“网络流量分析沙龙”现场讨论总结、资料下载: 网络流量监控软件大比拼!

草上飞2008

“网络流量分析沙龙”现场讨论总结、PPT、资料下载


先打个广告，7－8月，我们正在搞负载均衡讨论活动，有空看看：
热点讨论: 如何用开源技术搞定负载均衡？ 如何让超慢的应用访问速度变超快？
http://linux.chinaunix.net/bbs/thread-1019366-1-1.html

线上讨论地址：网络流量监测分析工具大讨论，谁更有用？
http://bbs.chinaunix.net/thread-1156344-1-1.html

2008年6月28日（周六）下午，在北京紫竹桥避避风塘茶楼，网络流量分析沙龙顺利结束了。在此，非常感谢各位老大们，抽出周六的休息时间来参与沙龙。
由于之前预定的沙龙场所地方较小，而现场高峰时有近70人，导致现场比较拥挤。在此，向各位表示歉意。下次，我们一定找一个大的教室。
本次沙龙的流程表如下（主持：草上飞2008）：
13:30- 14:00  来宾签到
14:00-14:05  活动致辞 IT168总编 耿英英
14:10-14:50 专家主题介绍：Sniffer工程师 谢声涛  Sniffer到底能够用来做什么？
14:50-15:10  丰台教育信息中心高工阮征：实战体会：SNIFFER监控信息的处理
CU网友主题应用讨论：
15:30-16:00  某协同软件企业运维部高工：我的tcpdump使用感受
16:00-17:05  某软件开发企业运维部高工：AMTG的应用感受
17:05-17:35  某高校信息中心系统管理员：在我眼里的网络分析工具比较
17:40-18:00   某集成公司工程师：通过流量分析去分析企业应用系统

本次沙龙从下午2点到6点，正好4个小时。现场讨论气氛比较活跃。到目前为止，我们已经做了几次沙龙，而本次沙龙，笔者觉得有一个创新之处在于：
除了请sniffer技术工程师进行技术讲解外，我们在CU网友中，邀请了另外几位对网络流量分析工具有一定应用感受的网络工程师，上台讲出他们的应用感受。
并且，通过这种方式，引起大家相互提问及回答。
后面上台的几位演讲者，并非事前安排的“专家”，而是笔者在沙龙报名阶段，通过电话交流而得到的提议及协商的结果。
以后沙龙中，我们将继续在沙龙报名者中，协商出“演讲者”来。

这有以下几点好处：
1、三人行，必有我师，大家全线参与，提高互动性。
2、提高个人演讲水平，话题争论水平。
另外，非常欢迎各位，给我们提出线上/线下沙龙的建议，建议有奖。

我们提供的沙龙资料如下：
部分 演讲者的PPT下载，在下贴中会有。
1/阮征：Sniffer 监控数据的进阶处理ppt.rar
2/实战：利用MRTG进行网络监控.rar
3/学校高工 PPT.rar
阮征：Sniffer 监控数据的进阶处理ppt.rar (303.38 KB, 下载次数: 8321)

2008-07-02 13:34 上传

点击文件名下载附件
实战：利用MRTG进行网络监控.rar (584.31 KB, 下载次数: 9544)

2008-07-02 13:34 上传

点击文件名下载附件
学校高工 PPT.rar (98.8 KB, 下载次数: 5321)

2008-07-02 13:34 上传

点击文件名下载附件   

沙龙现场文字速录下载

沙龙现场文字速录：
http://net.it168.com/salong_net/salon word note .rar word note .rar

沙龙现场录音下载，属于小范围讨论。因有现场演讲人建议，涉及某些核心及敏感的话题，故取消全部共享，改为审核发送形式，如果的确有兴趣，可联系我，经审核后，发送下载地址。

