如何用Linux安全管理网络流量-阿里云开发者社区

近十几年来，互联网已经成为越来越重要的需求。据统计，互联网目前已成为人类社会最重要的信息基础设施，占人类信息交流的80%。对社会进步、经济发展和国家安全具有重大战略意义。在这种大背景下，面对日益复杂的网络联机及逐渐增加的网络流量，系统和网络管理者必须花费更多时间精力来了解这些网络设备的运作状况，以维持一个系统的正常运作。

一般来说，网络管理者所需要了解的是各个网段的使用情形，频宽的使用率，网络问题的瓶颈发生于何处。当网络问题发生时，必须能够很快地分析和判断出问题的发生原因，可能是线路问题、网络设备问题、或者是路由器的设定问题。对网络流量进行有效的管理是最大化发挥网络效能的首要因素。那么，管理网络流量的时候应该通过什么样的依据管理，通过什么手段有效的把流量进行识别、分析和管理呢？这是本专题所要解决的主要问题。

一般说来，我们可以将网络流量管理大致分为如下几个大的范畴：

1、流量识别

流量识别，也叫业务识别|(Application Awareness)：它是伴随着网络业务的蓬勃发展而出现的一个新的概念，通过对业务流量从数据链路层到应用层的报文深度检查分析，依据协议类型、端口号、特征字符串和流量行为特征等参数，获取业务类型、业务状态、业务内容和用户行为等信息，并进行分类统计和存储。业务识别的基本目的是帮助网络管理者获得网络层之上的业务层流量信息，如业务类型、业务状态、业务分布、业务流量流向等。业务识别是一个相对复杂的过程，需要多个功能模块的协同工作，业务识别的工作过程简单描述如下：

◆识别处理模块采用多通道识别处理，通过对网络流量的源/目的IP地址和源/目的端口号的Hash算法，将网络流量均匀的分配到多个处理通道中。

◆多处理通道并行执行网络流量的深度报文检查，获取网络流量的特征信息，并与业务识别特征库中的特征进行比对。

◆将匹配结果送往识别处理模块，并标识特定网络流量。如果存在多个匹配结果，选取优先级较高的匹配结果进行标识。特定网络流量一经识别确定，该网络流量的后续连接将不再进行深度的报文检查，直接将其网络层和传输层信息与已知识别结果进行比对，提高执行效率。

◆识别处理模块将网络流量的业务识别结果存储到识别结果存储模块中，为网络流量的统计分析提供依据。

◆统计分析模块从识别结果存储模块中读取相关信息，并以曲线、饼图、柱状图或者文本的方式将识别结果信息显示，或以文件的形式输出。

◆在结果存储模块中保存的识别结果信息会输出到网络流量管理功能区，为实施网络流量管理提供依据。

目前常用、典型的业务识别技术就是我们所熟知的DPI技术和DFI技术。

（1）DPI技术

PI是深度报文检测(Deep Packet Inspection)的简称，是一种典型的业务识别技术。DPI技术之所以称为“深度”的检测技术，是相对于传统的检测技术而言的。传统的流量检测技术仅获取那些寄存在数据包网络层和传输层协议头中的基本信息，包括源/目的IP地址、源/目的传输层端口号、协议号，以及底层的连接状态等。通过这些参数很难获得足够多的业务应用信息。对于当前P2P应用、VoIP应用、IPTV应用被广泛开展的情况，传统的流量检测技术已经不能满足网络流量管理的需要了。

DPI技术对传统的流量检测技术进行了“深度”扩展，在获取数据包基本信息的同时，对多个相关数据包的应用层协议头和协议负荷进行扫描，获取寄存在应用层中的特征信息，对网络流量进行精细的检查、监控和分析。

DPI技术通常采用如下的数据包分析方法：

◆传输层端口分析。许多应用使用默认的传输层端口号，例如HTTP协议使用80端口。

◆特征字匹配分析。一些应用在应用层协议头，或者应用层负荷中的特定位置中包含特征字段，通过特征字段的识别实现数据包检查、监控和分析。

◆通信交互过程分析。对多个会话的事务交互过程进行监控分析，包括包长度、发送的包数目等，实现对网络业务的检查、监控和分析。

（2）DFI技术

DFI是深度流行为检测(Deep Flow Inspection)的简称，也是一种典型的业务识别技术。DFI技术是相对于DPl技术提出的，为了解决DPI技术的执行效率、加密流量识别和频繁升级等问题而出现的。DFI更关注于网络流量特征的通用性，因此，DFI技术并不对网络流量进行深度的报文检测，而仅通过对网络流量的状态、网络层和传输层信息、业务流持续时间、平均流速率、字节长度分布等参数的统计分析，来获取业务类型、业务状态。

