<< 使用 ntop 跟 Wireshark 來偵測網路異常流量 | 回blog首頁 |
中獎:HP Mini 5101 小筆電一台,安裝 Ubuntu Netbook Remix 9.10 來玩! >>
December 7,2009 12:29
在MS Windows上安裝、使用 ntop 及 Wireshark 來偵測網路異常流量
(本篇著重在安裝及簡單使用,關於基本概念,請參見前一篇使用 ntop 跟 Wireshark 來偵測網路異常流量 )
ntop 這個自由軟體,官方沒有提供編譯好的 MS Windows 版本,自己編譯我也不會,建議去下載 NTop_XTRA 這個由 OPENXTRA 公司編譯好的版本 NTop_XTRA_3_18_0.exe,雖然有點舊(ntop 3.2 ,Nov. 2005編譯),但是能跑就好。
目前 OPENXTRA 公司網頁上已經不再提供 NTop_XTRA 了,網路搜尋找到的那個 NTop_XTRA_3_18_0.exe 我有丟上 Virus Total 去檢查過了,41種掃毒都說沒有毒,請安心使用 :D
安裝基本上是一指神功按 Next ,會提示妳有三個東西要安裝:
OPENXTRA Commander
NTop
WinPCap
請全部安裝。安裝好之後都是放在 C:\Program Files\OPENXTRA 底下,所以就算妳有安裝 Wireshark 附的 WinPcap (放在 C:\Program Files\WinPcap)也不會搞混。
這篇How to Install NTop On Windows已經寫的很仔細了,也只能湊出七個步驟 :p
裝好之後從 開始 > 程式集 > OPENXTRA > Commander ,就會叫出 OPENXTRA Commander 。
把第一個 NTop service 點選 Start ,然後第二個 NTop 點選 Launch ,就會用瀏覽器連到 http://127.0.0.1:3000/ 的 ntop 頁面。
先捲頁到最底下,檢查倒數第二行 Listening on 後面顯示的網路卡正不正確(如果妳有多張網卡的話)。
要修改的話,捲頁回到最上面,點選 Admin > Configure > Startup Options
(問帳密的話,預設都是 admin )。
一堆設定的第一大項就是 Capture Interfaces ,勾選之後捲頁到底下選 Save Preference 。
(好像要重新啟動 ntop ,請回到 OPENXTRA Commander 視窗,把 NTop service 點選 stop 再點選 start)
[用 ntop 抓流量異常]
看流量可以回到網頁,點選 All Protocols > Traffic ,其他就請自己玩玩看,有問題大家再一起來研究吧!
==
[用 Wireshark 抓流量異常]
Wireshark官方就有提供跨平台的版本,安裝在 MS Windows 上不成問題。
要拿它來快速抓出哪個 ip 有大量網路流量的話,開始 capture 之後,點選功能選單的 Statistics (統計) > Conversations 或者 Endpoints ,會開啟另一個小視窗。
(類比到其他的封包分析工具的話, Conversations 類似 Top Conversation Pair 功能,Endpoints 則類似 Top Talker 功能)
在小視窗裡面,可以點選第四個分頁 IPv4 ,就會看到 IP 相關的流量,然後點選妳有興趣的項目(例如 Bytes )來排序,很快就可以看到目前哪個ip流量最大囉。
找到ip之後,在 filter 那邊輸入 ip.addr == 192.168.9.78 (請替換成流量異常的 ip),就可以實際看到那台作怪的機器到底在傳什麼東西囉。
==
延伸閱聽:
How to configure NTOP for Windows(以 NTOP XTRA 為例,有提到如何設定從 NetFlow 設備取得資料)
ntop 這個自由軟體,官方沒有提供編譯好的 MS Windows 版本,自己編譯我也不會,建議去下載 NTop_XTRA 這個由 OPENXTRA 公司編譯好的版本 NTop_XTRA_3_18_0.exe,雖然有點舊(ntop 3.2 ,Nov. 2005編譯),但是能跑就好。
