如何监控局域网中的所有网络连接？

顶部

ntop 是一个网络探针，它以类似于 top 对进程所做的方式显示网络使用情况。在交互模式下，它在用户终端上显示网络状态。在 Web 模式下，它充当 Web 服务器，创建网络状态的 HTML 转储。它具有 NetFlow/sFlow 发射器/收集器、用于创建以 ntop 为中心的监控应用程序的基于 HTTP 的客户端接口，以及用于持久存储流量统计信息的 RRD。

ntop 可用于基于 Unix 和 Win32 的平台。它由意大利比萨大学的研究科学家和网络经理 Luca Deri 开发。

linux系统上的常见用法是启动ntop守护进程（/etc/init.d/ntopd start），然后 在loopback设备已经启动的情况下，可以通过访问http://127.0.0.1:3000使用web界面访问ntop (/etc/init.d/net.lo start) 并且 ntop 的侦听端口是 3000（注意 ps aux | grep ntop 中的 -w 选项）。

可能是wireshark，也许。但是很难从您的问题中分辨出来，因为它没有包含足够的信息来说明您所说的“监视器”是什么意思。

首先，您需要一种允许网络监控的网络设计。可以使用许多监视器端口。或者，使用网络集线器代替第 2 层网桥或交换机。

然后在每个网段上安装 IDS（入侵检测系统）。

“监视器”可以有多种含义，因此很难说出您的意思。如果您想监控网络连接的状态（如连接是打开还是关闭），那么许多交换机都支持 SNMP，您可以使用 What's Up Gold 或 Solarwinds 之类的程序来报告端口状态的变化。

如果要监视服务器上的网络连接，可以使用定期执行 ICMP 请求的平台来测试服务器是否仍处于活动状态。前面提到的软件以及 IPSentry 之类的软件也可以做到这一点（以及在 Serverfault 的其他问题中提到的许多其他软件，例如此处或此处）。

如果您想监控实际流量并查看数据包，那么您需要将交换机上的端口镜像到复制端口（假设您的交换机具有该功能）并在系统上安装类似 Wireshark 的东西来捕获该端口。但是，您可能会超载该端口的带宽（取决于其他端口上的流量以及被镜像的其他端口的数量）。如果发生这种情况，您将丢失数据包。

唔。我想我们可以试一试，猜测您可能正在寻找类似 SNMP（简单网络管理协议）的东西。如果您的交换机/路由器/PC 支持 SNMP 陷阱，那么它可以将其状态、代码和消息发送到 NMS（网络监控站），该 NMS 可以向您显示设备的状态。

每次出现故障或崩溃时，我们所有的自定义软件都会发送 SNMP 陷阱，并且许多托管交换机会通过相同的方法为您提供端口详细信息（打开、关闭、速度和双工等）

在我看来，NetFlow就是您想要在这里使用的那种工具。如果您使用支持它的交换机，它们可以执行诸如记录每个 TCP 连接（或仅基于端口等过滤器的某些连接）、每个连接的流量等等之类的事情。如果您有一个监控端口可以连接运行 nProbe 的计算机（在 http 站点 www.ntop.org/nProbe.html）或类似的东西，您可以对未启用 NetFlow 的交换机执行类似的操作。这里有大量与 NetFlow 应用程序相关的软件：（在 http 站点 www.switch.ch/network/projects/completed/TF-NGN/floma/software.html）

（顺便说一句，不要责怪我缺少第一个以外的链接；这个网站已经决定不想要它们了。）

试试 'IPTRAF' 它很棒的工具。安装后，它将检测所有以太网端口，你可以开始监控你的本地网络。http://iptraf.seul.org/

请享用..：）

如果您只是想快速了解谁在做什么，那么您可以尝试“iftop”。

项目主页：http ://www.ex-parrot.com/~pdw/iftop/

下载 WIRESHARK（网络监控工具，以前称为 ethereal），您将实时查看所有网络流量和协议，THE DUDE（网络映射）将为您提供带有统计信息的网络图形界面。他们都是免费的。

这显然取决于您要实现的目标。也许您可以使用wireshark 从交换机上的跨接端口获取所有流量，或者在该端口中放入一个NIDS（snort+base 可以完成这项工作）。您还可以使用 Zabbix 部署一些监控系统，例如绘制 snmp 查询的 snmp 值。您还可以使用带有 etercap 的 arp 缓存中毒来超越中间。希望这可以帮助。