第9章 网络流量监控与分析

《第9章 网络流量监控与分析》由会员分享，可在线阅读，更多相关《第9章 网络流量监控与分析（60页珍藏版）》请在装配图网上搜索。

1、PPT模板下载：/moban/行业PPT模板：/hangye/节日PPT模板：/jieri/PPT素材下载：/sucai/PPT背景图片：/beijing/PPT图表下载：/tubiao/优秀PPT下载：/xiazai/PPT教程：/powerpoint/Word教程：/word/Excel教程：/excel/资料下载：/ziliao/PPT课件下载：/kejian/范文下载：/fanwen/试卷下载：/shiti/教案下载：/jiaoan/字体下载：/ziti/第9章 网络流量监控与分析网络管理与维护网络管理与维护WANGLUO GUANLI YU WEIHUWANGLUO GUANLI Y

2、U WEIHU（第二版第二版）主主 编编 龙银香龙银香 温海燕温海燕 王维玺王维玺第第9章网络流量监控与分析章网络流量监控与分析 9.1任务一网络吞吐率测试9.1.2任务准备任务准备网络吞吐率的测试一般我们使用的是网络吞吐率的测试一般我们使用的是Qcheck工具，工具，Qcheck是是NetIQ公司开发的一款公司开发的一款免费网络测试软件，被免费网络测试软件，被NetIQ称为称为“Ping命令的扩展版本命令的扩展版本”，主要功能是向，主要功能是向TCP、UDP、IPX、SPX网络发送数据流来测试网络的吞吐率、回应时间等，从而测试网络的响应时间网络发送数据流来测试网络的吞吐率、回应时间等，从而测

3、试网络的响应时间和数据传输率。和数据传输率。测试时需使用两台计算机，并且均需运行测试时需使用两台计算机，并且均需运行Qcheck软件，在测试中，从一个客户端向软件，在测试中，从一个客户端向另一个客户端发送文件，然后测试所消耗的时间，并计算出传输率。例如另一个客户端发送文件，然后测试所消耗的时间，并计算出传输率。例如TCP/UDP传输传输率测试，测试结果越高越好，率测试，测试结果越高越好，100M/bps端口的理论值最高为端口的理论值最高为94M/bps（传输率）。（传输率）。9.1任务一网络吞吐率测试9.1.3任务实施任务实施1测试测试TCP响应时间响应时间TCP响应时间（响应时间（TCP R

4、esponse Time）测试可以测得完成）测试可以测得完成TCP通信的最短、平均与通信的最短、平均与最长时间。这个测试类似于最长时间。这个测试类似于Ping命令，可以让用户知道到达另一台计算机所需要的时间。命令，可以让用户知道到达另一台计算机所需要的时间。这个测量一般称为这个测量一般称为“延缓延缓”或者或者“延迟延迟(latency)”。9.1任务一网络吞吐率测试具体操作步骤如下：具体操作步骤如下：（1）在）在“From Endpoint 1”下拉列表中选择下拉列表中选择“Localhost”选项，表示从本地计算机选项，表示从本地计算机发送测试。发送测试。（2）在）在“To Endpoint

5、 2”框中输入目标计算机框中输入目标计算机IP地址，在这里输入的是地址，在这里输入的是192.168.20.2。（3）在）在“Protocol”中选中中选中TCP按钮。按钮。（4）在）在“Options”中选中中选中“Response time”按钮。按钮。（5）在）在“Iterations”文本框中输入重复测试的次数，默认为文本框中输入重复测试的次数，默认为3次。次。（6）在）在“Date Size”文本框输入要发送的数据包的大小，默认为文本框输入要发送的数据包的大小，默认为100Bytes。（7）完成后单击）完成后单击“Run”按钮，按钮，Qcheck便开始测试，并在便开始测试，并在Res

6、ponse Time Results区域中显示出测试结果，包括区域中显示出测试结果，包括“Minimum（最短）（最短）”、“Average（平均）（平均）”与与“Maximum（最长）（最长）”等时间，如图等时间，如图9-2所示。所示。9.1任务一网络吞吐率测试图图9-2 测试测试TCP响应时间响应时间 图图9-3“Qcheck Results”窗口窗口9.1任务一网络吞吐率测试2测试网络带宽测试网络带宽具体操作步骤如下：具体操作步骤如下：（1）在）在Qcheck窗口中，在窗口中，在“From Endpoint 1”下拉列表中选择下拉列表中选择“Localhost”，在，在“To Endpo