这是沙龙现场的打包图片下载：
http://net.it168.com/salong_net/salong photo.rar


请大家有空支持一下我们的个人空间吧：
如果你没有注册chinaunix论坛的 个人空间，请注册一下吧。人个空间介绍，请详见：
开通CU个人空间并升级有奖活动，送1000积分！  
http://bbs.chinaunix.net/thread-1103702-1-1.html

[ 本帖最后由 草上飞2008 于 2008-9-3 16:55 编辑 ]

草上飞2008

活动现场精彩片段 及 资料下载：

IT168的总编耿英英:
我们未来会办越来越多的活动，我们每次的选题都会变得越来越具体，刚才我们跟这边的一些朋友来聊，他们觉得CU现在特别特别大了，但是可能针对具体的话题，可能谈不到特别的深，谈不到特别有针对性，我们也希望把CU做得更好，除了变得越大越强之外，还能在具体的某个领域再深入一些......


SNIFFER技术工程师陈宁：

我们在几年的销售过程中，建立很多客户，包括天天在用这些产品的同事，有的用了十多年我们的产品的，基本发现有一个共同特征，其中一个就是盗版率太高，大家都在用，因为这个产品没有经过很深入的培训和训练，很多功能根本就不知道，包括我们自己的工程师......


Sniffer技术工程师 谢声涛：

在往常情况，可能网络出现了问题，但是这个问题可能是半夜两点钟，但是它是一种不可再现的问题，有可能这段时间五分钟或者十几秒钟出现问题，但又恢复正常了，但并不表示这个问题已经解决了，它实际上是隐藏在后台的问题，那么有可能下次爆发的时候引起更重要的问题。

丰台教育信息中心高工阮征：
实战体会：SNIFFER监控信息的处理
下载：Sniffer 监控数据的进阶处理ppt.rar
阮征：Sniffer 监控数据的进阶处理ppt.rar (303.38 KB, 下载次数: 2837)

2008-07-02 13:36 上传

点击文件名下载附件

比如说我这个找出的MSN聊天的信息，把刚才的代码还原成明文了，对应的就是这一段的乱码信息，还有一种通过（英文）抓包，发现信息是以密度5存在的，这个加密比较牢靠，但是我们还是可以进行破解的，我平时用的两个方法，一个是有一个网站，它可以帮你反查，大部分代码是免费的，但是对于一些高级的，就是明文比较高级的代码查询是收费的，比如说BD1HHVV，它的查询就是又是数字又是字母结合就收费，好象一百块钱查一千条。。。。。。

对于网络工程师来说，对咱们最有帮助的，不是用哪个工具，不是说哪个工具一定是最好的，我们要掌握的是怎么样来用这个工具，网络协议分析工具再好也是一条鱼，咱们流量分析方法才是鱼的技巧，希望通过这次交流会，可以让各位重视（英文）工具在企业内网管理中的地位，让咱们进一步了解它的功能，让我们在实际工作中不是为了监控数据而监控，不是抓多少多少包，而是针对监控到的数据进行分析，让咱们得到数据得到升值，那么时间关系只是给大家介绍一个皮毛的东西，希望能够达到抛砖引玉的效果。


精彩提问：
某企业运维CTO：
我是（英文）大中华区的CTO，我们大概有200多台的防火墙，再加上一些服务器大概有300多台，我们的流量会比较大，这样我们面临的问题会飞来飞去，跑到各地去看流量，这仅是中华区，不包括亚太区的，现象所有的任务压在我们两个人的头上，比如印度大流量，好多人不知道怎么回事慢了，我们马上飞过去，去查一下什么原因，我想做一下整体的部署，不要那样去跑，我们在新加坡和中国做两个点，在这两个点看亚太区发生的流量问题........