两种技术的设计基本目标都是为了实现业务识别，但是两者在实现的着眼点和技术细节方面还是存在着较大区别的。从两种技术的对比情况看，两者互有优势，也互有短处，DPI技术适用于需要精细和准确识别、精细管理的环境，而DFI技术适用于需要高效识别，粗放管理的环境。

2、流量统计分析

网络流量管理的基本目标是了解网络、业务和用户资源的使用情况，找到性能瓶颈并进行精细化管理，对用户行为进行分析和控制，以及对信息安全防护。

在网络中多个层面的网络设备中集成业务识别功能，如骨干节点之间、服务提供商互联节点之间、国际出口、城域网出口和城域网接入层等，或者单独部署具备业务识别功能的网络设备对网络流量进行统计分析和趋势判断。通过流量统计分析，网络管理者能够知道当前网络中的业务流量的类型、带宽、时间和空间分布、流向等信息。

3、流量管理

将流量识别能力添加到网络流量管理中，能够帮助网络管理者对网络资源和业务资源进行带宽控制和资源调度。具备业务识别能力的网络流量管理将具备P2P应用的管理能力，通过对P2P流量的抑制来提升传统数据业务的用户体验度。具备业务识别能力的网络流量管理还能够对严重影响业务运营者收入的未经许可的业务进行抑制。通过对VoIP信令流量和媒体流量的关联检测和统计分析，通过截断媒体数据包、伪装信令报文等方式对VoIP业务进行流量管理。通过综合使用网络层、传输层和应用层检测技术，对未经许可的宽带私接用户采取中断连接、主动告警、分时控制等多种管理动作，实现对未经许可的宽带私接的流量管理。业务识别还能够帮助网络流量管理实现业务资源的调度，业务识别能够获得业务资源使用、业务状态的实时隋况。当某一业务服务器负载较大时，可以进行全局的业务资源负载均衡，平均的承担业务请求；同时也能够对用户的业务请求进行调度，决定是否继续响应用户新的业务请求，或者根据用户的优先级，优先响应高优先级用户的业务请求，提升业务运营效率。

4、其他方面

对于网络流量管理来说，在网络中的多个层面的网络设备中集成业务识别功能，或者单独部署具备业务识别功能的网络设备，和防火墙等网络安全设备协同构建一个主动的安全威胁防御体系，提升整个网络的安全防护能力。

具备业务识别能力的网络流量管理具有主动的流量特征识别分析能力，能够主动的发现诸如DDoS攻击、病毒和木马等异常流量，较好的弥补其他网络安全设备，如防火墙、入侵防护系统(IPS)和统一威胁管理(UTM)等的不足，提升其主动发现安全威胁的能力，并能够及时的向其他网络安全设备发出告警，从安全威胁源头开始就进行主动的防御。

此外，具备业务识别能力的网络流量管理还能够获取并保存网络流量的网络层信息(例如，源/目的IP地址、用户标识ID等信息)，通过这些信息，网络管理者能够进行有效的安全威胁的溯源定位。

二、常见的网络流量

当前随着网络应用的不断丰富和发展，网络流量也随之变得复杂和种类繁多起来，下面给出几种最为常见的网络流量，以方便网络管理员在实际的工作中着重对他们监测和管理：

◆HTTP流量：HTTP是互联网TCP/IP协议族中的一种应用层协议，被广泛适用于网页流量、网络下载等。HTTP协议正在取代传统文件下载的主要应用层协议FTP，此外基于HTTP的网页版邮箱也有取代传统的POP3协议的趋势。根据国外媒体报道，最近发布的一个研究报告指出，随着YouTube等视频共享网站的拉动，传统的HTTP协议的网络流量在过去四年里首次超过了P2P应用的流量。基于HTTP协议的互联网流量已经占据了全部流量的46%。排名第二的是P2P应用的流量，其占据了37%的比例。排在后面的流量分别属于新闻组（9%）、非HTTP协议的视频流媒体（3%）、网络游戏（2%），以及VOIP网络电话（1%）。

◆FTP流量：FTP是互联网中一种应用非常广泛的服务，用户通过其来从服务器获取需要的文档、资料、音频、视频等。从互联网出现的开始，它就一直是用户使用频率最高的应用服务之一，重要性仅次于HTTP和SMTP。而随着P2P应用的出现，其重要性地位虽然有所降低，但是仍然是用户们下载文件不可替代的重要应用和途径之一。

