假如說讓網(wǎng)絡治理員最頭疼的問題，恐怕大家都會回答是網(wǎng)絡帶寬匱乏了，實際情況確實如此，隨著網(wǎng)絡應用與網(wǎng)絡軟件的越來越多，占用帶寬資源的服務也越來越多。我們究竟應該怎么治理網(wǎng)絡成為一個非常嚴厲的問題。BT，P2P等軟件吞噬著網(wǎng)絡帶寬，蠕蟲等網(wǎng)絡病毒也使網(wǎng)絡應用變得枯竭。從某種意義上講帶寬就是錢，那么我們這些網(wǎng)絡治理員如何有效的從監(jiān)視到控制公司的網(wǎng)絡流量呢？筆者為各位讀者介紹一個不可多得的監(jiān)控網(wǎng)絡流量的工具:NTOP。
 
一 .為什么需要對流量監(jiān)控？

    假如作為一名普通網(wǎng)絡用戶，在浩瀚的互聯(lián)網(wǎng)暢游之時，沒有人會注重到平靜的海面下其實暗流洶涌。一般來說，網(wǎng)絡治理者所需要了解的是各個網(wǎng)段的使用情形，頻寬的使用率，網(wǎng)絡問題的瓶頸發(fā)生于何處。當網(wǎng)絡問題發(fā)生時，必須能夠很快地區(qū)隔出問題的發(fā)生原因，迅速定位到線路問題、網(wǎng)絡設備問題、或者是路由和放火墻的設定問題。在一個稍微較小的網(wǎng)絡中，一個有經(jīng)驗的治理者要回答這些問題并不難，但是假如其所治理的網(wǎng)絡范圍過于龐大，那么就可能需要一個有效率的網(wǎng)管系統(tǒng)了。在業(yè)務繁忙的工作網(wǎng)絡中，網(wǎng)絡忽然緩慢，在重要數(shù)據(jù)往來的工作時間段，留給系統(tǒng)治理員的響應時間只有寶貴的十幾分鐘、甚至幾分鐘。假如你不能回答網(wǎng)絡為什么緩慢？必須在經(jīng)過科學合理的計算和統(tǒng)計，并且在預先建立的流量分析系統(tǒng)中才能找到答案。
 
    P2P（Peer-to-Peer）是一種用于文件交換的新技術，通過Internet答應建立分散的、動態(tài)的、匿名的邏輯網(wǎng)絡。P2P為對等連接或?qū)Φ染W(wǎng)絡，點對點網(wǎng)絡技術，可應用于文件共享交換，深度搜索、分布計算等領域。它答應個體的PC通過Internet共享文件。隨著P2P文件交換應用的普及，ISP在維持和增加寬帶網(wǎng)的收益上也面臨著新的挑戰(zhàn)和機遇。據(jù)有關資料統(tǒng)計，現(xiàn)有的網(wǎng)絡中有超過70%的帶寬被P2P通信占據(jù)著。P2P通信會導致異常的流量峰值，對網(wǎng)絡資源造成意外的變形；所帶來的網(wǎng)絡擁塞、性能下降等問題，已影響到正常的網(wǎng)絡應用，如WWW、Email等，緩慢的網(wǎng)頁瀏覽和收發(fā)郵件速度更引起普通用戶的不滿。
 
    若想控制P2P通信，就必須對P2P通信進行有效地識別，然而，許多P2P通信使用了不同的通信技術和協(xié)議，使用傳統(tǒng)的技術來識別它們非常困難。 比如，許多P2P協(xié)議不使用固定的端口，而是動態(tài)地使用端口，包括使用一些知名服務的端口。KaZaA就是可以使用端口80（通常是http/web來使用）來通信的，從而穿透傳統(tǒng)的基于ip和端口的防火墻和包過濾器。所以，通過簡單的基于IP和端口的分類技術（分析IP包頭、IP地址、端口號等）很難識別、跟蹤或控制這類通信。

    過去有一段時間，有人使用監(jiān)測6881~6889端口來識別BT（BitTorrent），但這種做法現(xiàn)在早已失效——BT已不再使用固定的6881~6889端口來通信，而是動態(tài)地使用端口。隨著P2P應用的不斷增長，更多的通信協(xié)議被使用；識別和分類P2P的技術必須快速、簡單，以適應這種技術的變化。現(xiàn)在，識別P2P通信的方法是在應用層分析數(shù)據(jù)包，看是否有某個應用協(xié)議的特征碼，然后確定通信的種類。應用層分析數(shù)據(jù)包的基本方法是，假如應用層數(shù)據(jù)包的頭部有“220 FTP server ready”的特征串，可以確定是在使用ftp程序；假如有“HTTP/1.1 200 ok”的特征串，可以確定是在使用http傳送數(shù)據(jù)。