某协同软件企业运维部高工：我的tcpdump使用感受

刚才听了大家讲了sniffer，第一花钱，第二Windows平台，这两点如果说中小企业来讲，它成本比较大，比如我要去抓包，那么我就要有一个高配置的交换机，把某个端口给映射过来，然后我再去抓，但如果有免费平台，基本中小企业都会去找，而且有些方面比（英文）更加方便，我现在的应用来说，一般的（英文），它的方便在哪，它实际上是一个图形界面，能够非常直观的做数据的筛选，包括无线网络一直抓包。



某软件开发企业运维部高工：AMTG的应用感受

我们是对日开发软件的大公司，公司主要面对的客户是日方那边的政府和金融单位，然后有一天我们的部长找到我，说小WAN，咱们的日本客户，说有一次咱们的网络流量突然堵了，然后想问一下咱们的流量到底有多高，咱们公司十MB的网络流量难道不够吗？我说不会呀，在这以前我们没有任何一个监控软件，然后他说你找一个吧，就是比较直观的，让小日本直接看清楚的，像什么专业的（英文），小日本那种智慧肯定看不懂，所以说咱们只能搞一个最简单的，在这种情况下我只能找百度了，好，AMTG出现了......
下载：实战：利用MRTG进行网络监控.doc
实战：利用MRTG进行网络监控.rar (584.31 KB, 下载次数: 3047)

2008-07-02 13:36 上传

点击文件名下载附件



某高校信息中心系统管理员：在我眼里的网络分析工具

学校高工 PPT.rar (98.8 KB, 下载次数: 909)

2008-07-02 14:05 上传

点击文件名下载附件
现在这些地方出现了问题，就像国际航空订票，然后在订票的时候要来北京订票，延时了3秒钟，问题出现在哪了，用这些软件是做不到的，大家可以看一下，这是比较典型的网络Email，我们做网络分析的时候，要做哪些东西，设备、数据库等等这方面的知识，我们都会用到。



[ 本帖最后由 草上飞2008 于 2008-7-2 14:06 编辑 ]