◆SMTP流量：电子邮件是整个互联网业务重要的组成部分。据统计，四分之三以上的用户上网的主要目的是收发邮件，每天有十数亿封电子邮件在全球传递。电子邮件已成为网络用户不可或缺的需要。并且，电子邮件的廉价和操作简便在给人们带来巨大便利的同时，也诱使有些人将它作为大量散发自己信息的工具，最终导致了互联网世界中垃圾邮件的泛滥。垃圾邮件问题已经极大地消耗了网络资源，并给人们带来了极大的不便。据中国互联网协会（ISC）2005年第一次反垃圾邮件状况调查显示，中国邮件用户2005年4月平均每人每天收到邮件16.8封，占收到邮件总数的60.87%。因此，SMTP流量目前占据相当大的互联网流量比重。

◆VoIP流量：2006年全球IP电话用户从1030万增长到1870万，增幅达83%。2007年VoIP通话量将达到全部通话量的75%。数据显示，PC2Phone的IP电话付费用户数量超过470万人，算上运营商IP电话服务的预定用户的话，这一数字将达到2400万。因此，互联网上VoIP的流量也是非常值得管理员关注的。

◆P2P流量：报告指出，目前网络带宽“消费大户”是P2P文件共享，在中东占据了49%，东欧地区占据了84%。从全球来看，晚上时段的网络带宽有95%被P2P占据。在所有P2P工具中，BitTorrent最受欢迎，在南欧地区，电驴处于主导地位。在P2P内容方面并未和去年发生变化，主要还是视频，最受欢迎的是最新上映的电影、色情电影和音乐。其中在中东，电子书在P2P内容中比例较高，计算机游戏在南欧地区比例较高。

◆Streaming流量：随着诸如PPLive、PPStream等视频软件的出现，视频直播和点播成为广大互联网用户观看节目和网上娱乐的最佳生活方式，因此其流量也在不断的剧增当中。并且，随着P2P技术的发展，P2P Streaming也成为今后互联网中一种非常重要的应用。

四、网络流量捕捉：命令行工具tcpdump

1、tcpdump简介

tcpdump可以将网络中传送的数据包的“头”完全截获下来提供分析。它支持针对网络层、协议、主机、网络或端口的过滤，并提供and、or、not等逻辑语句来帮助你去掉无用的信息。tcpdump就是一种免费的网络分析工具，尤其是它提供了源代码，公开了接口，因此具备很强的可扩展性，对于网络维护和入侵者都是非常有用的工具。tcpdump存在于基本的Linux系统中，由于它需要将网络界面设置为混杂模式，普通用户不能正常执行，但具备root权限的用户可以直接执行它来获取网络上的信息。因此系统中存在网络分析工具主要不是对本机安全的威胁，而是对网络上的其他计算机的安全存在威胁。另外，由于其相对于Wireshark来说，没有非常详细的用户界面，所以非常适合于在终端上使用，网管员可以通过常见的命令行来进行流量捕捉和过滤等操作，所以非常方便，这也是它一直广泛为网络管理员欢迎和使用的原因。

2、安装tcpdump

在linux下tcpdump的安装十分简单，一般是以源程序的形式安装。其实，Linux一个最大的诱人之处就是在她上面有很多软件是提供源程序的，人们可以修改源程序来满足自己的特殊的需要。所以我特别建议朋友们都采取这种源程序的安装方法。最新的tcpdump的源代码可以在网站http://www.tcpdump.org/上即时获得。

在源程序的安装方式中，我们首先要取得tcpdump的源程序分发包。目前，该源程序包的最新版本为：tcpdump-4.0.0.tar.gz，安装的具体过程如下所示：

（1）解压缩源代码包

#tar xvfz tcpdump-4.0.0.tar.gz

（2）做好编译源程序前的准备活动

在编译源程序之前，需要已经确定库文件libpcap已经安装完毕，这个库文件是tcpdump软件所需的库文件。同样，你同时还要有一个标准的c语言编译器。在linux下标准的c 语言编译器一般是gcc。在tcpdump的源程序目录中。有一个文件是Makefile.in，configure命令就是从Makefile.in文件中自动产生Makefile文件。在Makefile.in文件中，可以根据系统的配置来修改BINDEST和MANDEST这两个宏定义，缺省值如下：