   談到網(wǎng)絡流量監(jiān)控，相信大家都熟悉MRTG這個工具。但是MRTG存在許多缺點：

    1.  使用文本式的數(shù)據(jù)庫，數(shù)據(jù)不能重復使用；
    2.  只能按日、周、月、年來查看數(shù)據(jù)；
    3.  只能畫兩個DS（一條線、一個塊）；
    4.  無治理功能；
    5.  沒有具體日志系統(tǒng)；
    6.  無法具體了解一一流量具體構成；
    7.  只能用于TCP/IP網(wǎng)絡對于 SAN 和iSCSI網(wǎng)絡流量無能為力;
    8.  不能在命令行下工作；
    9.  過于依靠SNMP協(xié)議。

    MRTG基于SNMP協(xié)議獲取信息，對于端口的流量，MRTG能提供精確統(tǒng)計，但對于3層以上的信息則無從得知了。而這正是NTOP的強項。NTOP能夠更加直觀的將網(wǎng)絡使用量的情況和每個節(jié)點計算機的網(wǎng)絡帶寬使用具體情況顯示出來。ntop是一種網(wǎng)絡嗅探器，嗅探器在協(xié)助監(jiān)測網(wǎng)絡數(shù)據(jù)傳輸、排除網(wǎng)絡故障等方面有著不可替代的作用。可以通過分析網(wǎng)絡流量來確定網(wǎng)絡上存在的各種問題，如瓶頸效應或性能下降；也可以用來判定是否有黑客正在攻擊網(wǎng)絡系統(tǒng)。假如懷疑網(wǎng)絡正在遭受攻擊，通過嗅探器截獲的數(shù)據(jù)包可以確定正在攻擊系統(tǒng)的是什么類型的數(shù)據(jù)包，以及它們的源頭，從而可以及時地做出響應，或者對網(wǎng)絡進行相應的調(diào)整，以保證網(wǎng)絡運行的效率和安全。

    通過ntop網(wǎng)管員還可以很方便地確定出哪些通信量屬于某個特定的網(wǎng)絡協(xié)議、占主要通信量的是那個主機、各次通訊的目標是哪個主機、數(shù)據(jù)包發(fā)送時間、各主機間數(shù)據(jù)包傳遞的間隔時間等。這些信息為網(wǎng)管員判定網(wǎng)絡問題及優(yōu)化網(wǎng)絡性能，提供了十分寶貴的信息。ntop提供以下一些功能：

    1. 自動從網(wǎng)絡中識別有用的信息；
    2. 將截獲的數(shù)據(jù)包轉(zhuǎn)換成易于識別的格式；
    3. 對網(wǎng)絡環(huán)境中的通訊失敗進行分析；
    4. 探測網(wǎng)絡環(huán)境下的通訊瓶頸；
    5. 記錄網(wǎng)絡通信時間和過程；
    6.自動識別客戶端正在使用的操作系統(tǒng)；
    7.可以在命令行和Web兩種方式運行。

    連接性 也稱可用性、連通性或者可達性，嚴格說應該是網(wǎng)絡的基本能力或?qū)傩浴nternet的出現(xiàn)以及采用新技術而帶來的生產(chǎn)力提高，導致對更高帶寬和服務的需求。企業(yè)需要更高帶寬的定制服務；而消費者則需要像寬帶連接和視頻點播等服務；運營商必須在他們的目標市場需求與他們業(yè)務的現(xiàn)實之間取得平衡；這些都必須以網(wǎng)絡的連接性能為基礎和保障。

    時延 定義了一個IP包穿越一個或多個網(wǎng)段所經(jīng)歷的時間。時延由固定時延和可變時延兩部分組成。固定時延基本不變，由傳播時延和傳輸時延構成；可變時延由中間路由器處理時延和排隊等待時延兩部分構成。

    丟包率 是指丟失的IP包與所有的IP包的比值。許多因素會導致數(shù)據(jù)包在網(wǎng)絡上傳輸時被丟棄，例如數(shù)據(jù)包的大小以及數(shù)據(jù)發(fā)送時鏈路的擁塞狀況等。不同業(yè)務對丟包的敏感性不同，在多媒體業(yè)務中，丟包是導致圖像質(zhì)量降低和斷幀的根本原因。

