网络流量分析沙龙总结、PPT、录音下载+ 线上有奖跟帖

fanqiang

================================================
本次活动已经结束，“网络流量分析沙龙”现场讨论总结、PPT、录音下载：
http://bbs.chinaunix.net/thread-1186419-1-1.html

活动获奖名单公布:http://bbs.chinaunix.net/thread-1191592-1-1.html
================================================



诚邀您参加ChinaUnix和IT168网络频道联合举办的《网络流量监测分析沙龙》

主题：企业网络流量分析/网络流量监测/网络故障排查
时间：2008年6月28日（周六），下午13：30-17：30
地点：北京， 某避风塘茶楼内

参加办法：免费参加，但为统计人数及安排座位，一律请报名。请将你的姓名、联系电话、单位名称，通过邮件或站内短信或电话的方式告之我们沙龙的联系人。确定人数后，在活动之前，我们会分别单独通知报名者详细聚会地点。

报名联系人：唐川（CU网名：草上飞2008）：邮件：tangchuan@it168.com  ，Tel: 010-82657101/02/03/04/05/06 转 179

提示：我们备有多种礼品，请带名片参加，以便抽奖。

特邀专家：
    A：Sniffer技术工程师，两位。
    B：某学校网络信息中心主任，Sniffer系统应用高手，从业10年
    C：某政府机构网络信息中心 信息组组长 高级工程师，Sniffer系统应用高手，负责网络核心层及汇聚层网络设备维护，针对接入层进行病毒扫描 安全扫描 漏洞弥补等工作，工作过程中经常使用sniffer与wireshark扫描网络数据 解决实际拥堵与病毒问题。

交流话题：
1、Sniffer等网络协议分析类工具与netflow、SNMP等分析两类之间，到底有何区别呢？其应用的作用如何呢？
2、使用什么样的网络流量分析工具比较好？（Sniffer、OmniPeek、netflow、Iris等）？
3、如何感知网络中流量为异常流量？
4、如何有效地用网络流量分析工具来监测网络，排查关键问题？
5、一款免费的网络流量分析监测软件是否能满足企业的需要，特别是针对中小企业。自由网络流量分析监测软件与专业网络分析系统有何区别？
6、如何通过sniffer等网络分析系统 追查 病毒与黑客？
7、针对内部流量、外来流量，在监测时是否有所区别，各工具的作用如何？


========================================================================
为配合本次技术沙龙，我们特别举办线上有奖交流讨论活动：如何做流量分析？说说你最满意的一次流量分析经历？
线上交流活动时间：2008年6月11日-6月30日
========================================================================

一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够很快地区隔出问题的发生原因，可能是线路问题、网络设备问题、或者是路由器的设定问题。

如今，产生了大量的可工作在各种平台上相关软硬件工具，其中有商用的，也有free的。
其中，基于网络协议分析的工具有：


Unix平台下的： tcpdump、ngrep、snort、Dsniff、Ettercap、Sniffit等
Windows平台下的： Windump、Iris、OmniPeek、Sniffer等
另外，还有大量面向流量层次监测的 NetFlow类工具， 以及面向简单网络管理协议（SimpleNetwork Management Protocol, SNMP）等网络分析工具。

到底哪种网络分析工具，在你所在工作环境中，最有效？为什么？如何做流量分析？说说你最满意的一次流量分析经历？

欢迎大家积极参与交流，我们将从所有跟帖中评出精彩、优秀的交流帖子给予奖励，按楼号进行评奖，名额不限，每个获奖楼号将奖励发帖者100可用积分，可重复获奖

同时，我们也公开面向所有网友征集活动评委，你可以在活动结束后，给我们发一份你认为可以获奖的交流帖名单，要求注明：1、你觉得最精彩的帖子楼号（最多10个楼号）；2、用户名；3、你的评语。如果你的评选结果大致与我们最终结果相同并且你的评语有效，那我们会奖励你500可用积分。评委同时可以参与有奖交流活动。

交流活动时间：2008年6月11日---6月30日
网友评委参与时间：7月1日--7月10日，将你认为最精彩的结果站内短信发给“草上飞2008”或邮件：tangchuan@it168.com
结果公布时间：2008年7月15日  所有活动结果将在“网络技术版”和“CU活动专区”公布

请大家尽量详细描述分享你在流量分析方面的使用经验和经历，不要简单的跟帖回答使用那些分析工具

关于可用积分兑换情况，请关注“CU活动专版”： http://bbs.chinaunix.net/forum-123-1.html

ylcqen

不错,lz就是要多组织这类活动!