BINDEST = @sbindir@

MANDEST = @mandir@

第一个宏值表明安装tcpdump的二进制文件的路径名，第二个表明tcpdump的man帮助页的路径名,用户可以修改它们来满足系统的需求。

（3）编译源程序

使用源程序目录中的configure脚本，它从系统中读出各种所需的属性。并且根据Makefile.in文件自动生成Makefile文件，以便编译使用。make 命令则根据Makefile文件中的规则编译tcpdump的源程序。使用make install命令安装编译好的tcpdump的二进制文件。

具体的编译步骤，如下命令所示：

# . /configure

# make

# make install

3、使用tcpdump

普通情况下，直接启动tcpdump将监视第一个网络界面上所有流过的数据包。如下命令所示：

tcpdump支持相当多的不同参数，如使用-i参数指定tcpdump监听的网络界面，这在计算机具有多个网络界面时非常有用，使用-c参数指定要监听的数据包数量，使用-w参数指定将监听到的数据包写入文件中保存，等等。

然而更复杂的tcpdump参数是用于过滤目的，这是因为网络中流量很大，如果不加分辨将所有的数据包都截留下来，数据量太大，反而不容易发现需要的数据包。使用这些参数定义的过滤规则可以截留特定的数据包，以缩小目标，才能更好的分析网络中存在的问题。tcpdump使用参数指定要监视数据包的类型、地址、端口等，根据具体的网络问题，充分利用这些过滤规则就能达到迅速定位故障的目的。请使用man tcpdump查看这些过滤规则的具体用法。

（1）tcpdump的选项介绍

tcpdump的选项非常多，下面给出一些常用的命令选项供大家使用时参考：

a：将网络地址和广播地址转变成名字；

-d：将匹配信息包的代码以人们能够理解的汇编格式给出

-dd：将匹配信息包的代码以c语言程序段的格式给出；

-ddd：将匹配信息包的代码以十进制的形式给出；

-e：在输出行打印出数据链路层的头部信息；

-f：将外部的Internet地址以数字的形式打印出来；

-l：使标准输出变为缓冲行形式；

-n：不把网络地址转换成名字；

-t：在输出的每一行不打印时间戳；

-v：输出一个稍微详细的信息，例如在ip包中可以包括ttl和服务类型的信息；

-vv：输出详细的报文信息；

-c：在收到指定的包的数目后，tcpdump就会停止；

-F：从指定的文件中读取表达式,忽略其它的表达式；

-i：指定监听的网络接口；

-r：从指定的文件中读取包(这些包一般通过-w选项产生)；

-w：直接将包写入文件中，并不分析和打印出来；

-T：将监听到的包直接解释为指定的类型的报文，常见的类型有rpc （远程过程调用）和snmp（简单网络管理协议；）

（2）tcpdump的表达式介绍

表达式是一个正则表达式，tcpdump利用它作为过滤报文的条件，如果一个报文满足表达式的条件，则这个报文将会被捕获。如果没有给出任何条件，则网络上所有的信息包将会被截获。在表达式中一般如下几种类型的关键字。

一种是关于类型的关键字，主要包括host，net，port, 例如 host 211.78.3.2，指明 211.78.3.2是一台主机，net 210.0.0.0 指明 210.0.0.0是一个网络地址，port 25指明端口号是25。如果没有指定类型，缺省的类型是host。

第二种是确定传输方向的关键字，主要包括src , dst ,dst or src, dst and src ,这些关键字指明了传输的方向。举例说明，src 211.78.3.2 ,指明ip包中源地址是211.78.3.2 , dst net 210.0.0.0 指明目的网络地址是210.0.0.0。如果没有指明方向关键字，则缺省是src or dst关键字。

第三种是协议的关键字，主要包括fddi,ip,arp,rarp,tcp,udp等类型。Fddi指明是在FDDI(分布式光纤数据接口网络)上的特定的网络协议，实际上它是"ether"的别名，fddi和ether具有类似的源地址和目的地址，所以可以将fddi协议包当作ether的包进行处理和分析。其他的几个关键字就是指明了监听的包的协议内容。如果没有指定任何协议，则tcpdump将会监听所有协议的信息包。除了这三种类型的关键字之外，其他重要的关键字如下：gateway, broadcast,less,greater,还有三种逻辑运算，取非运算是 'not ' '! ', 与运算是'and','&&';或运算是'or' ,'││'；这些关键字可以组合起来构成强大的组合条件来满足人们的需要，下面举几个例子来进行详细说明：