    帶寬 一般分為瓶頸帶寬和可用帶寬。瓶頸帶寬是指當一條路徑（通路）中沒有其它背景流量時，網(wǎng)絡能夠提供的最大的吞吐量。可用帶寬是指在網(wǎng)絡路徑（通路）存在背景流量的情況下，能夠提供給某個業(yè)務的最大吞吐量。在復雜的網(wǎng)絡系統(tǒng)上面，不同的應用占用不同的帶寬，重要的應用是否得到了最佳的帶寬？它占的比例是多少？隊列設置和網(wǎng)絡優(yōu)化是否生效？通過例如MRTG等網(wǎng)絡流量分析會使其更加明確，并以圖形Html文檔方式顯示給用戶，以非常直觀的形式顯示流量負載。
主動分析避免異常流量

    面對異常流量，我們應當建立一套分析系統(tǒng)，支持異常流量發(fā)現(xiàn)和報警，能夠通過對一個時間段內(nèi)歷史數(shù)據(jù)的自動學習，獲取包括總體網(wǎng)絡流量水平、流量波動、流量跳變等在內(nèi)的多種網(wǎng)絡流量測度，并自動建立當前流量的置信度區(qū)間作為流量異常監(jiān)測的基礎。

    假如自行建立主動型的網(wǎng)絡分析系統(tǒng)一般包括：測量節(jié)點、中心服務器、數(shù)據(jù)庫和分析服務器。但對于中小企業(yè)來說難度較大。主動分析是借助產(chǎn)品化和集成程度較高的測量工具，有目的對生產(chǎn)網(wǎng)絡注入監(jiān)控點，并根據(jù)測量數(shù)據(jù)流的傳送情況來分析網(wǎng)絡的性能。雖然這些監(jiān)控點也會占用帶寬，但和P2P下載所占用的可用帶寬相比是微不足道的。 排除病毒和封鎖P2P之后，一般帶寬占用前兩名的應用是基于網(wǎng)站頁面的在線音頻與在線視頻。為了節(jié)約帶寬，我們應該在工作時間段對其進行限制和封鎖。

    ntop和MRTG相比相比它的安裝配置比較簡單，可以不使用Web服務器。目前市場上可網(wǎng)管型的交換機、路由器都支持SNMP協(xié)議，Ntop支持簡單網(wǎng)絡治理協(xié)議所以可以進行網(wǎng)絡流量監(jiān)控。ntop幾乎可以監(jiān)測網(wǎng)絡上的所有協(xié)議: TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP－BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技術的協(xié)議eDonkey, Overnet, Bittorrent, Gnutella (Bearshare, Limewire,etc), (Kazaa, Imesh, Grobster)。

    NTOP在http://www.ntop.org　 可以下載最新版本安裝使用。作者是LUCa Deri。NTOP可以安裝在所有計算機(linux/Unix/BSD/Windows)上，這里根據(jù)各服務器自身應用的特點，定制規(guī)則，并將收集到的信息、告警等傳至網(wǎng)管員控制臺的NTOP控制中心。運行軟件需要winpcap庫支持。winpcap 是 Windows 平臺下的網(wǎng)絡數(shù)據(jù)包捕捉函數(shù)包，大多數(shù)網(wǎng)絡監(jiān)控軟件都以它為基礎。Libpcap 提供了系統(tǒng)獨立的用戶級別網(wǎng)絡數(shù)據(jù)包捕捉接口，并充分考慮到應用程序的可移植性。Libpcap 可以在絕大多數(shù)類 unix 平臺下工作，Libpcap 軟件包可從 http://www.tcpdump.org/ 下載。Windows客戶端安裝WinPcap( http://www.winpcap.org/ )它是網(wǎng)絡數(shù)據(jù)包截取驅(qū)動程序，能夠分析在線播放的流媒體直接下載地址信息類似與libpcap的包，支持Windows平臺。網(wǎng)絡拓樸見圖1，核心交換機是SmartBits 6000C。其L3+模塊的NetStream功能兼容Cisco的NetFlow V5/V8格式，能夠提供對業(yè)務流量數(shù)據(jù)的精確統(tǒng)計。使用基于Windows平臺的ntop作為收集和分析NetStream數(shù)據(jù)的工具。
  圖－1 網(wǎng)絡拓撲NTOP安裝位置   
    軟件下載(下載聯(lián)結：http://luca.ntop.org/ntop-3.2-demo.exe )和安裝和普通軟件沒有區(qū)別。這里就不贅述了，NTOP是以服務形式運行。打開Windows 3000、3001端口。Windows 2003 打開3000端口的方法：在“網(wǎng)上鄰居”*“屬性”*“本地連接”*“屬性”*“Internet協(xié)議(TCP/IP)”*“屬性”*“高級”*“選項”*“TCP/IP 篩選”*“屬性”*“打開TCP/IP 篩選”，添加需要的TCP協(xié)議（3000、3001，見圖2 。
 
