NTOP可以监测的数据包括:网络流量、使用协议、系统负载、端口情况、数据包发送时间等。通过它,基本上所有进出数据都无所遁形,不管拿来做例行的网络监测工作,还是拿来做报告,都是非常优秀的工具,让你的网络流量透明化。它工作的时候就像一部被动声纳,默默地接收着来自网络的各种信息,通过对这些数据的分析,网络管理员可以深入了解网络当前的运行状况。不过,由于NTOP本质上是嗅探器,它是一把双刃剑,如何保证这些信息只能被授权的人士获得,将变得格外重要。
17.3.1 经常查看NTOP的进程和日志
经典的信息保密性安全模型Bell-LaPadula模型指出,进程是整个计算机系统的一个主体,它需要通过一定的安全等级来对客体发生作用。进程在一定条件下可以对诸如文件、数据库等客体进行操作。如果进程用做其他不法用途,将给系统带来重大危害。在现实生活当中,许多网络黑客都是通过种植“木马”的办法来达到破坏计算机系统和入侵的目的,而这些“木马”程序无一例外的是通过进程这一方式在机器上运行才能发挥作用的。要切实保证计算机系统的安全,我们必须对其进程进行监控和保护。
Linux系统提供了who、w、ps和top等查看进程信息的系统调用,通过结合使用这些系统调用,我们可以清晰地了解进程的运行状态及存活情况,从而采取相应的措施,来确保Linux系统的安全。它们是目前在Linux下最常见的进程状况查看工具,它们是随Linux套件发行的,安装好系统之后,用户就可以使用。Linux日志都以明文形式存储,所以你不需要特殊的工具就可以搜索和阅读它们。你还可以编写脚本,来扫描这些日志,并基于它们的内容去自动执行某些功能。Linux 日志存储在/var/log目录中。这里有几个由系统维护的日志文件,但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root才可以读,NTOP的日志文件查看非常方便,用鼠标单击“Utile”→“view log”按钮即可。如图17-12所示。
17.3.2 进行Web访问认证
默认情况下,编译Apache时自动加入mod_auth模块,利用此模块可以实现“用户名+密码”以文本文件为存储方式的认证功能。
(1)修改Apache的配置文件/usr/local/apache/conf/httpd.conf,对认证资源所在的目录设定配置命令。下面是对/usr/local/apache/htdocs/ntop目录的配置:
(2)在限制访问的目录/usr/local/apache/htdocs/ntop下建立一个文件.htaccess,其内容如下:
AuthName “”
AuthType basic
AuthUserFile/usr/local/apache/ntop.txt
require ntop #ntop用户可以访问#
(3)利用Apache附带的程序htpasswd,生成包含用户名和密码的文本文件/usr/local/apache/ntop.txt,每行内容格式为“用户名:密码”。
#cd /usr/local/apache/bin
#htpasswd -bc ../ntop.txt user1 234xyx14
欲了解htpasswd程序的帮助,请执行“htpasswd –h”。
(4)重新启动Apache服务器。然后在浏览器中输入localhost访问新建好的站点。这时就会要求输入用户名和口令,如图17-13所示。
17.3.3 加密连接NTOP
NTOP支持SSL加密连接,为了防止非授权用户查看NTOP提供的网络信息,你可以使用SSL加密连接NTOP服务器与浏览器的数据。首先修改配置文件/etc/ntop.conf,使用以下选项:
然后使用命令启动HTTPS连接和NTOP服务器。
apachectl stop
apachectl startssl
ntop start
注意 此时使用的是3001端口。
加密连接界面如图17-14所示。
SSL加密技术可以使NTOP提供的信息更加安全。只有授权用户可以查看。
17.3.4 NTOP使用技巧和总结
1.打开交换机SPAN端口