a) 截获所有211.78.3.2的主机收到的和发出的所有的数据包：

#tcpdump host 211.78.3.2

b) 截获主机211.78.3.2和主机211.78.3.3或211.78.3.4的通信，使用命令：

#tcpdump host 211.78.3.2 and \ (211.78.3.2 or 211.78.3.4 \)

c) 获取主机211.78.3.2除了和主机211.78.3.6之外所有主机通信的ip包，使用命令：

#tcpdump ip host 211.78.3.2 and ! 211.78.3.6

d) 获取主机211.78.3.1接收或发出的telnet包，使用如下命令：

#tcpdump tcp port 23 host 211.78.3.1

(3)查看tcpdump的输出结果

由于tcpdump的捕包功能强大，因而其输出也是非常丰富的，下面我们介绍几种典型的tcpdump命令的输出信息。

a) 查看数据链路层头信息

使用如下命令

#tcpdump --e host patterson

patterson是一台装有linux的主机，其MAC地址是0：58：46：32：EF：AF，S_Server是一台装有SOLARIC的SUN工作站，它的MAC地址是7：43：25：98：6E：AF；上一条命令的输出结果如下所示：

23:49:35.102598 eth0 < 7:43:25:98:6e:af 0:58:46:32:ef:af ip 60: S_Server.33357 >

patterson.telnet 0:0(0) ack 22535 win 8760 (DF)

分析：23:49:35是显示的时间，102598是ID号，eth0 <表示从网络接口eth0 接受该数据包，eth0 >表示从网络接口设备发送数据包, 7:43:25:98:6e:af是主机S_Server的MAC地址,它表明是从源地址S_Server发来的数据包. 0:58:46:32:ef:af是主机PATTERSON的MAC地址,表示该数据包的目的地址是PATTERSON . ip 是表明该数据包是IP数据包,60 是数据包的长度, S_Server.33357 > patterson.telnet 表明该数据包是从主机S_Server的33357端口发往主机PATTERSON的TELNET(23)端口. ack 22535 表明对序列号是222535的包进行响应. win 8760表明发送窗口的大小是8760.

b) ARP包的tcpdump输出信息

使用如下命令

#tcpdump arp

得到的输出结果是：

23:52:42.203783 eth0 > arp who-has route tell patterson (0:58:46:32:ef:af)

23:52:42.204025 eth0 < arp reply route is-at 0:90:27:12:10:66 (0:58:46:32:ef:af)

分析: 23:52:42是时间戳, 203783是ID号, eth0 >表明从主机发出该数据包, arp表明是ARP请求包, who-has route tell patterson表明是主机patterson请求主机ROUTE的MAC地址。0:58:46:32:ef:af是主机patterson的MAC地址。

c) TCP包的输出信息

src > dst: flags data-seqno ack window urgent options

src > dst:表明从源地址到目的地址,flags是TCP包中的标志信息,S是SYN标志, F(FIN), P (PUSH) , R (RST)，"." (没有标记); data-seqno是数据包中的数据的顺序号,ack是下次期望的顺序号,window是接收缓存的窗口大小,urgent表明数据包中是否有紧急指针.Options是选项.

d) UDP包的输出信息

用tcpdump捕获的UDP包的一般输出信息是：

route.port1 > patterson.port2: udp length

route.port1 > patterson.port2: udp length

UDP十分简单，上面的输出行表明从主机ROUTE的port1端口发出的一个UDP数据包到主机patterson的port2端口，类型是UDP，包的长度是length。

五、网络流量分析-NTOP

1、NTOP介绍及其主要特点

MRTG基于SNMP协议获取信息，对于端口的流量，MRTG能提供精确统计，但对于3层以上的信息则无从得知了。而这正是NTOP的强项。NTOP能够显示网络的使用情况。它能够显示正在使用网络的主机而且能报告每个主机发送和接收的流量的信息。NTOP能作为一个前端数据收集器工作（sFlowand/or netFlow），或者作为一个单独的既能收集又能显示的程序工作。看NTOP收集的信息，你需要一个浏览器。NTOP工作在第二层和第三层，默认使用MAC地址和IP地址。NTOP能把两者关联起来，这样就能够在网络活动图示里面同时显示ip和非ip流量（例如：arp和rarp）。NTOP和MRTG相比相比它的安装配置比较简单。目前市场上可网管型的交换机、路由器都支持SNMP协议，NTOP支持简单网络管理协议所以可以进行网络流量监控。NTOP几乎可以监测网络上的所有协议: TCP/UDP/ICMP、(R)ARP、IPX、Telnet、DLC、Decnet、DHCP-BOOTP、AppleTalk、Netbios、TCP/UDP、FTP、HTTP、DNS、Telnet、SMTP/POP/IMAP、SNMP、NNTP、NFS、X11、SSH和基于P2P技术的协议eDonkey, Overnet, Bittorrent, Gnutella，Kazaa等等。