7、int 2”文本框中输入目标计算机文本框中输入目标计算机IP地址地址192.168.20.2；在；在“Protocol”选项区域中单击选项区域中单击TCP按钮，在按钮，在“Options”选项中单击选项中单击“Throughput”按钮，在按钮，在“Date Size”文本框中文本框中输入要发送的数据包的大小，默认为输入要发送的数据包的大小，默认为100KBytes，在此输入，在此输入1000Kbytes。（2）设置完成后单击）设置完成后单击“Run”按钮，按钮，Qcheck开始测试，测试完成开始测试，测试完成后在后在“Throughput results”区域中即可显示出测试结果。这里，测试

8、出区域中即可显示出测试结果。这里，测试出的的Throughput值为值为571.429MBPS，也就是说，从本地计算机到目标计，也就是说，从本地计算机到目标计算机的带宽为算机的带宽为571.429Mbps。如图。如图9-4所示。所示。9.1任务一网络吞吐率测试3串流测试串流测试具体操作步骤如下：具体操作步骤如下：（1）在）在Qcheck主界面中，在主界面中，在“From Endpoint 1”下拉列表中选中下拉列表中选中“Localhost”选选项，表示从本地计算机发送测试，在项，表示从本地计算机发送测试，在“To Endpoint 2”框中输入目标计算机框中输入目标计算机IP地址，在地址，在

9、“Protocol”中单击选中中单击选中“UDP”按钮，在按钮，在“Options”中单击选中中单击选中“Streaming”按钮；按钮；在在“Data Rate”设置数据传输速度，默认为设置数据传输速度，默认为50kbps，最大不能超过，最大不能超过1Mbps;在在“Duration”框中设置持续时间，默认为框中设置持续时间，默认为10s。9.1任务一网络吞吐率测试（2）设设置置完完成成后后，单单击击“Run”按按钮钮，Qcheck开开始始测测试试，测测试试完完成成以以后后便便会会在在“Streaming Results”框框中中显显示示出出测测试试结结果果。这这里里测测试试出出目目前前传传

10、输输速速度度为为49.999kpbs。如图如图9-5所示。所示。图图9-4 测试网络带宽测试网络带宽 图图9-5 串流测试串流测试 9.2任务二带宽测试工具9.2.2任务准备任务准备Ping Plotter是是一一款款多多线线性性的的跟跟踪踪路路由由程程序序，能能最最快快地地揭揭示示当当前前网网络络出出现现的的瓶瓶颈颈与与问问题题。它它相相当当于于Windows中中的的Tracert命命令令，但但具具有有信信息息同同时时反反馈馈的的速速度度优优势势，而而且且界界面面中中结结合合了了数数据据与与图图形形两两种种表表达达方方式式，与与其其他他检检测测分分析析工工具具相相比比，检检测测分分析析结结果

11、果更更为为直直观观和和易易于理解。于理解。Ping Plotter Freeware是是一一个个免免费费软软件件，没没有有任任何何使使用用限限制制，下下载载后后安安装装即即可可使使用用。可可以以从从它它的的官官方方网网站站下下载载，下下载载地地址址为为：http:/ to Trace”文本框中键入网址：文本框中键入网址：。（2）在）在“#of times to trace”数字微调框设置追踪时间，默认为数字微调框设置追踪时间，默认为“Unlimited（无限制）（无限制）”。（3）单击微调按钮调整时间。在）单击微调按钮调整时间。在“Trace Deley”数字微调框中可设置追踪延迟时间，数字微

12、调框中可设置追踪延迟时间，默认为默认为15s。（4）单击）单击“Trace”按钮，按钮，Ping Plotter开始追踪该地址，结果如图开始追踪该地址，结果如图9-7所示。所示。9.2任务二带宽测试工具图图9-7 测试结果测试结果9.2任务二带宽测试工具图图9-8“Options”窗口窗口9.3任务三网络实时监测9.3.2任任务务准准备备“网网络络执执法法官官”可可以以在在网网络络内内任任意意一一台台主主机机上上运运行行，从从而而有有效效地地监监控控本本网网络络（支支持持多多网网段段监监控），有如下功能。主要功能有：控），有如下功能。主要功能有：实时记录实时记录上上线线用用户户并存档并存档备查

