- 论坛徽章:
- 0
|
unix下的话,我基本上没有用桌面的,大致上是这些:
文本方式下
tcpdump最为常用,因为基本上我在每台机器上都有装,对检测网络问题特别有帮助,而且远程ssh的时候文字界面下方便存储浏览功能强大,随时按ctrl+c都能停止下来;
tethereal也比较好用(是ethereal的文字版),但是抓包太快,经常ctrl+c停止不掉,不过还好可以ctrl+z转到后台去,然后kill杀掉它;
iptraf也很方便地抓取和退出,而且是菜单方式的适合新手操作,在网关位置用来简单分析一下内网用户的前几大"网霸"比较有用,排序这些方便,很容易找到流量异常或过大的节点;
snort则是比较适合长期检测跟踪,在一个时期范围内(比如一月,一周等)取得整个网络内的流量分布和走向,其官方的一些资料配合起来,基本就是ids了,如果有兴趣,配合其他程序作成ips也是可以的;
另外如果是在linux平台下,利用iptables和给包打标签的方式并log下来的方式,也能对指定的端口,协议(由于有专门的一些模块,所以可以作到不针对ip或port的layer7过滤,比如只记录p2p类的大致应用情况,这个是普通抓包软件目前基本上比较欠缺的,linux虽然也不算太好,不过相比之下配合上ipp2p或者layer7模块能比较强一些)流量进行获取分析,这个配合上日志轮循比较适合用来作指定备份定期审核;
================================================================
GUI方式的
windows 下面,就基本上清一色是在用桌面方式下GUI的了:
我用得比较多的是 Sniffer 这个软件,很好,很强大,基本上不用说什么了,其协议分析和高亮选中的部分,还有指定抓报文的功能用起来相当舒服,不过有时候用不到这个比较大型的,如果喜欢轻巧启动快速一些的Iris和OmniPeek就很不错,我在调试交换机的笔记本上就装的有后面两个软件,作为调试交换机或者设备来说一般后面两个就完全足够了,sniffer用来分析多机环境下的网络表现或者抓特征这些要直观得多;
然后如果是在局网内,科来(似乎是这个名字!?)对于内网中的包分析还是比较体贴和有用的,这个在教育网内的网管用它的不少的;
另外,"费尔防火墙"(没错,我没发神经)也能实时地把本机接收到的包的情况滚动显示出来,速度非常快(和其他防火墙不同,不是只显示攻击信息,是所有进出的包,什么程序发出的都会滚动不断地显示),在很多时候也被我"不务正业"用来简单获取流量信息,由于其本身就是日常被我开启来保护电脑的防火墙,所以可以说是最为常用的监测软件了;
纯图形方式的:
我参考snmp基本上比较偷懒,喜欢直接看图形,以前是用mrtg,现在转到cacti上面来了,用它获取各个网络设备的流量信息还是相当地方便的;其实也可以根据这个自己根据内网的拓扑结构开发适合的第三方软件,比较直观地反映出当前的内部网络的交换机的运行及运作情况的.
个人总结
以上分别说了三种方式: 文本方式,GUI方式,图形浏览方式 -- 三者中并不存在好坏优劣之分,而是根据环境选择:在远程环境中,由于网络速度等原因,文本方式能最为快速地精确控制,并且还节约带宽,也能一下子就保存到一个文件里下载回来分析;GUI方式相当直观,适合现场调试的时候现场分析使用;图形方式适合"记录"流量情况,随时瞄上一眼就能知道是不是运作正常~~~~
针对题目回答
所以我个人认为: 各个平台下的前端,后端都有强大而成熟的网络流量分析工具,作为用户或者网络管理者,用某个软件解决所有问题的执著固然值得敬佩,但能审时度势用最为适合的软件在省心省力省时分析统计出所需要的数据,就是最好的了."尺有所短,寸有所长",功能强大的同时也有臃肿,启动慢,占资源等缺点;界面简陋也有简单质朴方便命令方式下达指令进行批处理启动快速等优点~~~海军,陆军,空军--哪个兵种好?个人觉得还是海陆空联合作战来得最好~~~~管理之道,选择之道也.
[ 本帖最后由 skylove 于 2008-6-11 22:21 编辑 ] |
|