海运的博客

Nfsight分为两部分，后端以Nfsen插件安装，前端以PHP显示分析图表。
安装Perl Mysql支持：

yum install perl-DBD-MySQL

后端Nfsen插件安装：

wget http://sourceforge.net/projects/nfsight/files/nfsight-beta-20110908.tgz
tar zxvf nfsight-beta-20110908.tgz 
cd nfsight-beta-20110908/
cp backend/nfsight.pm /usr/local/nfsen/plugins/
mkdir /usr/local/nfsen/plugins/nfsight
chown -R apache:apache /usr/local/nfsen/plugins/nfsight

前端Web安装：

cp -r frontend/ /var/www/html/nfsight
chown -R apache:apache /var/www/html/nfsight

新建Mysql数据库Nfsight：

mysql -u root -p -e "create database ngsight;"

然后通过浏览器访问www.haiyun.me/nfsight/installer.php安装提示进行安装，最后将屏幕出现的配置信息添加到Nfsen配置文件。

@plugins = (
    # profile    # module
    # [ '*',     'demoplugin' ],
      [ 'live',   'PortTracker'], 
      [ '*', 'nfsight' ],  
);

%PluginConf = (
    nfsight => {
        path => "/usr/local/nfsen/plugins/nfsight",
        expiration => "180",
        network => {
            "192.168.1.0" => "24",
        },
        scanner_limit => "5",
        print_int_scanner => "1",
        print_ext_scanner => "1",
        print_int_client => "1",
        print_ext_client => "1",
        print_int_server => "1",
        print_ext_server => "1",
        print_int_invalid => "1",
        print_ext_invalid => "1",
        sql_host => "localhost",
        sql_port => "3306",
        sql_user => "nfsight",
        sql_pass => "nfsight",
        sql_db => "nfsight",
    },
);

重启Nfsen加载Nfsight插件：

/usr/local/nfsen/bin/nfsen reload

查看插件是否加载成功：

grep -i nfsight /var/log/messages
Oct 23 11:30:12 master nfsen[28085]: Loading plugin 'nfsight': Success

添加计划任务：

06 * * * *  wget --no-check-certificate -q -O - http://management:aggregate@127.0.0.1/nfsight/aggregate.php

还有默认登录nfsight主界面或设置界面会联网检查是否有新版本，可通会有点慢，可禁用此功能。

cat /var/www/html/nfsight/config.php 
"check_version"=>      "0",

效果图如下：

vnstat是unix平台下一款监控网卡流量的工具，基于proc信息统计，相对ntop来说，功能简单、安装容易、使用方便。
如有安装epel源可使用yum直接安装：

yum -y install vncstat

源码编译安装：

 wget http://humdi.net/vnstat/vnstat-1.11.tar.gz
tar zxvf vnstat-1.11.tar.gz 
cd vnstat-1.11
make
make install

vnstat使用：

vnstat -u -i eth0 #更新eth0流量数据
vnstat -i eth0   #显示网卡eth0流量

添加计划任务定时更新数据：

cat >> /etc/cron.d/vncstat <<EOF
*/5 * * * * root vnstat -u -i eth0
EOF

也可安装vnStat PHP frontend使用web界面管理：

cd /home/wwwroot/
wget http://www.sqweek.com/sqweek/files/vnstat_php_frontend-1.5.1.tar.gz
tar zxvf vnstat_php_frontend-1.5.1.tar.gz 
mv vnstat_php_frontend-1.5.1 vnstat

定时生成php接口数据 ：

cat >> /etc/cron.d/vncstat <<EOF
*/5 * * * * root vnstat --dumpdb -i lo > /home/wwwroot/vnstat/dumps/vnstat_dump_lo
EOF

访问www.haiyun.me/vnstat即可查看流量数据

之前有介绍centos下ntop编译安装，好不容易找到了ntop的汉化版，感谢www.netexpert.cn的汉化。
安装相关组件，如未找到rrdtool可先安装epel源。

yum -y install gcc make libtool automake autoconf rrdtool-devel libpcap-devel gdbm-devel zlib-devel geoip-devel dos2unix

