注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

一款开源网络状态图形化监控工具:Etherape  

2013-12-06 11:43:40|  分类: linux系统监测 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
  Etherape是一款基于SNMP的典型网络流量统计分析工具,开源.
       附:ubuntu下对该系统的介绍是这样的.
        EtherApe 是一个图形界面的网络监视工具,基于 etherman。它能够以图形的方式显示网络状态,如用大小变化的圆圈来显示活动的主机、宽度变化的线条来显示主机之间的网络流量。
  它支持链接层、TCP/IP 协议,支持显示 Ethernet、FDDI、Token Ring、ISDN、PPP 和 SLIP 等设备。它可以筛选要显示的流量,可以从文件中读取数据,也可以从网络直接获取数据。
       

       # 该系统与zenmap与weathermap有些相关性的.在具体应用中与你的系统装载的设备相关,系统会自动检测到你的系统设备.关于weathermap可以看看 http://www.network-weathermap.com/,与cacti/zabbix结合是可以做出企业级的系统的临监控系统.
      参考一下weathermap的图形展示:
一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑
            更多应用可以参考科大资料:http://202.38.64.1/

  Etherape是一个基于pcap的etherman、interman和tcpman的克隆作品。它能够以图形方式显示网络活动状况。支持以太网、分布式光纤数据接口、ppp和slip协议。
  在你的网络管理中可能经常用到EtherApe ,所以可以建立一个快捷方式。单击鼠标右键选择新建“应用程序链接”,在执行选单内加入/usr/local/bin /EtherApe。
 
  用EtherApe截获在网络上传输的数据包时,需要为其指定过滤规则,否则EthreApe将捕获网络中的所有数据包。单击主选单 “文件(F)”的“首选项”的按钮,进行配置。EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五种监听模式。当处于Ethernet模式下时,EtherApe会截获所有符合过滤规则的以太网数 据包。EtherApe可以捕获的OSI七层网络模型中的绝大多数的协议:包括IP、TCP、ICMP、HTTP、UDP、SMB、FDDI、 IPX,AppleTalk、RTSP等,配置网络协议结束后请点击“Diagram”按钮配置其他参数,主要包括监测流量半径、监测协议顺序等.
   
一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑
             图1 EtherApe 配置的主界面
注:在ubuntu下的安装很是方便:apt-get instll etherape即可了.

  另外两个配置选项是“Colors”和“Timeings”。用来配置监控颜色和节点扫描时间。通常使用确省配置即可。

  配置后,单击工具栏上的“Start”按钮,就可以开始对网络中感兴趣的数据包进行检测了。图2是当EtherApe处于Ethernet模式下时的网络流量图。

一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑
如果你想查看用户的计算机流量,用鼠标点击“protocol”按钮即可。见图3。
一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑
图3 查看各种网络协议类型使用情况


以下部分为网络采集内容:

故障实例1:

  一天下午1:00笔者上班后许多同事反映:上网速度慢,网络性能突然急剧下降,导致要通过网络传输的数据堵塞。首先怀疑是物理故障,但是通过 Ping命令测试发现网络是连通的,没有网络损坏。交换机出现如下现象:工作状态指示异常繁忙,交换速度极慢,又没有其它特征。启动EtherApe网络 分析仪,马上发现问题:一台主机X-41通过交换机向服务器和其他计算机发送大类信息。信息使用的协议是RTSP协议,见图5。

一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑

  图5 网络分析仪找到网络瓶颈

  我们知道RTSP实时流协议,是一个C/S多媒体节目协议,它可以控制流媒体数据在IP网络上的发送,同时提供用于音频和视频流的“VCR模 式”远程控制功能,如停止、快进、快退和定位。所以可以判断是视频点播造成网络性能下降。继续使用监控,Etherape查询出发送信息的计算机名称 是:x-41其IP地址:192.168.1.3。如图6 。

一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑

  图6 Etherape查询出发送信息的计算机名称

  通过网络拓扑图和IP地址对照表,很快找到转台计算机。原来一名员工正在中午休息时候安装了一个Helix Server流媒体服务器,并且不用设置ip限制。所以许多员工进行局域网的高清晰的视频点播。1:00上班后没有关闭流媒体服务器,由于现在局域网的高 清晰的视频点播对带宽消耗比较大。所以造成的网络性能下降。关闭流媒体服务器后网络恢复正常。

  说明:实时流协议RTSP是由RealNetworks和Netscape共同提出的,该协议定义了一对多应用程序如何有效地通过IP网络传送 多媒体数据。RTSP在体系结构上位于RTP和RTCP之上,它使用TCP或RTP完成数据传输。HTTP与RTSP相比,HTTP传送HTML,而 RTP传送的是多媒体数据。HTTP请求由客户机发出,服务器作出响应;使用RTSP时,客户机和服务器都可以发出请求,即RTSP可以是双向的更加容易 影响网络流量。

故障实例2:

  一天网络性能突然急剧下降,导致要通过网络传输的数据堵塞。笔者右怀疑是蠕虫病毒感染。它对网络速度的影响也很严重。这种病毒导致被感染的用户 只要一连上网就不停地往外发邮件,病毒选择用户个人电脑中的随机文档附加在用户机子上的通讯簿的随机地址进行邮件发送。成百上千的这种垃圾邮件有的排着队 往外发送,有的又成批成批地被退回来堆在服务器上。造成个别局域网近于瘫痪。但是通过杀毒没有发现问题,我们一直注意各种新病毒通告,了解各种病毒特征; 及时升级所用杀毒软件。安装系统补丁程序;同时卸载不必要的服务,关闭了不必要的端口。启动EtherApe网络分析仪,马上发现问题:

  一台主机名称是XYP通过交换机向服务器和其他计算机发送大类信息。见图7。

一款开源网络状态图形化监控工具:Etherape - itoedr - itoedr的it学苑

  图7 网络分析仪找到网络瓶颈

  Etherape查询出发送信息的计算机IP地址:192.168.1.3 ,通过网络拓扑图和IP地址对照表,很快找到此计算机。后来发现此计算机的网卡老化,发生物理损坏。如果网络机器的网卡损坏,会产生广播风暴。损坏的网 卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,产生了广播风暴。由于网卡物理损坏引起的广播风暴,故障比较难排除,由于损坏的网卡一般还能 上网,我们一般借用管理软件,查看网络数据流量,来判断故障点的位置。另外目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有 机器中毒后,会立即通过网络进行传播。网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引起广播风暴。广播风暴是指网络上的广播帧(由于被转发) 数量急剧增加而影响正常的网络通讯的反常现象。广播风暴的判断标准为一个端口在短时间内连续收到n个广播帧。广播风暴控制是允许端口对网络上出现的广播风 暴进行过滤。当交换机发现某个端口出现了广播风暴时,会自动丢弃广播帧,以防止广播风暴的进一步扩大。

经验总结:

  在故障发生时,应首先了解故障前网络的改动,建立完善的网络文档资料。包括网络布线图、IP及MAC对应表等。EtherApe会把网络流量会 以图像和列表的形式显示出来。丛本质讲EtherApe是一种网络嗅探器,嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用。 EtherApe提供以下功能:

  1. 自动从网络中过滤及转换有用的信息;

  2. 将截获的数据包转换成易于识别的格式;

  3. 对网络环境中的通讯失败进行分析;

  4. 探测网络环境下的通讯瓶颈;

  5. 检测是否有黑客正在攻击网络系统,以阻止其入侵;

  6. 记录网络通信过程。

  可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;通过它网管员还可以很方便地确定出哪些通信量属于某个特定的网络协 议、这些信息为网管员判断网络问题及优化网络性能,提供了十分宝贵的信息。另外一个特点是根据您的配置以不同颜色轮流显示网络协议和流量,非常直观,一目 了然。如果您发现网络发生广播风暴或其他导致网络性能瓶颈时可以使用EtherApe命令迅速找到出现问题的IP地址。

  嗅探器技术并非尖端科技,只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识,它并不神秘。实际上我们的一些网管软件,和 硬件网络测试仪都使用了嗅探器技术。只是许多计算机软件供应商对其一直讳莫如深。回避这个基本事实是不明智的。了解掌握它才是关键。



后记:
        EtherApe网络分析仪能够以图形的方式显示网络流量。用户看到的是一个很直观的用于表示网络上各主机间流量大小的图,而不是单个的数据包,因而更容易从整体上把握整个网络的运行状况,在定位网络故障时相对来说也变得更加容易。
       技术上,EtherApe网络分析仪使用SNMP协议.
       为了全面衡量网络运行状况,需要对网络状态做更细致、更精确的测量,SNMP协议的制订为Internet测量提供了有力的支持,EtherApe就是基于SNMP的典型网络流量统计分析工具。
      EtherApe是基于SNMP的典型网络流量统计分析工具,SNMP被设计成与协议无关,所以它可以在 TCP/IP、IPX、AppleTalk、OSI等传输协议上使用,所以EtherApe是一个Linux网络通信协议分析仪。EtherApe通过验 证主机与主机之间的链接,图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表示位于不同主机之间的连接,而连线的粗细则表明主机间 数据流量的大小(读者可以改进在这条线上显示出带宽情况)。这些信息都是实时变化的,因而能够协助管理员随时了解到网络中各部分流量的变化情况。 EtherApe占用的系统资源一般,当然在进行大量画图工作时,明显设备负载就上进了.它通过SNMP协议从设备得到设备的流量信息,并将流量负载以图形方式显示给网络管理员,以非常直观的形式显示流量负载。
        从本质讲EtherApe是一种网络嗅探器(即劫持网络流量),嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的 作用。可以通过分析网络流量来确定网络上存在的各种问题,如瓶颈效应或性能下降;通过它网管员还可以很方便地确定出哪些通信量属于某个特定的网络协议、这 些信息为网管员判断网络问题及优化网络性能,提供了十分宝贵的信息。
      另外一个特点是根据配置以不同颜色轮流显示网络协议和流量,非常直观,一目了然。
      如果 发现网络发生广播风暴或其他导致网络性能瓶颈时可以使用EtherApe命令迅速找到出现问题的IP地址。如果想查看用户的计算机流量,用鼠标点击按钮即 可。
      嗅探器分软、硬两种。软件嗅探器便宜且易于使用,缺点是往往无法抓取网络上所 有的传输数据(比如碎片); 硬件嗅探器通常称为协议分析仪,它的优点恰恰是软件嗅探器所欠缺的,但是价格昂贵。目前主要使用的嗅探器是软件的。EtherApe就是一个软件嗅探器。嗅探器技术并非尖端科技,只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识,它并不神秘。实际上我们的一些网管软件和硬件网络测试仪都使用了嗅探器技术。

 


  评论这张
 
阅读(1306)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017