草上飞2008

过道没了，



下午18：20，战斗到最后的沙龙参与者们，一起照了一张相。

附：
免费网络管理流量监控软件大比拼
阮征

对于中小企业来说我们这些网管员希望能够找到免费的流量监控软件，前一阶段笔者为各位介绍了多款免费流量监控软件，并对这些软件的实际使用步骤和应用方法进行了阐述，那么究竟这些流量监控软件哪个具有最佳性能呢？今天我们就来进行一次硬碰硬的大比拼，看看谁才是免费流量监控软件之王。
    四款软件齐登场：
    经过多名专家的品评，免费流量监控软件迎来了四强。这四位选手可以说是最具有实力的，在监视流量、控制流量、排查故障方面都有各自的绝招，下面我们就来了解一下四强选手的基本情况，看看谁能够在本次免费流量监控软件大比拼中独占鳌头。
    Sniffer pro：
    Sniffer pro可以说是Sniffer软件的鼻祖，他的功能一点都不输于其他付费工具，他是由NAI公司出品的可能是目前最好的网络协议分析软件之一，支持各种平台，性能优越。
    Sniffer pro小档案：
    软件版本：v4.7.530 特别版
    软件大小：33.02 MB
    软件语言：英文
    软件类别：共享软件
    运行环境：WinXP/Win2000/NT/WinME/Win9X/Win2003
    下载地址：http://www.cncode.com/Download.a ... ferPro_4_70_530.rar
    PRTG：
    PRTG全称为Paessler Router Traffic Grapher，他是另外一款功能强大的免费且可以通过路由器等设备上的SNMP协议取得流量资讯并产生图形报表的软件，他可以为我们产生企业内部网络包括服务器，路由器，交换机，员工计算机等多种设备的网络流量图形化报表，并能够对这些报表进行统计和绘制，帮助我们这些网络管理员找到企业网络的问题所在，分析网络的升级方向。当然该软件可以在绘制完毕后将图形图表以页面的形式反馈给我们，这样网络管理员可以通过网络中的任何一台计算机访问配置了PRTG的计算机，实现远程管理，查看和维护网络流量的目的。
    PRTG小档案：
    软件版本：v4.0.8.154.Enterprise
    软件大小：5.46MB
    软件语言：英文版
    软件类型：免费软件
    适用平台：windows 2000/xp/2003
    下载地址：http://download2.paessler.com/download/prtg.zip
    MRTG：
    MRTG（Multi Router Traffic Grapher）是一款实用的网络流量监控软件，他通过snmp协议从设备得到流量信息，这样我们就可以监视通过服务器网卡的流量了，另外该软件还可以把流量数据以网页图表的方式显示出来，间隔时间可以是5分钟，30分钟，2小时或1天等多个选项，对生成的网页通过一般的网页编辑软件也可以进一步修改和美工。
    MRTG小档案：
    软件版本：V2.10.0 pre 7
    软件大小：1558 KB
    软件性质：免费软件
    运行平台：Window 98/NT/2000/XP/2003
    下载地址：http://down.it168.com/files/xiazai3.asp?iid=4635
    Ethereal：
    Ethereal是当前较为流行的一种计算机网络调试和数据包嗅探软件。Ethereal 基本类似于tcpdump，但Ethereal还具有设计完美的GUI和众多分类信息及过滤选项。用户通过Ethereal，同时将网卡插入混合模式，可以查看到网络中发送的所有通信流量，并根据流量进行测试从而发现网络问题并排除网络故障。
    ethereal小档案：
    软件版本： V0.99.0
    软件大小： 12747 KB
    软件语言： 英文
    软件类别： 免费版
    应用平台： Win9x/NT/2000/XP/2003
    下载地址：http://ftp7.enet.com.cn:88/pub/s ... thereal-setup-0.exe
    那么到底这四强选手谁能够获得免费流量监控软件的桂冠呢？下面我们就来详细比较下。
    系统通用性大比拼
    一般对于这种流量监控软件我们在实际使用中都需要系统的支持，对于大多数中小企业来说计算机使用的操作系统无外乎Windows系统和类Linux系统。所以说要看这个流量监控软件是否兼容性好，还要看他是否真的能够在这两种操作系统中运行，如果不能的话通过专门的Windows版本和Linux版本也可以将就兼容。
    Sniffer pro：（如图1）
    sniffer pro是Windows系统下的sniffer老大，不过他并不兼容Linux，也没有对应linux系统下运行的版本。



图1
PRTG：（如图2）
    PRTG是流量监控软件中的佼佼者，虽然他不能同时兼容Windows系统和Linux系统，但是PRTG推出了Windows版本和Linux版本，这样不管在哪个系统中都可以有效的运行PRTG。



图2
    MRTG：（如图3）
MRTG虽然无法同时兼容Windows和Linux系统，但是他同样提供了适用于两个系统的MRTG版本。不过MRTG出身自Linux系统，所以在Linux系统中他的表现更好，运行也更稳定，相应的在Windows系统中运行却时有毛病出现。



图3
    Ethereal：（如图4）
    Ethereal是响当当的流量监控软件，而且类Ethereal的监控软件很多，很多公司出品的收费软件的核心也都是Ethereal。但是不管如何改进，类Ethereal表现终究是差些，所以说在实际使用中Ethereal的运行效果最好。他同样提供Windows系统和Linux系统两个版本。