NTOP若是架设在集线器环境下时,便能监视到网络上所有的封包。但若是架设在交换机环境下时,除非是开放SPAN的功能,否则只能监测给自己的封包。
所谓SPAN,是The Switched Port Analyzer的缩写,通常被称为端口镜像或端口监听。SPAN功能是基于交换机的,而交换机的原理不同于集线器:交换机在获得了源端口的MAC地址后,会将流经该MAC地址的所有数据直接发往目标端口。下文主要说明如何在Catalyst 2950和Catalyst 3550上配置SPAN功能。
Catalyst 2950交换机可以在某一时间仅激活一个SPAN会话并只监听源口,Catalyst 2950交换机不能监听VLAN。Catalyst 3550交换机可以在同一时间内建立两个SPAN会话,它既能监听源口又可以监听VLAN。SPAN功能配置命令在Catalyst 2950和Catalyst 3550交换机上的使用形式是类似的,只是Catalyst 2950交换机不能用来监听VLAN。以下是SPAN实现的范例:
注意
(1)与Catalyst 2900XL/3500XL系列交换机不同的是,Catalyst 2950/3550系列交换机可以对不同方向的数据流做区别处理,既支持单向又支持双向。
(2)使用Cisco IOS 12.0(5.2)WC(1)操作系统的Catalyst 2950交换机不支持以上命令,任何使用版本早于Cisco IOS 12.1(6)EA2的操作系统的Catalyst 2950交换机都不支持以上命令。
2.NTOP功能总结
NTOP能够显示基于IP地址的带宽占用情况,帮助网络管理员迅速定位恶意抢占网络带宽的用户和应用,还能基于协议的类型进行统计并生成直观的图表,帮助网络管理员了解业务流量的组成和比例,进而以此为依据来优化网络。
网络服务器的资料总流量(网卡的资料传送总数),以及CPU使用率和特殊服务等的封包传送率(或者说是流量),都是网络管理人员所必须要注意的事项,当流量发生异常变化的时候,就需要注意可能有黑客在尝试窃取我们的信息。另外,在网络管理方面,有必要了解我们Linux服务器的网络流量状态,并视流量来加以限制或者是加大带宽。本文介绍的NTOP是开源软件,但它比起其他的商业管理软件来说毫不逊色。
17.4 本章小结
如果作为一名普通网络用户,在浩瀚的互联网畅游之时,没有人会注意到平静的海面下其实暗流汹涌。一般来说,网络管理者所需要了解的是各个网段的使用情形,频宽的使用率,网络问题的瓶颈发生于何处。当网络问题发生时,必须能够很快地分析出问题的发生原因,迅速定位到线路问题、网络设备问题,或者是路由和防火墙的设定问题。在一个稍微小的网络中,一个有经验的管理者要回答这些问题并不难,但是如果其所管理的网络范围过于庞大,那么就可能需要一个有效率的网管系统了。在业务繁忙的工作网络中,网络突然缓慢,在重要数据往来的工作时间段,留给系统管理员的响应时间只有宝贵的十几分钟、甚至几分钟。回答网络为什么缓慢必须在经过科学合理的计算和统计,并且在预先建立的流量分析系统中才能找到答案。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
从HTTP迁移至HTTPS需要注意什么?
HTTPS安全性更高,不过从原来的HTTP迁移至HTTPS的过程非常困难。那么,迁移过程中会碰到哪些挑战?企业又该如何解决?
-
生死狙击:阻止恶意SSL通信六要点
SSL的使用每年都在稳定增长。将来会有越来越多的互联网通信都会被加密。不幸的是,不仅注重安全的公司和用户在利用加密,黑客们也在使用加密来隐藏其恶意企图。虽然有很多防火墙和威胁预防方案能够解密SSL通信,却不能跟上不断演变的解密需求……
-
为何我们要检查SSL流量?
数据流量加密是否有利于网络安全?某种程度上来说,的确如此。然而美好的事物往往都是鱼和熊掌不可兼得,为提高安全性而牺牲应用性能是我们需要避免的事情……
-
OpenSSL安全漏洞肆虐 Array专有SSL加密技术让“心”不再流血
Array采用专有OS和SSL加密技术来处理SSL、TLS和DTLS的流量服务,提高产品性能的同时保证了安全性,使得用户免受OpenSSL漏洞威胁。