NTOP工具与tcpdump或ethereal工具有着极大的差异,它主要是提供网络报文的统计数据,而不是报文的内容｡此外,NTOP不需要使用Web服务器,它自身就支持HTTP协议｡首先,它提供了一种快速容易的方法来得到网络活动的准确信息并且不使用网络探测或侦听设备｡在大多数情况下,网络探测器对追踪网络故障是必需的｡但是,在某些情况下,时间是很宝贵的,那么在因为探测器正被使用于监测其他设备而无法获得时,就可以使用NTOP工具｡其次,在某些给定的网络配置下,不可能与探测器连接,比如一对通过WAN互连的UNIX系统｡在这种情况下,当使用探测器可能很困难时,如果可能,用户应使用NTOP工具｡

一般说来，NTOP主要提供以下一些功能：

◆自动从网络中识别有用的信息

◆将截获的数据包转换成易于识别的格式

◆对网络环境中通信失败的情况进行分析

◆探测网络环境中的通信瓶颈

◆记录网络通信的时间和过程

它可以通过分析网络流量来确定网络上存在的各种问题；也可以用来判断是否有黑客正在攻击网络系统；还可以很方便地显示出特定的网络协议、占用大量带宽的主机、各次通信的目标主机、数据包的发送时间、传递数据包的延时等详细信息。通过了解这些信息，网管员可以对故障做出及时的响应，对网络进行相应的优化调整，以保证网络运行的效率和安全。

2、安装NTOP

和MRTG相比，NTOP的安装配置更简单，可以不使用Apache服务器。将NTOP安装在网管工作站上，监测中、小Linux异构网络的网络性能非常方便。

在安装NTOP之前，需要首先到http://downloads.sourceforge.net/NTOP/NTOP-3.3.8.tar.gz下载NTOP最新的源代码，再到ftp://ftp.rediris.es/sites/ftp.redh...6.2-12.i386.rpm下载相关库函数模块libpcap。注意：必须先安装libpcap软件包后才能安装NTOP，具体的安装步骤如下所示：

（1）安装libpcap抓包软件包

#rpm -ivh libpcap-0.6.2-12.i386.rpm

（2）解压NTOP包

#tar zxvf NTOP-3.3.8.tar.gz

#cd NTOP-3.3.8

（3）生成Makefile文件

#./configure

（4）配置NTOP时，系统会提示先编译gd和zlib模块。编译完gd和zlib，再回到NTOP目录下重新编译、安装：

#cd gd-1.8.3/libpng-1.2.1/

#cp scripts/makefile.linux Makefile

#make

#cd ../../zlib-1.1.4

#./configure

#make

#cd ..

#make

#cd NTOP-3.3.8

#make

make install

（5）建立NTOP软件需要的log目录存储日志：

#mkdir /var/log/NTOP/

（6）以上都完成后，就可以启动NTOP了

#NTOP -P /var/log/NTOP/ -u nobody &

3、使用NTOP

NTOP支持简单网络管理协议（Simple Network Management Protocol，SNMP），并把PNG格式的图形以HTML的方式显示出来，便于网管员对所监控的网络设备（交换机、路由器等）进行管理。

打开浏览器，在地址栏输入http://host_ip:3000（“IP”就是安装NTOP的那台网管工作站的IP地址），即可打开NTOP管理界面。第一次运行时会要求输入管理员的密码，预设密码是“admin”，第二次启动就不用再输入了。

通过使用NTOP，我们可以在浏览器界面下看到许多有关网络流量的统计和分析信息，下面介绍几种最重要的统计和分析功能：

（1）查看网络整体流量（Global Traffic）

网络管理员在进行网络流量分析的初始，考虑的大多是宏观的网络整体流量情况，因此，NTOP首先提供了查看网络整体流量的功能。在NTOP的浏览器界面中，查看网络整体流量用鼠标点击“Stats”选项卡，然后单击“Traffic”选项。网络流量会明细表格的形式显示出来，如图5所示。另外，图6和图7分别向网络管理员显示了网络流量中协议的分布整体情况，以及最常见的传输层协议TCP和UDP的分布情况，这些可以为网管人员的统计、分析和审核工作提供强有力的参考依据。