图4
    小结:
    Sniffer pro因为自负而缺乏Linux系统版本的支持，而其他三位高手则均推出了适用于Windows和Linux系统的版本，在这方面打平手。
    分组比拼功能
    由于四款软件的功能导向不同，所以我们无法把他们拿到一起进行功能比拼。笔者将类似的两款放到一组进行对比。
    扫描组——Sniffer pro和Ethereal
    一般来说Sniffer pro和Ethereal的特点是对于网络的数据包进行监控，可以了解网络中流动的所有数据信息，分析数据包中的源地址目的地址以及端口号，甚至还可以对数据包中的内容进行分析，所以将他们放到一组比较合适。
    通过笔者的详细比较，Sniffer pro和Ethereal都可以对网络中的所有数据进行捕获，可以了解网络的通讯信息，可以定义适当的过滤器对网络中的数据包进行筛选，两者旗鼓相当，不过Ethereal因为弟子众多，所以扩展插件更多，可以通过这些扩展插件实现一些更加高级的功能或者更加方便使用者分析网络，另外ethereal内置的一些流量分析工具要比sniffer pro强大得多。所以在功能比拼上ethereal小胜sniffer pro，同时sniffer pro也因为两败而被淘汰。
    小结:ethereal艰难晋级， sniffer pro惨遭淘汰。
    监视组——PRTG和MRTG
PRTG和MRTG都是提供了对流经服务器或路由器各个端口的流量监控，他们只能够对流量信息的多少进行监视，并且根据输入输出的数据大小绘制相应的图表，经过反复对比发现异常现象。所以将他们放到一组比较合适。
    PRTG和MRTG笔者都使用过，作为流量监控软件来说两者都是非常不错的，监控后绘制的图表都可以以网页的形式发布，方便我们这些网络管员在第一时间掌握企业内部流量情况。不过就个人感觉不管是使用效果还是配置过程MRTG都要大大输于PRTG。主要表现在以下几个方面。
    首先PRTG安装很简单，使用也是图形化界面，而MRTG则要复杂得多，大部分指令都是基于命令行的；另外PRTG可以轻松实现用一台计算机监控多台服务器的功能，而MRTG要反复设置修改默认模板才行；PRTG的监控内容也比MRTG多，除了MRTG拥有的流量监控外PRTG还可以对CPU使用情况，内存资源，缓存信息等进行管理；最关键的是PRTG集成了页面发布工具，在监控完毕后不需要任何设置就可以通过网页的形式访问结果；而MRTG自己不带页面发布工具，需要我们自己安装IIS或Apache来将生成的报表页面发布出去。所以经过比较PRTG大胜MRTG。
    小结——PRTG大胜晋级， MRTG受重伤无法继续比赛而被淘汰。
    强中强再决斗
    Ethereal终于在最后的比拼中与PRTG相遇了，两者的优势完全不同，Ethereal以分析网络流量中数据包的内容见长，而PRTG则在统计数据包的数量占优，两者所实现的功能是不一样的。在这种情况下两者无法决一胜负。
    对于我们这些中小企业的网络管理员来说应该学会使用上述两款软件，毕竟不管是分析网络流量中的数据包内容还是统计数据包的数量制作成网页进行再分析都是重要的，只有采取双管齐下两个软件一起使用的策略，才能让我们网络的故障在第一时间被发现并解决。这也是为什么当初ethereal与PRTG非要决一胜负的结果是同归于尽了，只有集两者功能于一身的功能更强大的软件才能够独占鳌头。
    总结
    实际上正如本文所分析的那样，对于我们这些网络管理员来说并不一定非要抱着一款网络流量管理软件不放，必要时应该换换思路换换功能使用多款网络流量管理软件有效管理企业内网，发挥各个工具的独特优势，减少故障发生的机率，让我们可以对流经企业网络的数据包在微观（数据包内容）和宏观（数量统计）上均有一个清晰的了解。

[ 本帖最后由 草上飞2008 于 2008-8-23 10:48 编辑 ]

草上飞2008

原帖由 shawnlee 于 2008-7-2 13:31 发表
不对啊，，，怎么是这些东西，，，不是说有录音吗？？

录音文件正在上传处理中，

[ 本帖最后由 草上飞2008 于 2008-7-3 10:59 编辑 ]

jxf110

后面的内容这么精彩？可惜听完tcpdump就赶回去加班了。现场气氛很不错，如果持续办下去，即使场地再大一些我想这样热烈的气氛 也能保持住的。非常好，尤其是碰到有相同问题的朋友的时候，能开拓思路。

opbsder

有清晰点的照片吗？好模糊的

意尹者

顶上去，没机会现场参加，我要下载资料。