13、备查自自动侦测动侦测未登未登记记主机接入并主机接入并报报警警检测检测网内所有代理服网内所有代理服务务器及路由器器及路由器限定各主机的限定各主机的IP，防止，防止IP盗用盗用限定各主机的限定各主机的连连接接时时段段保保护护指定指定IP，禁止普通用，禁止普通用户户使用使用9.3任务三网络实时监测9.3.3任任务实务实施施1.网网络执络执法官的安装与运行法官的安装与运行在在运运行行网网络络执执法法官官之之前前，系系统统中中必必须须先先安安装装WinPcap驱驱动动程程序序。在在刚刚安安装装完完网网络络执执法法官官后后，点点击击“完完成成”之之后后，会会显显示示如如图图9-9所所示示的的“DrvIns

14、t”对对话话框框，提提示示用用户户安安装装WinPcap驱动驱动程序。程序。图图9-9 DrvInst窗口窗口9.3任务三网络实时监测图图9-10“设置监控范围设置监控范围”对话框对话框9.3任务三网络实时监测图图9-11“网络执法官网络执法官”扫描结果扫描结果9.3任务三网络实时监测2查查看网看网络络用用户户信息信息右右键键单单击击要要查查看看的的用用户户，在在右右键键快快捷捷菜菜单单中中选选择择“属属性性”选选项项，显显示示如如图图9-12所所示示“用用户户属性属性”对话对话框，从框，从图图中可以中可以查查看用看用户户的各种属性。的各种属性。图图9-12 用户属性窗口用户属性窗口9.3任务

15、三网络实时监测图图9-13 查看用户历史上线记录查看用户历史上线记录9.3任务三网络实时监测图图9-14 设定用户权限设定用户权限9.3任务三网络实时监测图图9-15 删除用户提示窗口删除用户提示窗口9.3任务三网络实时监测3锁锁定网定网络络中的中的计计算机算机在在网网络络执执法法官官的的“用用户户列列表表”窗窗口口中中，右右键键单单击击要要锁锁定定的的计计算算机机，在在右右键键快快捷捷菜菜单单中中选选择择“锁锁定定/解解锁锁”选项选项，显显示如示如图图9-16所示所示“锁锁定定/解解锁锁”对话对话框，在框，在这这里可以里可以选择锁选择锁定的方式。定的方式。图图9-16“锁定锁定/解锁解锁”窗

16、口窗口 图图9-17 关键主机设置关键主机设置9.3任务三网络实时监测4手工管理手工管理在网络执法官中可以使用手工管理功能管理网络中的计算机，如使某用户产生在网络执法官中可以使用手工管理功能管理网络中的计算机，如使某用户产生IP冲突冲突或断开连接等，一般用于测试本软件的管理功能。手工管理拥有最高优先级，即对任何可或断开连接等，一般用于测试本软件的管理功能。手工管理拥有最高优先级，即对任何可管理的用户实施管理的用户实施“手工管理手工管理”，都会立即生效。为防非法用户利用本软件攻击管理员，禁，都会立即生效。为防非法用户利用本软件攻击管理员，禁止对友邻用户采用止对友邻用户采用“手工管理手工管理”，而

17、友邻用户是指同一局域网中也在运行本软件的用户。，而友邻用户是指同一局域网中也在运行本软件的用户。对管理员而言，应当避免网络中存在其他友邻用户。同时，为防止非法用户利用本软件攻对管理员而言，应当避免网络中存在其他友邻用户。同时，为防止非法用户利用本软件攻击管理员，对友邻用户的各种管理都无效。击管理员，对友邻用户的各种管理都无效。9.3任务三网络实时监测5设设置网置网络络用用户权户权限限 在在网网络络执执法法官官主主窗窗口口中中，右右键键单单击击要要设设定定权权限限的的用用户户，在在右右键键快快捷捷菜菜单单中中选选择择“权权限限设设置置”选项选项，显显示如示如图图9-18所示所示“设设定用定用户权

18、户权限限”对话对话框：框：选择“自由用户，与网络连接不受限制”单选按钮，不限制该用户与网络的连接。选择“受限用户，若违反以下权限将被管理”单选按钮，可以根据需要设置条件，包括启用IP限制、启用时间限制和启用组/主机/用户名限制。选择“禁止用户，发现该上线即管理”选项，将禁止该用户的所有网络连接。9.3任务三网络实时监测 图图9-18 设定用户权限设定用户权限 图图9-19 关键主机组设置关键主机组设置9.3任务三网络实时监测6绑定绑定IP地址地址一般情况下，可以使用一般情况下，可以使用ARP命令将计算机机网卡与命令将计算机机网卡与IP地址进行绑定，但如果局域网内地址进行绑定，但如果局域网内的计

