOP監(jiān)聽的網(wǎng)卡，“,”隔開多個網(wǎng)卡。— -M：使用-i指定多張網(wǎng)卡時，預(yù)設(shè)是合并統(tǒng)計，若要分別統(tǒng)計，加此參數(shù)。— -h：獲取幫助信息。如果安裝了Lynx瀏覽器還可以大大方便管理。方法是使用命令“l(fā)ynx：http://ip:3000”即可，如圖17-11所示。

圖17-11  命令行瀏覽器下的NTOPNTOP有很多命令行參數(shù)，可以使用“ntop－h(huán)”獲取幫助信息。另外在首選單“About”的“Man Page”中有200頁的常見問題回答。這樣你也可以自己輕松監(jiān)控流量了。在線官方文件http://www.ntop. org/ntop-overview.pdf。