1. 使用端口镜像工具 Wireshark
功能: Wireshark是一个强大的抓包工具,适合实时分析包内容,但不适合长时间数据记录。
使用步骤:
安装Wireshark。
配置交换机的端口镜像,将需要监控的流量镜像到Wireshark监听的接口。
开始捕获流量,分析特定会话的包内容。
2. ntopng流量分析
安装与配置:
在Linux系统(如CentOS 7)上安装ntopng,包括依赖如pfringdkms、n2disk等。
启动Redis和ntopng服务。
访问管理页面(
监控流量:
选择要监控的网卡。
在“Flows”部分查看流量情况,ntopng提供历史数据分析。
3. NetFlow/sFlow流量分析工具
NetFlow:
思科设备默认支持,配置UDP端口(如9996)发送流量数据到分析器。
sFlow:
其他厂商如H3C的设备配置,设置sFlow agent和collector地址,通常使用UDP 6343端口。
分析软件:
如ManageEngine OpManager的NetFlow Analyzer,提供Windows平台的图形界面,易于安装和使用。
4. 基于NTA技术的产品
硬件探针:
适用于大规模网络,通过流量镜像或直接串接在链路上,提供详细物理层到应用层信息。
5. Sniffnet 新兴的流量监控工具
安装:
从GitHub下载安装包,或使用cargo、homebrew等工具安装。
对于MacOS,拖入Applications并允许执行。
配置与使用:
选择合适的网络适配器。
配置过滤器以专注特定流量类型。
实时查看流量视图,分析源地址、目标地址、协议等信息。
高级功能:
设置自定义通知以监控特定网络事件。
利用缩略图模式在有限屏幕空间内监控。
通过上述工具和方法,你可以根据具体需求选择合适的工具来监控和分析网络流量,无论是进行日常运维、安全监控还是网络性能优化。