寂寞烈火

tcpdump用的还是比较多吧!

ylcqen

其实,上面的软体各有各的优势!有的管理员可能会选择几个软体一起配合使用.我对它们就是如此!

jacky_hui

Sniffer吧

huzi1986

tcpdump sniffer iris 还有国产的一个科来

lasama

tcpdump+etherial  
对俺来说，足够用了

phpman

Wireshark

xxhe

俺们的unix服务器用户不多，所以很少统计，曾经实验用过tcpdump
windows下用过Sniffer，所以发言权很小

草上飞2008

本次活动，我们是先线上讨论， 如果在北京的朋友对此 感兴趣， 我们还组织了 线下讨论，一方面有相应的技术高手一起聊聊，大家也可以相互聊聊。

附：
将在6月28日（周六）就本次讨论的主题举办线下沙龙交流活动，届时将邀请多位这方面的资深专家与大家面对面交流，具体活动地点和情况，请关注CU网络技术版的通知。


附：
免费网络管理流量监控软件大比拼
阮征

对于中小企业来说我们这些网管员希望能够找到免费的流量监控软件，前一阶段笔者为各位介绍了多款免费流量监控软件，并对这些软件的实际使用步骤和应用方法进行了阐述，那么究竟这些流量监控软件哪个具有最佳性能呢？今天我们就来进行一次硬碰硬的大比拼，看看谁才是免费流量监控软件之王。
    四款软件齐登场：
    经过多名专家的品评，免费流量监控软件迎来了四强。这四位选手可以说是最具有实力的，在监视流量、控制流量、排查故障方面都有各自的绝招，下面我们就来了解一下四强选手的基本情况，看看谁能够在本次免费流量监控软件大比拼中独占鳌头。
    Sniffer pro：
    Sniffer pro可以说是Sniffer软件的鼻祖，他的功能一点都不输于其他付费工具，他是由NAI公司出品的可能是目前最好的网络协议分析软件之一，支持各种平台，性能优越。
    Sniffer pro小档案：
    软件版本：v4.7.530 特别版
    软件大小：33.02 MB
    软件语言：英文
    软件类别：共享软件
    运行环境：WinXP/Win2000/NT/WinME/Win9X/Win2003
    下载地址：http://www.cncode.com/Download.a ... ferPro_4_70_530.rar
    PRTG：
    PRTG全称为Paessler Router Traffic Grapher，他是另外一款功能强大的免费且可以通过路由器等设备上的SNMP协议取得流量资讯并产生图形报表的软件，他可以为我们产生企业内部网络包括服务器，路由器，交换机，员工计算机等多种设备的网络流量图形化报表，并能够对这些报表进行统计和绘制，帮助我们这些网络管理员找到企业网络的问题所在，分析网络的升级方向。当然该软件可以在绘制完毕后将图形图表以页面的形式反馈给我们，这样网络管理员可以通过网络中的任何一台计算机访问配置了PRTG的计算机，实现远程管理，查看和维护网络流量的目的。
    PRTG小档案：
    软件版本：v4.0.8.154.Enterprise
    软件大小：5.46MB
    软件语言：英文版
    软件类型：免费软件
    适用平台：windows 2000/xp/2003
    下载地址：http://download2.paessler.com/download/prtg.zip
    MRTG：
    MRTG（Multi Router Traffic Grapher）是一款实用的网络流量监控软件，他通过snmp协议从设备得到流量信息，这样我们就可以监视通过服务器网卡的流量了，另外该软件还可以把流量数据以网页图表的方式显示出来，间隔时间可以是5分钟，30分钟，2小时或1天等多个选项，对生成的网页通过一般的网页编辑软件也可以进一步修改和美工。
    MRTG小档案：
    软件版本：V2.10.0 pre 7
    软件大小：1558 KB
    软件性质：免费软件
    运行平台：Window 98/NT/2000/XP/2003
    下载地址：http://down.it168.com/files/xiazai3.asp?iid=4635
    Ethereal：
    Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump，但Ethereal还具有设计完美的GUI和众多分类信息及过滤选项。用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量，并根据流量进行测试从而发现网络问题并排除网络故障。
    ethereal小档案：
    软件版本： V0.99.0
    软件大小： 12747 KB
    软件语言： 英文
    软件类别： 免费版
    应用平台： Win9x/NT/2000/XP/2003
    下载地址：http://ftp7.enet.com.cn:88/pub/s ... thereal-setup-0.exe
    那么到底这四强选手谁能够获得免费流量监控软件的桂冠呢？下面我们就来详细比较下。
    系统通用性大比拼
    一般对于这种流量监控软件我们在实际使用中都需要系统的支持，对于大多数中小企业来说计算机使用的操作系统无外乎Windows系统和类Linux系统。所以说要看这个流量监控软件是否兼容性好，还要看他是否真的能够在这两种操作系统中运行，如果不能的话通过专门的Windows版本和Linux版本也可以将就兼容。
    Sniffer pro：（如图1）
    sniffer pro是Windows系统下的sniffer老大，不过他并不兼容Linux，也没有对应linux系统下运行的版本。



