没有合适的资源?快使用搜索试试~ 我知道了~
安全实现Linux网络监控知识.pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 119 浏览量
2022-02-04
21:27:33
上传
评论
收藏 74KB PDF 举报
温馨提示
试读
13页
安全实现Linux网络监控知识.pdf
资源推荐
资源详情
资源评论
一、 SNMP简介
SNMP 是专门设计用于在 IP 网络管理网络节点(服务器、工作站、路由器、交
换机及 HUBS 等)的一种标准协议, 它是一种应用层协议。 SNMP 使网络管理员
能够管理网络效能, 发现并解决网络问题以及规划网络增长。 通过 SNMP 接收随
机消息(及事件报告)网络管理系统获知网络出现问题。简单网络管理协议 (SN
MP)首先是由 Internet 工程任务组织 (Internet Engineering Task Force)(IET
F) 的研究小组为了解决 Internet 上的路由器管理问题而提出的。许多人认为 S
NMP在 IP 上运行的原因是 Internet 运行的是 TCP/IP 协议,然而事实并不是这
样。 SNMP被设计成与协议无关,所以它可以在 IP,IPX,AppleTalk ,OSI以及
其他用到的传输协议上被使用。 询时顺序不对, 那么关于一些大的灾难性的事件
的通知又会太馒。这就违背了积极主动的网络管理目的。
SNMP协议运行在 UDP协议之上,它利用的是 UDP协议的 161/162 端口。其中 16
1 端口被设备代理监听,等待接受管理者进程发送的管理信息查询请求消息; 1
62 端口由管理者进程监听等待设备代理进程发送的异常事件报告陷阱消息,如
Trap 等。 SNMP提供三类操作,分别为 Get、Set 和 Trap。
2.MRTG软件的不足
谈到网络流量监控, 相信大家都熟悉 MRTG这个工具。MRTG监测网卡流量很方便,
但是如果需要监测其它的系统性能比如 CPU负载、系统负载, 网络连接数等, 就
不是那么简单了。即使实现了这些功能,但管理起来非常麻烦。比如公司有 1、
2 千个被监测点,分布在不同的机房,为了管理方便需要将这些服务器和网络设
备分类,这样的话就需要将这些被监测点放在不同的 MRTG配置文件中,运行多
个 crontab ,甚至还要自己写 HTML页面对其进行管理。 MRTG存在许多缺点:
1. 使用文本式的数据库,数据不能重复使用;
2. 只能按日、周、月、年来查看数据;
3. 只能画两个 DS(一条线、一个块);
4. 无管理功能;
5. 没有详细日志系统;
6. 无法详细了解一一流量具体构成;
7. 只能用于 TCP/IP 网络对于 SAN网络流量无能为力 ;
8. 不能在命令行下工作。
MRTG毕竟是一套很老的软件了,而且存在许多不足的地方,其作者 Tobias Oet
iker 在 1999 年就已经开始开发另一套开源软件 RRDTool来代替 MRTG。现在 RRD
Tool 在已经发展得成熟,在功能上 MRTG难以与其相提并论。
3. RRDTool 的特点
优点:
1. 使用 RRD(Round Robin Database )存储格式,数据等于放在数据库中,可
以方便的调用。比如将一个 RRD文件中的数据与另一个 RRD文件中的数据相加;
2. 可以定义任意时间段画图,可以用半年数据画一张图,也用半小时内的数据
画一张图;
3. 能画任意个 DS,多种的图形显示方式;
4. 数据存储与绘图分开,减轻系统负载;
5. 能任意处理 RRD文件中的数据,比如在浏览监测中我们需要将数据由 Bytes
转化为 Bits ,可以将原始数据乘 8。
缺点:
1. RRDTool 的作用只是存储数据和画图,它没有 MRTG中集成的数据采集功能;
2. 在命令行的使用非常复杂,参数极多。
3. 无用户、图像管理功能。
二、安装配置 NTOP监控 Linux 网络
1 P2P 对于网络流量提出挑战
如果说让 Linux 网络管理员最头疼的问题,恐怕大家都会回答是网络带宽匮乏
了,实际情况确实如此, 随着网络应用与网络软件的越来越多, 占用带宽资源的
服务也越来越多。我们究竟应该怎么管理网络成为一个非常严肃的问题。 BT,P
2P等软件吞噬着网络带宽,蠕虫等网络病毒也使网络应用变得枯竭。从某种意
义上讲带宽就是钱, 那么我们这些网络管理员如何有效的监视、 控制公司的网络
