Ntop網路流量監控

這個工具可以讓網管人員了解單位內各個主機網路流量使用情形，協助網管人員偵測可疑的網路流量及主機。原始網站www.ntop.org

所需套件：

網址http://rpm.pbone.net/

perl-Crypt-DES-2.03-2.dag.rh90.i386.rpm （Crypt::DES Perl module ）

perl-Net-SNMP-4.1.0-0.dag.rh90.noarch.rpm（Net::SNMP module）

網址 http://www.ntop.org

rrdtool-1.0.41-1.8.0.ntop.i386.rpm（RRD(Round Robin Database) Tool ）

ntop-2.2-0.i386.rpm

1.          首先請依序安裝套件：

rpm –ivh perl-Crypt-DES-2.03-2.dag.rh90.i386.rpm

rpm –ivh perl-Net-SNMP-4.1.0-0.dag.rh90.noarch.rpm

rpm –ivh rrdtool-1.0.41-1.8.0.ntop.i386.rpm

rpm –ivh ntop-2.2-0.i386.rpm

ntop安裝完成後會系統會自動新增一個ntop的user，未來會以ntop來啟動ntop這個service。

2.          建立ntop.conf檔

cp /etc/ntop.conf.sample /etc/ntop.conf

3.          查看首次啟動所需動作

less /usr/share/doc/ntop-2.2/1STRUN.txt

4.          首次啓動

/usr/bin/ntop -P /usr/share/ntop -u ntop -A

-P [directory]指定.db檔存放路徑

-u [user]指定service啟動user

-A 設定管理者密碼，ntop會內建admin管理者帳號於ntop中

5.          編修/etc/ntop.conf檔

--interface eth1,lo

#--no-mac

--local-subnets 192.168.10.0/24

--http-server 3000

6.          啟動ntop

/etc/init.d/ntop start

7.          http://localhost:3000查看網路流量

ntop安裝位置及cisco switch SPAN port開啟方式：

ntop與snort這類網路監控軟體，若是架設在hub下時便能監測到網路上所有的封包。但若是架設在switch環境下時，除非是開啟SPAN的功能否則只能監測給自己的封包。下面示範cisco switch設定SPAN的方式，其它廠牌的switch作法類似。

輸入密碼後進入enable模式（提示符號為#）

#conf t

(config)#interface fastEthernet 0/3

(config-if)#port monitor fastEthernet 0/4

(config-if)#port monitor fastEthernet 0/5

(config-if)#^Z

#write

#exit

ntop若架設於NAT主機上，也可監測到所有藉由NAT出去的流量資訊。