19、算机特别多，一台一台绑定就太麻烦了，而使用网络执法官，可以快速将一批计算机的计算机特别多，一台一台绑定就太麻烦了，而使用网络执法官，可以快速将一批计算机的的MAC 地址与地址与IP进行绑定。进行绑定。在网络执法官主窗口中，利用在网络执法官主窗口中，利用Ctrl键或键或Shift键选中一批计算机，然后单击鼠标右键键选中一批计算机，然后单击鼠标右键，并在快捷菜单中选择并在快捷菜单中选择“绑定绑定MAC与与IP”选项，显示如图选项，显示如图9-20所示所示“MAC-IP绑定绑定”对话框。对话框。选择选择“各用户改为以下管理方式各用户改为以下管理方式”单选按钮，根据需要设置当用户违反权限后的管理单选按

20、钮，根据需要设置当用户违反权限后的管理方式即可。方式即可。最后，单击最后，单击“确定确定”按钮，即可将这些用户的按钮，即可将这些用户的MAC地址与地址与IP地址进行绑定。地址进行绑定。9.3任务三网络实时监测7记录查询记录查询 网络中所有计算机的活动情况，都会被网络执法官记录下来，当关闭程序时，就会自网络中所有计算机的活动情况，都会被网络执法官记录下来，当关闭程序时，就会自动记录所有数据，管理员以后可以从这些日志中查询某个用户在一定时间内的活动情况。动记录所有数据，管理员以后可以从这些日志中查询某个用户在一定时间内的活动情况。在网络执法官主窗口中，切换到在网络执法官主窗口中，切换到“记录查询记

21、录查询”选项卡，显示如图选项卡，显示如图9-21所示窗口。所示窗口。图图9-20“MAC-IP绑定绑定”窗口窗口 图图9-21 记录查询窗口记录查询窗口9.3任务三网络实时监测8查查看本机状看本机状态态 通通过过网网络络执执法法官官不不仅仅可可以以监监控控网网络络中中所所有有计计算算机机，还还可可以以查查看看本本地地计计算算机机的的使使用用状状态态，包包括括当当前前所所监监听听到到的的TCP、UDP连连接接、IP收收发发、TCP收收发发，和和UDP收收发发，以以及及计计算算机机系系统统资资源占用等各种情况，都会源占用等各种情况，都会显显示在示在“本机状本机状态态”窗口中，如窗口中，如图图9-2

22、2所示。所示。图图9-22 查看本机状态查看本机状态9.4任务四网络实时监测9.3.2任任务务准准备备Essential NetTools是是一一款款功功能能完完备备的的网网络络即即时时监监控控软软件件，它它可可以以监监测测网网络络中中计计算算机机的的各各种种信信息息，如如扫扫描描局局域域网网中中有有哪哪些些计计算算机机正正在在运运行行、即即时时监监测测计计算算机机的的网网络络连连接接状状况况、扫扫描描出出计计算算机机的的MAC地地址址、开开放放了了哪哪些些端端口口等等，如如果果有有黑黑客客入入侵侵或或有有木木马马程程序序对对外外连连接接，通通过该软过该软件即可及件即可及时发现时发现。Esse

23、ntial NetTools是是一一款款共共享享软软件件，适适用用于于Windows 2000/XP/2003等等操操作作系系统统，可可以以从从它它的的官官方方网网站站下下载载（http:/ NetTools运运行行后后，显显示示如如图图9-24所所示示的的主主窗窗口口，在在左左侧侧的的列列表表框框中中有有一一系系列列按按钮钮，单单击击不不同同的的按按钮钮可可执执行行不不同同的的功功能能。默默认认显显示示“NetStat”窗窗口口，显显示示本本地地计计算算机机中中当当前前正正在在运运行行的的所所有有进进程程信信息息，包包括括进进程程名名称称（Process）、使使用用的的协协议议（Proto）

24、、本本地地IP地地址址（Loc.IP）、本本地地开开放放的的端端口口（Loc.Port）、连连接接的的目目标标IP地地址址（Rem.IP）、连连接接的的远远程程端端口口（Rem.Port）、活活动动状状态态（State），以以及及远远程程连连接接的的主主机机名名（Hostname）等等。通通过过这这些些信信息息，管管理理员员可可以以检检查查本本地地计计算算机机的的各各种种可可疑疑连连接接，看看是是否否有有时时蠕蠕虫虫或或木木马马在在使使用特殊端口。用特殊端口。9.4任务四网络实时监测 图图9-24 查看计算机中的各种进程查看计算机中的各种进程 图图9-25 选择选择“File Properti