流量呢?下面笔者为读者介绍一个不可多得的监控网络流量的工具 :NTOP。
1.Linux 异构网络中 P2P流量情况
P2P(Peer-to-Peer )是一种用于文件交换的新技术, 通过 Internet 允许建立分
散的、动态的、匿名的逻辑网络。 P2P为对等连接或对等网络, 点对点网络技术,
可应用于文件共享交换,深度搜索、分布计算等领域。它允许个体的 PC通过 In
ternet 共享文件。随着 P2P文件交换应用的普及, ISP 在维持和增加宽带网的收
益上也面临着新的挑战和机遇。据有关资料统计,现有的网络中有超过 70%的带
宽被 P2P通信占据着。 P2P通信会导致异常的流量峰值,对网络资源造成意外的
变形;所带来的网络拥塞、 性能下降等问题, 已影响到正常的网络应用, 如 WWW、
Email 等,缓慢的网页浏览和收发邮件速度更引起普通用户的不满。
若想控制 P2P通信,就必须对 P2P通信进行有效地识别, 然而,许多 P2P通信使
用了不同的通信技术和协议, 使用传统的技术来识别它们非常困难。 比如,许多
P2P协议不使用固定的端口,而是动态地使用端口,包括使用一些知名服务的端
口。 KaZaA就是可以使用端口 80(通常是 http/web 来使用)来通信的,从而穿
透传统的基于 IP 和端口的防火墙和包过滤器。 所以,通过简单的基于 IP 和端口
的分类技术(分析 IP 包头、 IP 地址、端口号等)很难识别、跟踪或控制这类通
信。过去有一段时间,有人使用监测 6881~6889端口来识别 BT(BitTorrent ),
但这种做法现在早已失效—— BT已不再使用固定的 6881~6889端口来通信,而
是动态地使用端口。 随着 P2P应用的不断增长, 更多的通信协议被使用; 识别和
分类 P2P的技术必须快速、简单,以适应这种技术的变化。现在,识别 P2P通信
的方法是在应用层分析数据包, 看是否有某个应用协议的特征码, 然后确定通信
的种类。应用层分析数据包的基本方法是,如果应用层数据包的头部有“ 220 f
tp server ready ”的特征串,可以确定是在使用 ftp 程序;如果有“ HTTP/1.1
200 ok ”的特征串,可以确定是在使用 http 传送数据。
2.ntop 的功能
MRTG基于 SNMP协议获取信息, 对于端口的流量, MRTG能提供精确统计, 但对于
3 层以上的信息则无从得知了。而这正是 NTOP的强项。 NTOP能够更加直观的将
网络使用量的情况和每个节点计算机的网络带宽使用详细情况显示出来。 ntop
是一种网络嗅探器, 嗅探器在协助监测网络数据传输、 排除网络故障等方面有着
不可替代的作用。 可以通过分析网络流量来确定网络上存在的各种问题, 如瓶颈
效应或性能下降; 也可以用来判断是否有黑客正在攻击网络系统。 如果怀疑网络
正在遭受攻击,通过嗅探器截获的数据包可以确定正在攻击系统的是什么类型的
数据包,以及它们的源头, 从而可以及时地做出响应, 或者对网络进行相应的调
整,以保证网络运行的效率和安全。通过 ntop 网管员还可以很方便地确定出哪
些通信量属于某个特定的网络协议、 占主要通信量的是那个主机、 各次通讯的目
标是哪个主机、 数据包发送时间、 各主机间数据包传递的间隔时间等。 这些信息
为网管员判断网络问题及优化网络性能,提供了十分宝贵的信息。
ntop 提供以下一些功能:
1. 自动从网络中识别有用的信息;
2. 将截获的数据包转换成易于识别的格式;
3. 对网络环境中的通讯失败进行分析;
4. 探测网络环境下的通讯瓶颈;
5. 记录网络通信时间和过程。
6. 自动识别客户端正在使用的操作系统 .
7. 可以在命令行和 Web两种方式运行 .
3. 主动分析避免异常流量
面对异常流量, 我们应当建立一套分析系统, 支持异常流量发现和报警, 能够通
过对一个时间段内历史数据的自动学习, 获取包括总体网络流量水平、 流量波动、
流量跳变等在内的多种网络流量测度, 并自动建立当前流量的置信度区间作为流
量异常监测的基础。
如果自行建立主动型的网络分析系统一般包括: 测量节点、 中心服务器、 数据库
和分析服务器。 但对于中小企业来说难度较大。 主动分析是借助产品化和集成程
剩余12页未读,继续阅读
资源评论
cyh76339129
- 粉丝: 1
- 资源: 14万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功