图1
PRTG：（如图2）
    PRTG是流量监控软件中的佼佼者，虽然他不能同时兼容Windows系统和Linux系统，但是PRTG推出了Windows版本和Linux版本，这样不管在哪个系统中都可以有效的运行PRTG。



图2
    MRTG：（如图3）
MRTG虽然无法同时兼容Windows和Linux系统，但是他同样提供了适用于两个系统的MRTG版本。不过MRTG出身自Linux系统，所以在Linux系统中他的表现更好，运行也更稳定，相应的在Windows系统中运行却时有毛病出现。



图3
    Ethereal：（如图4）
    Ethereal是响当当的流量监控软件，而且类Ethereal的监控软件很多，很多公司出品的收费软件的核心也都是Ethereal。但是不管如何改进，类Ethereal表现终究是差些，所以说在实际使用中Ethereal的运行效果最好。他同样提供Windows系统和Linux系统两个版本。



图4
    小结:
    Sniffer pro因为自负而缺乏Linux系统版本的支持，而其他三位高手则均推出了适用于Windows和Linux系统的版本，在这方面打平手。
    分组比拼功能
    由于四款软件的功能导向不同，所以我们无法把他们拿到一起进行功能比拼。笔者将类似的两款放到一组进行对比。
    扫描组——Sniffer pro和Ethereal
    一般来说Sniffer pro和Ethereal的特点是对于网络的数据包进行监控，可以了解网络中流动的所有数据信息，分析数据包中的源地址目的地址以及端口号，甚至还可以对数据包中的内容进行分析，所以将他们放到一组比较合适。
    通过笔者的详细比较，Sniffer pro和Ethereal都可以对网络中的所有数据进行捕获，可以了解网络的通讯信息，可以定义适当的过滤器对网络中的数据包进行筛选，两者旗鼓相当，不过Ethereal因为弟子众多，所以扩展插件更多，可以通过这些扩展插件实现一些更加高级的功能或者更加方便使用者分析网络，另外ethereal内置的一些流量分析工具要比sniffer pro强大得多。所以在功能比拼上ethereal小胜sniffer pro，同时sniffer pro也因为两败而被淘汰。
    小结:ethereal艰难晋级， sniffer pro惨遭淘汰。
    监视组——PRTG和MRTG
PRTG和MRTG都是提供了对流经服务器或路由器各个端口的流量监控，他们只能够对流量信息的多少进行监视，并且根据输入输出的数据大小绘制相应的图表，经过反复对比发现异常现象。所以将他们放到一组比较合适。
    PRTG和MRTG笔者都使用过，作为流量监控软件来说两者都是非常不错的，监控后绘制的图表都可以以网页的形式发布，方便我们这些网络管员在第一时间掌握企业内部流量情况。不过就个人感觉不管是使用效果还是配置过程MRTG都要大大输于PRTG。主要表现在以下几个方面。
    首先PRTG安装很简单，使用也是图形化界面，而MRTG则要复杂得多，大部分指令都是基于命令行的；另外PRTG可以轻松实现用一台计算机监控多台服务器的功能，而MRTG要反复设置修改默认模板才行；PRTG的监控内容也比MRTG多，除了MRTG拥有的流量监控外PRTG还可以对CPU使用情况，内存资源，缓存信息等进行管理；最关键的是PRTG集成了页面发布工具，在监控完毕后不需要任何设置就可以通过网页的形式访问结果；而MRTG自己不带页面发布工具，需要我们自己安装IIS或Apache来将生成的报表页面发布出去。所以经过比较PRTG大胜MRTG。
    小结——PRTG大胜晋级， MRTG受重伤无法继续比赛而被淘汰。
    强中强再决斗
    Ethereal终于在最后的比拼中与PRTG相遇了，两者的优势完全不同，Ethereal以分析网络流量中数据包的内容见长，而PRTG则在统计数据包的数量占优，两者所实现的功能是不一样的。在这种情况下两者无法决一胜负。
    对于我们这些中小企业的网络管理员来说应该学会使用上述两款软件，毕竟不管是分析网络流量中的数据包内容还是统计数据包的数量制作成网页进行再分析都是重要的，只有采取双管齐下两个软件一起使用的策略，才能让我们网络的故障在第一时间被发现并解决。这也是为什么当初ethereal与PRTG非要决一胜负的结果是同归于尽了，只有集两者功能于一身的功能更强大的软件才能够独占鳌头。
    总结
    实际上正如本文所分析的那样，对于我们这些网络管理员来说并不一定非要抱着一款网络流量管理软件不放，必要时应该换换思路换换功能使用多款网络流量管理软件有效管理企业内网，发挥各个工具的独特优势，减少故障发生的机率，让我们可以对流经企业网络的数据包在微观（数据包内容）和宏观（数量统计）上均有一个清晰的了解。

[ 本帖最后由 草上飞2008 于 2008-8-23 10:47 编辑 ]