25、es”选项选项9.4任务四网络实时监测 图图9-26 进程的属性信息进程的属性信息 图图9-27 结束可疑进程结束可疑进程9.4任务四网络实时监测2显示进程的详细信息显示进程的详细信息在在Essential NetTools主主窗窗口口左左侧侧列列表表选选择择“ProcMon”按按钮钮，显显示示如如图图9-28所所示示窗窗口口，显显示示当当前前正正在在运运行行的的所所有有应应用用程程序序信信息息，包包括括程程序序名名称称（Program）、程程序序的的源源路路径径（Path）、厂商（）、厂商（Manufacturer），以及该程序所调用的模块数（），以及该程序所调用的模块数（Modules）等

26、。）等。在该窗口最下方还以图形形式显示了当在该窗口最下方还以图形形式显示了当前占用前占用CPU资源最多的程序，并以不同资源最多的程序，并以不同颜色显示不同程序的颜色显示不同程序的CPU占用率。可以占用率。可以很直观地看到哪个程序占用了过多的很直观地看到哪个程序占用了过多的CPU资源。资源。图图9-28 显示系统进程显示系统进程9.4任务四网络实时监测 图图9-30 选择选择“Show Used Modules”选项选项 图图9-31 进程所调用的模块进程所调用的模块9.4任务四网络实时监测3Ping功能功能Essential NetTools的的Ping功能可用来测试与网络主机的连通性，类似于

27、功能可用来测试与网络主机的连通性，类似于Windows系统中的系统中的Ping类似，通过向目标地址发送类似，通过向目标地址发送ICMP包进行测试。不过，包进行测试。不过，Essential NetTools的的Ping功能不仅可以功能不仅可以Ping一个一个IP地址，还可地址，还可Ping一个一个IP地址段，以此来查看网络中地址段，以此来查看网络中计算机的连通性。计算机的连通性。在在Essential NetTools窗口中单击左侧的窗口中单击左侧的“Ping”按钮，在按钮，在“Host or IP address”文文本框中输入要本框中输入要Ping的的IP地址或主机名，如果要地址或主机名，

28、如果要Ping一个一个IP地址段，则输入起始地址，然后地址段，则输入起始地址，然后选中选中“Ending IP address”复选框，输入结束复选框，输入结束IP地址。地址。“Pkts”文本框中可设置文本框中可设置Ping时发时发送的送的ICMP包个数，默认为包个数，默认为3个。个。“Pkt.size”文本框中可以设置文本框中可以设置ICMP包的大小，默认为包的大小，默认为32byte。“Delay，ms”框用来设置延迟时间，默认为框用来设置延迟时间，默认为10秒。秒。9.4任务四网络实时监测例如，要查看本地局域网中从例如，要查看本地局域网中从192.168.33.49到到192.168.3

29、3.200网段内有哪些计算机网段内有哪些计算机正在连通网络，分别在正在连通网络，分别在“Host or IP address”和和“Ending IP address”文本框中输入文本框中输入192.168.33.49和和192.168.33.200，然后单击，然后单击“Start”按钮，按钮，Essential NetTools即可开即可开始始Ping该该IP地址段，并在该窗口的列表框中显示出结果，如图地址段，并在该窗口的列表框中显示出结果，如图9-32所示。所示。图图9-32 Ping功能功能9.4任务四网络实时监测4追踪路由追踪路由在在“Host or IP address”文文本本框框

30、中中，输输入入要要追追踪踪的的IP地地址址或或DNS域域名名；在在“Start hop”和和“End hop”文文本本框框中中分分别别设设置置开开始始跳跳跃跃数数与与结结束束跳跳跃跃数数；如如果果要要追追踪踪的的是是DNS域域名名，则则应应选选中中“DNS resolving”复复选选框框。例例如如，要要追追踪踪到到IP地地址址的的路路由由，可可输输入入网网址址211.66.192.31，然然后后单单击击“Start”按按钮钮。Essential NetTools即即可可开开始始追追踪踪，并并将将经经过过的所有节点信息显示在列表框中，如图的所有节点信息显示在列表框中，如图9-33所示。所示。图

31、图9-33 追踪路由追踪路由9.4任务四网络实时监测5扫描开放端口扫描开放端口具体操作步骤如下：具体操作步骤如下：（1）单击左侧窗口中的）单击左侧窗口中的“PortScan”按钮，显示如图按钮，显示如图9-34所示，在所示，在“Starting IP address”文本框中输入要扫描的文本框中输入要扫描的IP地址段的起始地址段的起始IP地址，地址，“Ending IP address”文本框中文本框中输入结束输入结束IP地址。在地址。在“Ports”选项区域中可选择所扫描的端口类型，默认选择选项区域中可选择所扫描的端口类型，默认选择“Standard（标准）（标准）”，而选择，而选择“Spe