安装ntop中文版：

wget http://www.netexpert.cn/ntop/ntopchs.zip
unzip -d ntop ntopchs.zip
cd ntop
chmod +x autogen.sh
dos2unix autogen.sh 
./autogen.sh
dos2unix Makefile.in 
dos2unix config.h.in
dos2unix address.c
dos2unix Makefile
dos2unix depcomp
dos2unix mkinstalldirs
dos2unix GeoIP-1.4.8/libGeoIP/Makefile
sed -i 's/lua\.lo//g' Makefile
make
chmod +x mkinstalldirs
make install

新建运行用户配置目录权限：

useradd -M -s /sbin/nologin ntop
chown -R ntop:ntop //usr/local/share/ntop
chown -R ntop:ntop /usr/local/var/ntop

设置ntop管理员密码：

ntop -A

运行ntop：

/usr/local/bin/ntop -d  -u ntop -i eth0
-d 后台运行
-u 运行用户
-i 监控网卡

访问ip:3000即可通过web界面管理ntop，如www.haiyun.me:3000。

Ntop是一款强大的网络监控工具，可以直观、详细的列出各个节点的网络流量及带宽使用率，通过它分析当前网络中存在的问题，保证网络运行的效率和安全。
Centos下可使用yum安装，不过版本较低，还会安装一些非必要的软件。

yum -y install ntop

下面记录以源码编译方式安装ntop，首先安装编译环境及支持组件，如未找到rrdtool可先安装epel源。

yum -y install gcc make libtool automake autoconf rrdtool-devel libpcap-devel gdbm-devel zlib-devel geoip-devel 

安装ntop：

wget http://nchc.dl.sourceforge.net/project/ntop/ntop/Stable/ntop-4.1.0.tar.gz
tar zxvf ntop-4.1.0.tar.gz 
cd ntop-4.1.0/
./autogen.sh 
./configure
make && make install

新建ntop用户，授予ntop目录权限：

useradd -M -s /sbin/nologin ntop
chown -R ntop:ntop //usr/local/share/ntop
chown -R ntop:ntop /usr/local/var/ntop

设置ntop密码：

/usr/local/bin/ntop -A

启动ntop：

/usr/local/bin/ntop -d  -u ntop -i eth0
-d 后台运行
-u 运行用户
-i 监控网卡

访问http://ip:3000即可通过web界面管理ntop，如https://www.haiyun.me:3000。

Tcpdump使用语法：

tcpdump [ -adeflnNOpqStvx ] [ -c count ] [ -F file ][ -i interface ] [ -r file ] [ -w file ]

参数：

-c 指定监听的封包数，默认持续监听。
-e 显示链路层报头
-nn 以数字方式显示IP及端口
-i 指定监听的网卡
-F 读取文件内的过滤参数
-q 快速输出模式
-l 使标准输出变为行缓冲形式，用于重定向分析
-w 数据包保存为文件
-r 读取保存的数据包
-A 以ASCII编码显示数据包
-x 以十六进制显示
-s 指定抓包显示一行的宽度，-s0表示显示完整的包

应用举例：
1.监听单个IP的所有TCP通信

#https://www.haiyun.me
tcpdump tcp -nn -v host 192.168.1.16

2.监听指定IP间的ARP通信

tcpdump arp -nn -v host 192.168.1.16 and 192.168.1.1

3.监听DNS查询数据包

tcpdump udp port 53

4.监听目标端口80的数据包

tcpdump -A -v dst port 80  

5.监听指定IP目标80端口的数据包

tcpdump -A -v -s 0 host 192.168.1.235 and dst port 80

6.监听特定TCP标志的数据包

tcpdump tcp[tcpflags]=tcp-syn
#syn ack
tcpdump 'tcp[13] = 18'

7.监听HTTP HEAD：

#GET
tcpdump -s 0 -A 'tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x47455420'
#POST
tcpdump -s 0 -A 'tcp dst port 80 and (tcp[((tcp[12:1] & 0xf0) >> 2):4] = 0x504f5354)'
#所有HEAD
tcpdump -A -s 0 'tcp port 80 and (((ip[2:2] - ((ip[0]&0xf)<<2)) - ((tcp[12]&0xf0)>>2)) != 0)'