目前 OPENXTRA 公司網頁上已經不再提供 NTop_XTRA 了,網路搜尋找到的那個 NTop_XTRA_3_18_0.exe 我有丟上 Virus Total 去檢查過了,41種掃毒都說沒有毒,請安心使用 :D
安裝基本上是一指神功按 Next ,會提示妳有三個東西要安裝:
OPENXTRA Commander
NTop
WinPCap
請全部安裝。安裝好之後都是放在 C:\Program Files\OPENXTRA 底下,所以就算妳有安裝 Wireshark 附的 WinPcap (放在 C:\Program Files\WinPcap)也不會搞混。
這篇How to Install NTop On Windows已經寫的很仔細了,也只能湊出七個步驟 :p
裝好之後從 開始 > 程式集 > OPENXTRA > Commander ,就會叫出 OPENXTRA Commander 。
把第一個 NTop service 點選 Start ,然後第二個 NTop 點選 Launch ,就會用瀏覽器連到 http://127.0.0.1:3000/ 的 ntop 頁面。
先捲頁到最底下,檢查倒數第二行 Listening on 後面顯示的網路卡正不正確(如果妳有多張網卡的話)。
要修改的話,捲頁回到最上面,點選 Admin > Configure > Startup Options
(問帳密的話,預設都是 admin )。
一堆設定的第一大項就是 Capture Interfaces ,勾選之後捲頁到底下選 Save Preference 。
(好像要重新啟動 ntop ,請回到 OPENXTRA Commander 視窗,把 NTop service 點選 stop 再點選 start)
[用 ntop 抓流量異常]
看流量可以回到網頁,點選 All Protocols > Traffic ,其他就請自己玩玩看,有問題大家再一起來研究吧!
==
[用 Wireshark 抓流量異常]
Wireshark官方就有提供跨平台的版本,安裝在 MS Windows 上不成問題。
要拿它來快速抓出哪個 ip 有大量網路流量的話,開始 capture 之後,點選功能選單的 Statistics (統計) > Conversations 或者 Endpoints ,會開啟另一個小視窗。
(類比到其他的封包分析工具的話, Conversations 類似 Top Conversation Pair 功能,Endpoints 則類似 Top Talker 功能)
在小視窗裡面,可以點選第四個分頁 IPv4 ,就會看到 IP 相關的流量,然後點選妳有興趣的項目(例如 Bytes )來排序,很快就可以看到目前哪個ip流量最大囉。
找到ip之後,在 filter 那邊輸入 ip.addr == 192.168.9.78 (請替換成流量異常的 ip),就可以實際看到那台作怪的機器到底在傳什麼東西囉。
==
延伸閱聽:
How to configure NTOP for Windows(以 NTOP XTRA 為例,有提到如何設定從 NetFlow 設備取得資料)
<< 使用 ntop 跟 Wireshark 來偵測網路異常流量 | 回blog首頁 |
中獎:HP Mini 5101 小筆電一台,安裝 Ubuntu Netbook Remix 9.10 來玩! >>
引用URL
http://cgi.blog.roodo.com/trackback/10940633
回應文章
好東西,感謝分享!
| 檢舉 |
Posted by 大衛王
at December 7,2009 17:37
大衛王,哪裡,多謝誇獎!
這篇教學實在讚啊,以前我在酒店用過這款軟件,但是那時我不會安裝,現在經你提點已經會安裝了。
---------------------------------------------
版主回覆:
不客氣,你說的「以前我在酒店用過這款軟件」,是在哪兒啊?
酒店,是指 hotel 嗎?
(在台灣,「酒店」比較常用來指另外一種場所 ^^;)
不客氣,你說的「以前我在酒店用過這款軟件」,是在哪兒啊?
酒店,是指 hotel 嗎?
(在台灣,「酒店」比較常用來指另外一種場所 ^^;)