32、cified ports”选项则可自定义要扫描的端口范围，选项则可自定义要扫描的端口范围，不同端口间要使用逗号不同端口间要使用逗号“，”隔开，端口段要使用隔开，端口段要使用“-”符号。符号。图图9-34“PortScan”窗口窗口9.4任务四网络实时监测（2）单单击击“Start”按按钮钮，即即可可开开始始扫扫描描。如如果果当当前前计计算算机机使使用用的的是是Windows XP SP2系系统统，就就会会显显示示并并发发限限制制提提示示框框，提提示示Windows XP SP2限限制制了了TCP的的并并发发连连接接数数量量，在扫描时会降低质量，单击在扫描时会降低质量，单击“OK”按钮即可。按钮

33、即可。（3）扫扫描描完完成成后后，在在“PortScan”列列表表框框中中显显示示出出所所扫扫描描的的结结果果，如如图图9-34所所示示。其其中中，“Open Ports”列列表表中中便便列列出出了了各各个个IP地地址址所所开开放放的的端端口口，需需要要注注意意的的是是，如如果果端端口是系统服务端口，则显示端口的系统名称，否则便以数字方式显示。口是系统服务端口，则显示端口的系统名称，否则便以数字方式显示。9.4任务四网络实时监测6查询域名查询域名Essential NetTools可以通过某个主机名来查询其相应可以通过某个主机名来查询其相应IP地址，也可通过地址，也可通过IP地址查询地址查询该

34、计算机的主机名信息，该功能与该计算机的主机名信息，该功能与Windows中的中的NSLookup命令相似。命令相似。在在Essential NetTools主窗口左侧列表选择主窗口左侧列表选择“NSLookup”按钮，显示按钮，显示“NSLookup”窗窗口。在口。在“Query”文本框中输入要查询的文本框中输入要查询的IP地址或域名；在地址或域名；在“Query type”下拉列表中选择下拉列表中选择查询类型，默认使用查询类型，默认使用“Standard Resolve Function”选项。选项。例如，要查询搜狐网站的信息，在例如，要查询搜狐网站的信息，在“Query”文本框中输入网址文

35、本框中输入网址，单，单击击“Start”按钮，按钮，Essential NetTools即可开始查询，并将查询结果显示在即可开始查询，并将查询结果显示在“NSLookup”窗口中，如窗口中，如9-35所示。所示。9.4任务四网络实时监测 图图9-35 查询域名信息查询域名信息9.4任务四网络实时监测7扫描主机信息扫描主机信息Essential NetTools的的NBScan功能可以扫描一个功能可以扫描一个IP地址或地址或IP地址段内计算机的基本地址段内计算机的基本信息，包括计算机名、所在工作组及网卡的信息，包括计算机名、所在工作组及网卡的MAC地址等。地址等。图图9-36 扫描计算机信息扫描

36、计算机信息9.4任务四网络实时监测8扫描计算机系统信息扫描计算机系统信息Essential NetTools可以扫描局域网中所有计算机的系统信息，共享的文件，甚至可可以扫描局域网中所有计算机的系统信息，共享的文件，甚至可以扫描出计算机中有哪些账户，以及各帐号的密码，给管理员管理网络带来很大的方便。以扫描出计算机中有哪些账户，以及各帐号的密码，给管理员管理网络带来很大的方便。单击左侧列表框中的单击左侧列表框中的“NetAudit”按钮，在按钮，在“Starting IP address”文本框中输入要文本框中输入要扫描的扫描的IP地址段的起始地址，在地址段的起始地址，在“Ending IP ad

37、dress”框中输入结束框中输入结束IP地址，完成后单击地址，完成后单击“Start”按钮，按钮，Essential NetTools便开始扫描该便开始扫描该IP地址段中的计算机，并将扫描出的地址段中的计算机，并将扫描出的信息显示在信息显示在“NetAudit”列表框中，如图列表框中，如图9-37所示，如果发现某台计算机可能存在安全隐所示，如果发现某台计算机可能存在安全隐患，就会以红色显示，如果安全则则以蓝色显示。患，就会以红色显示，如果安全则则以蓝色显示。9.4任务四网络实时监测 图图9-37扫描信息扫描信息 9.4任务四网络实时监测 图图9-38 计算机的详细信息计算机的详细信息9.4任务

