對任何局限的業(yè)務(wù)來說,網(wǎng)絡(luò)監(jiān)控東西都是一個重要的成果。網(wǎng)絡(luò)監(jiān)控的方針大概千差萬別。好比,監(jiān)控勾當(dāng)?shù)姆结樋梢允菗?dān)保恒久的網(wǎng)絡(luò)處事、安詳掩護、對機能舉辦排查、網(wǎng)絡(luò)利用統(tǒng)計等。由于它的方針差異,網(wǎng)絡(luò)監(jiān)控器利用許多差異的方法來完成任務(wù)。好比對包層面的嗅探,,對數(shù)據(jù)流層面的統(tǒng)計數(shù)據(jù),向網(wǎng)絡(luò)中注入探測的流量,闡明處事器日志等。
盡量有很多專用的網(wǎng)絡(luò)監(jiān)控系統(tǒng)可以365天24小時監(jiān)控,但您依舊可以在特定的環(huán)境下利用呼吁行式的網(wǎng)絡(luò)監(jiān)控器,某些呼吁行式的網(wǎng)絡(luò)監(jiān)控器在某方面很有用。假如您是系統(tǒng)打點員,那您就應(yīng)該有親身利用一些知名的呼吁行式網(wǎng)絡(luò)監(jiān)控器的經(jīng)驗。這里有一份Linux上風(fēng)行且實用的網(wǎng)絡(luò)監(jiān)控器列表。
包層面的嗅探器
在這個種別下,監(jiān)控東西在鏈路上捕獲獨立的包,闡明它們的內(nèi)容,展示解碼后的內(nèi)容可能包層面的統(tǒng)計數(shù)據(jù)。這些東西在最底層對網(wǎng)絡(luò)舉辦監(jiān)控、打點,同樣的也能舉辦最細(xì)粒度的監(jiān)控,其價錢是影響網(wǎng)絡(luò)I/O和闡明的進(jìn)程。
dhcpdump:一個呼吁行式的DHCP流量嗅探東西,捕獲DHCP的請求/回覆流量,并以用戶友好的方法顯示解碼的DHCP協(xié)議動靜。這是一款排查DHCP相關(guān)妨礙的實用東西。
dsniff:一個基于呼吁行的嗅探、偽造和挾制的東西合集,被設(shè)計用于網(wǎng)絡(luò)審查和滲透測試。它可以嗅探多種信息,好比暗碼、NSF流量(LCTT 譯注:此處疑為 NFS 流量)、email動靜、網(wǎng)絡(luò)地點等。
httpry:一個HTTP報文嗅探器,用于捕捉、解碼HTTP請求和回覆報文,并以用戶友好的方法顯示這些信息。(LCTT 譯注:延伸閱讀。 )
IPTraf:基于呼吁行的網(wǎng)絡(luò)統(tǒng)計數(shù)據(jù)查察器。它及時顯示包層面、毗連層面、接口層面、協(xié)議層面的報文/字節(jié)數(shù)。抓包進(jìn)程由協(xié)議過濾器節(jié)制,且操縱進(jìn)程全部是菜單驅(qū)動的。(LCTT 譯注:延伸閱讀。)
mysql-sniffer:一個用于抓取、解碼MySQL請求相關(guān)的數(shù)據(jù)包的東西。它以可讀的方法顯示最頻繁或全部的請求。
ngrep:在網(wǎng)絡(luò)報文中執(zhí)行g(shù)rep。它能及時抓取報文,并用正則表達(dá)式或十六進(jìn)制表達(dá)式的方法匹配(過濾)報文。它是一個可以對異常流量舉辦檢測、存儲可能對及時流中特定模式報文舉辦抓取的實用東西。
p0f:一個被動的基于包嗅探的指紋收羅東西,可以靠得住地識別操縱系統(tǒng)、NAT可能署理配置、網(wǎng)絡(luò)鏈路范例以及很多其它與勾當(dāng)?shù)腡CP毗連相關(guān)的屬性。
pktstat:一個呼吁行式的東西,通過及時闡明報文,顯示毗連帶寬利用環(huán)境以及相關(guān)的協(xié)議(譬喻,HTTP GET/POST、FTP、X11)等描寫信息。
Snort:一個入侵檢測和防范東西,通過法則驅(qū)動的協(xié)議闡明和內(nèi)容匹配,來檢測/防范活潑流量中各類百般的后門、僵尸網(wǎng)絡(luò)、網(wǎng)絡(luò)垂綸、特工軟件進(jìn)攻。
tcpdump:一個呼吁行的嗅探東西,可以基于過濾表達(dá)式抓取網(wǎng)絡(luò)中的報文,闡明報文,而且在包層面輸出報文內(nèi)容以便于包層面的闡明。他在很多網(wǎng)絡(luò)相關(guān)的錯誤排查、網(wǎng)絡(luò)措施debug、或安詳監(jiān)測方面應(yīng)用遍及。
tshark:一個與Wireshark窗口措施一起利用的呼吁行式的嗅探東西。它能捕獲、解碼網(wǎng)絡(luò)上的及時報文,并能以用戶友好的方法顯示其內(nèi)容。
流/歷程/接口層面的監(jiān)控
在這個分類中,網(wǎng)絡(luò)監(jiān)控器通過把流量憑據(jù)流、相關(guān)歷程或接口分類,收集每個流、每個歷程、每個接口的統(tǒng)計數(shù)據(jù)。其信息的來歷可以是libpcap抓包庫可能sysfs內(nèi)核虛擬文件系統(tǒng)。這些東西的監(jiān)控本錢很低,可是缺乏包層面的檢視本領(lǐng)。
bmon:一個基于呼吁行的帶寬監(jiān)測東西,可以顯示各類接口相關(guān)的信息,不單包羅吸收/發(fā)送的總量/平均值統(tǒng)計數(shù)據(jù),并且擁有汗青帶寬利用視圖。
iftop:一個帶寬利用監(jiān)測東西,可以及時顯示某個網(wǎng)絡(luò)毗連的帶寬利用環(huán)境。它對所有帶寬利用環(huán)境排序并通過ncurses的接口來舉辦可視化。他可以利便的監(jiān)控哪個毗連耗損了最多的帶寬。(LCTT 譯注:延伸閱讀。)
nethogs:一個基于ncurses顯示的歷程監(jiān)控東西,提供歷程相關(guān)的及時的上行/下行帶寬利用信息。它對檢測占用大量帶寬的歷程很有用。(LCTT 譯注:延伸閱讀。)