圖2 開啟3000端口 
    這時你可以打開瀏覽器輸入:http://IP:3000即可打開治理界面。

SAN（Storage Area Network的縮寫）意為存儲區(qū)域網(wǎng)絡，是真正的專注于企業(yè)級的存儲。SAN采用一個分離的網(wǎng)絡（從傳統(tǒng)的局域網(wǎng)中分離）連接所有的存儲器和服務器，這個網(wǎng)絡可以采用高性能的實現(xiàn)技術，如光纖通道（Fiber Channel），可以容納SCSI等協(xié)議，使數(shù)據(jù)塊的移動更為有效，也便于用戶自由增加磁盤陣列、磁帶庫或服務器等設備。現(xiàn)在的SAN基本都是通過Fibre Channel來實現(xiàn)的，F(xiàn)ibre Channel，簡稱FIBRE CHANNEL，又稱光纖通道，是利用專用設備進行數(shù)據(jù)高速傳輸?shù)囊环N網(wǎng)絡標準，主要用于連接服務器的干線（backbones），并把服務器連接到存儲設備上。NTOP最新版本比MRTG的最大優(yōu)勢是可以監(jiān)控SAN和SCSI設備，作界面見圖6。
 

 
圖6 使用ntop監(jiān)控SAN網(wǎng)絡

 
    （5）NTOP的插件。NTOP還提供的四個插件：

    ICMPWATCH：用于端口檢測很多人都已經(jīng)知道了可以借助NETSTAT -AN來查看當前的連接與開放的端口，但NETSTAT并不萬能，比如你的Win2000遭到OOB攻擊的時候，不等NETSTAT你就已經(jīng)死機了。為此，出現(xiàn)了一種非凡的小工具——端口監(jiān)聽程序。端口監(jiān)聽并不是一項復雜的技術，但卻能解決一些局部問題。

    NetFlow：近年來，很多服務提供商一直使用NetFlow。因為NetFlow在大型廣域網(wǎng)環(huán)境里具有伸縮能力，可以幫助支持對等點上的最佳傳輸流，同時可以用來進行建立在單項服務基礎之上的基礎設施最優(yōu)化評估，解決服務和安全問題方面所表現(xiàn)出來的價值，為服務計費提供基礎。NetFlow是一種數(shù)據(jù)交換方式，其工作原理是：NetFlow利用標準的交換模式處理數(shù)據(jù)流的第一個IP包數(shù)據(jù)，生成NetFlow 緩存，隨后同樣的數(shù)據(jù)基于緩存信息在同一個數(shù)據(jù)流中進行傳輸，不再匹配相關的訪問控制等策略，NetFlow緩存同時包含了隨后數(shù)據(jù)流的統(tǒng)計信息。但是，NetFlow也不是萬能的，比如它無法提供給用反應時間。

    rrdPlugin：用于生成流量圖。RRD的作者，也是MRTG的作者，RRD可以簡單的說是MRTG的升級版，它比MRTG更靈活，更適合用shell、perl等程序來調(diào)用，成生所要的圖片。

    sFlow：sFlow（RFC 3176）是基于標準的最新網(wǎng)絡導出協(xié)議，能夠解決當前網(wǎng)絡治理人員面臨的很多問題。sFlow已經(jīng)成為一項線速運行的“永遠在線”技術，可以將sFlow技術嵌入到網(wǎng)絡路由器和交換機ASIC芯片中。與使用鏡像端口、探針和旁路監(jiān)測技術的傳統(tǒng)網(wǎng)絡監(jiān)視解決方案相比，sFlow能夠明顯地降低實施費用，同時可以使面向每一個端口的全企業(yè)網(wǎng)絡監(jiān)視解決方案成為可能。與數(shù)據(jù)包采樣技術（如RMON）不同，sFlow是一種導出格式，它增加了關于被監(jiān)視數(shù)據(jù)包的更多信息，并使用嵌入到網(wǎng)絡設備中的sFlow代理轉(zhuǎn)發(fā)被采樣數(shù)據(jù)包，因此在功能和性能上都超越了當前使用的RMON、RMON II和NetFlow技術。sFlow技術獨特之處在于它能夠在整個網(wǎng)絡中，以連續(xù)實時的方式監(jiān)視每一個端口，但不需要鏡像監(jiān)視端口，對整個網(wǎng)絡性能的影響也非常小。
   
    NTOP插件工作界面見圖7。
  
圖 7 NTOP提供的插件