38、四网络实时监测 图图9-39 用户名列表用户名列表 图图9-40 扫描用户登录密码扫描用户登录密码9.4任务四网络实时监测9保存保存检测结检测结果果Essential NetTools可可以以将将扫扫描描的的结结果果保保存存成成网网页页或或文文本本格格式式，以以便便于于管管理理员员日日后后查查看看分析。分析。打打开开“菜菜单单”，在在“Save Report”子子菜菜单单中中可可以以选选择择将将当当前前结结果果保保存存成成HTML或或Text格格式式，如如图图9-41所示。所示。图图9-41 网页报告网页报告9.5网络流量分析9.4.1任务描述任务描述熟练使用熟练使用MRTG软件，能够使用软件

39、，能够使用MRTG工具对网络流量进行分析。工具对网络流量进行分析。9.4.2任务准备任务准备MRTG是一款非常有名的网络流量监视及统计软件，是一款非常有名的网络流量监视及统计软件，MRTG可以以网页及图形的方式可以以网页及图形的方式 来呈现出目前网络流量的状况。网络中安装了来呈现出目前网络流量的状况。网络中安装了MRTG之后，管理员可以及时了解服务器和之后，管理员可以及时了解服务器和交换机的流量，防止因流量过大而导致服务器瘫痪或网络拥塞。交换机的流量，防止因流量过大而导致服务器瘫痪或网络拥塞。9.5网络流量分析作为目前最为通用的网络流量监控软件，作为目前最为通用的网络流量监控软件，MRTG具有

40、以下特点：具有以下特点：可移植性：可以运行在大多数可移植性：可以运行在大多数Linux/UNIX系统和系统和Windows 2000/XP/2003/2008系统系统源代码开放：源代码开放：MRTG 是用是用Perl编写的，源代码完全开放。编写的，源代码完全开放。高可移植性的高可移植性的SNMP支持：支持：MRTG采用了采用了Simon Leinen编写的具有高可移植性的编写的具有高可移植性的SNMP实现模块，从而不依赖于操作系统的实现模块，从而不依赖于操作系统的SNMP模块支持。模块支持。支持支持SNMPv2c：MRTG可以读取可以读取SNMPv2c的的64位记数器，从而减少了记数器回转次位

41、记数器，从而减少了记数器回转次数。数。9.5网络流量分析可靠的接口标识：被监控的设备的接口可以以可靠的接口标识：被监控的设备的接口可以以IP地址、设备描述、地址、设备描述、SNMP对接口的编对接口的编号及号及MAC地址来标识。地址来标识。常量大小的日志文件：常量大小的日志文件：MRTG的日志不会变大，因为这里使用了独特的数据合并算法。的日志不会变大，因为这里使用了独特的数据合并算法。性能：时间的第三部分使用性能：时间的第三部分使用C代码编写，因此具有很好的性能。代码编写，因此具有很好的性能。PNG格式图形：图形采用格式图形：图形采用GD库直接产生库直接产生PNG格式。格式。可定制性：可定制性：

42、MRTG产生的产生的Web页面是完全可以定制的。页面是完全可以定制的。9.5网络流量分析9.4.3任务实施任务实施1MRTG前期工作前期工作若要使用若要使用MRTG实现网络设备和服务器的流量监控，必须先做好以下准备工作：实现网络设备和服务器的流量监控，必须先做好以下准备工作：安装安装Web服务服务安装安装ActivePerl启用服务器上的启用服务器上的SNMP服务服务 图图9-42 添加添加SNMP组件组件9.5网络流量分析2配置网络设备的配置网络设备的SNMP服务服务下面以下面以Cisco网络交换机为例，介绍一下如何启用网络设备的网络交换机为例，介绍一下如何启用网络设备的SNMP服务。服务。

43、（1）为网络设备配置管理）为网络设备配置管理IP地址。地址。SwitchenablePassword:Switch#Switch#configure terminalEnter configuration commands,one per line.End With CNTL/Z.9.5网络流量分析2配置网络设备的配置网络设备的SNMP服务服务下面以下面以Cisco网络交换机为例，介绍一下如何启用网络设备的网络交换机为例，介绍一下如何启用网络设备的SNMP服务。服务。（1）为网络设备配置管理）为网络设备配置管理IP地址。地址。Switch(config)#interface vlan 1Swi

44、tch(config-if)#ip address 1 管理管理IP地址地址 子网掩码子网掩码Switch(config-if)#no shutdownSwitch(config-if)#endSwitch#write memory9.5网络流量分析（2）启动）启动SNMP服务服务SwitchenablePassword:Switch#Switch#configure terminalEnter configuration commands,one per line.End With CNTL/Z.Switch(config)#Switch(config)#snmp-server commun

45、ity public RO /只读字符串为只读字符串为public 9.5网络流量分析Switch(config)#snmp-server community public RW /读写字符串为读写字符串为privateSwitch(config)#snmp-server enable trapsSwitch(config)#snmp-server host ip_address SNMP_hostname /安装安装MRTG的计算机的的计算机的IP地址地址Switch(config)#exitSwitch#write memory 9.5网络流量分析3监控计算机上的监控计算机上的MRTG配置

46、配置服务器监控的配置和交换机监控的配置基本相同。下面，我们以对服务器的监控为例。服务器监控的配置和交换机监控的配置基本相同。下面，我们以对服务器的监控为例。本例中，欲监测的设备是本例中，欲监测的设备是Web服务器，其服务器，其SNMP监控的监控的IP地址是地址是192.168.33.250，SNMP查询字符串为查询字符串为Public。具体操作步骤如下：。具体操作步骤如下：（1）下载）下载Windows版本的版本的MRTG并安装。并安装。（2）配置）配置Web服务器，并配置服务器，并配置MRTG生成结果页面的文件夹。生成结果页面的文件夹。将将d:webMRTG作为存放被采集设备配置文件的文件夹

47、。作为存放被采集设备配置文件的文件夹。将将d:webMRTGWeb作为存放被采集信息文件（作为存放被采集信息文件（HTML与图片）的文件夹。与图片）的文件夹。9.5网络流量分析（3）生成）生成Web服务器的服务器的MRTG采集配置文件。采集配置文件。在在MS-DOS窗口运行：窗口运行：c:MRTGbin>Perl cfgmaker-global“WorkDir:d:webMRTGweb”-output“d:webMRTGWeb.cfg”public192.168.33.49。如果运行正常将会在如果运行正常将会在d：WebMRTG目录生成目录生成cisco4006.cfg文件，这个就是针对

48、文件，这个就是针对Web的的 MRTG配置文件。配置文件。9.5网络流量分析（4）修改）修改Web服务器的服务器的MRTG采集配置文件。采集配置文件。使用文本编辑器打开使用文本编辑器打开d:WebMRTGWeb.cfg文件进行编辑，在其中加入如下语句。文件进行编辑，在其中加入如下语句。RunAsDaemon:yes表示允许程序及配置文件后台运行表示允许程序及配置文件后台运行Options_:growright,bits表示采集的流量信息使用表示采集的流量信息使用bits进行表示，也可能使用进行表示，也可能使用bytes进行表示。进行表示。Languagd:GB2312表示使用中文生成表示使用中

49、文生成MRTG结果信息文件。结果信息文件。9.5网络流量分析（5）运行）运行MRTG流量采集程序。流量采集程序。在在MS-DOS窗口中运行：窗口中运行：C:MRTGbin start/D c:MRTGbin wPerl MRTG-logging=eventlog d:webMRTGweb.cfg如果运行正常将会在如果运行正常将会在d:webMRTG目录中生成目录中生成web.cfg_1文件，并在文件，并在d:webMRTGweb目录生成目录生成MRTG第一次采集生成的大量结果文件，可以通过第一次采集生成的大量结果文件，可以通过Web浏览浏览器进行查看，地址为器进行查看，地址为http:/loc

50、alhost/MRTG/web/。同时可以观察到系统将会每。同时可以观察到系统将会每5分钟自分钟自动运行一次动运行一次MRTG采集流量信息并生成文件。采集流量信息并生成文件。9.5网络流量分析（6）生成）生成Web索引页面索引页面在在DOS窗口中运行：窗口中运行：C:MRTGbin Perl indexmaker -output=”d:web MRTG web index.html”-title=windowsMRTG d:webMRTGweb.cfg 如果运行正常将会在如果运行正常将会在d:webMRTGweb目录中生成目录中生成index.html页面，通过页面，通过Web浏览浏览器可以查看服务器性能，地址为器可以查看服务器性能，地址为http:/localhost/MRTG/web/index.html。当欲监视的设备为交换机时，可以通过修改当欲监视的设备为交换机时，可以通过修改.cfg中每个端口的中每个端口的Tittle、PageTop信息信息来指定每个端口流量信息页面的标题，也可以修改来指定每个端口流量信息页面的标题，也可以修改.cfg中其他的一些信息，或者修改中其他的一些信息，或者修改index.html文件来改变页面的显示。文件来改变页面的显示。