部署網絡分析儀EtherApe

申請免費試用、咨詢電話：400-8352-114

為了全面衡量網絡運行狀況，需要對網絡狀態(tài)做更細致、更精確的測量，SNMP協(xié)議的制訂為Internet測量提供了有力的支持，EtherApe就是基于SNMP的典型網絡流量統(tǒng)計分析工具。

網絡服務器主機的總流量、特殊服務（例如squid的代理服務）的封包傳送率等，是網絡管理人員所必須要注意的事項。目前網絡上有一套不錯的軟件可以用來監(jiān)測主機的資料流量，這就是EtherApe。EtherApe是基于SNMP的典型網絡流量統(tǒng)計分析工具，SNMP被設計成與協(xié)議無關，所以它可以在TCP/IP、IPX、AppleTalk、OSI等傳輸協(xié)議上使用，所以EtherApe是一個Linux網絡通信協(xié)議分析儀。EtherApe通過驗證主機與主機之間的鏈接，圖形化地顯示網絡目前所處的狀態(tài)。EtherApe使用不同顏色的連線來表示位于不同主機之間的連接，而連線的粗細則表明主機間數據流量的大小。這些信息都是實時變化的，因而能夠協(xié)助管理員隨時了解到網絡中各部分流量的變化情況。 EtherApe占用的系統(tǒng)資源很小，它通過SNMP協(xié)議從設備得到設備的流量信息，并將流量負載以圖形方式顯示給網絡管理員，以非常直觀的形式顯示流量負載。

安裝配置

EtherApe官方網址是：http://etherape.sourceforge.net/， EtherApe使用的是GNOME圖形用戶接口庫。它使用pcap庫(libpcap)對網絡上傳輸的數據包進行截獲和過濾。Libpcap官方網址是：http://www.tcpdump.org/ ，最新版本：0.9.4，下載和安裝方法如下：

#wget http://www.tcpdump.org/release/libpcap-0.9.4.tar.gz

＃gunzip libpcap-0.9.4.tar.gz

#tar vxf libpcap-0.9.4.tar

#cd etherape-0.9.4

#./configure；make；make install

可以執(zhí)行下面的命令來編譯并安裝EtherApe：

#wget http://www.mirrors.wiretapped.net/security/network-monitoring/etherape/etherape-0.9.3.tar.gz

＃gunzip etherape-0.9.3.tar.gz

#tar vxf etherape-0.9.3.tar

#cd etherape-0.9.3

#./configure；make；make install

EtherApe分析界面

軟件安裝后會在/usr/local/bin下建立一個可執(zhí)行文件：EtherApe。由于EtherApe 需要經常使用，所以為了方便就在桌面建立一個快捷方式。單擊鼠標右鍵選擇新建“應用程序鏈接”，在執(zhí)行選單內加入/usr/local/bin/EtherApe。用EtherApe截獲在網絡上傳輸的數據包時，需要為其指定過濾規(guī)則，否則EthreApe將捕獲網絡中的所有數據包。單擊主選單“文件（F）”的“首選項”的按鈕，進行配置。EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五種監(jiān)聽模式。當處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網數據包。EtherApe可以捕獲OSI 7層網絡模型中的絕大多數的協(xié)議：包括IP、TCP、ICMP、HTTP、UDP、SMB、FDDI、IPX、AppleTalk等，配置網絡協(xié)議結束后請點擊“Diagram”按鈕配置其他參數，主要包括監(jiān)測流量半徑、節(jié)點掃描時間、監(jiān)測協(xié)議順序等。

配置后，單擊工具欄上的“Start”按鈕，就可以開始對網絡中感興趣的數據包進行檢測了。當處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網數據包，但有時網絡管理員可能只對IP數據包感興趣，這時可以將EtherApe切換到IP模式。單擊“Capture”菜單，選擇“Mode”菜單項，然后再選擇相應的模式，就可以完成模式之間的切換。

軟件嗅探器

EtherApe會把網絡流量以圖像和列表的形式顯示出來。從本質講EtherApe是一種網絡嗅探器，嗅探器在協(xié)助監(jiān)測網絡數據傳輸、排除網絡故障等方面有著不可替代的作用?？梢酝ㄟ^分析網絡流量來確定網絡上存在的各種問題，如瓶頸效應或性能下降；通過它網管員還可以很方便地確定出哪些通信量屬于某個特定的網絡協(xié)議、這些信息為網管員判斷網絡問題及優(yōu)化網絡性能，提供了十分寶貴的信息。另外一個特點是根據配置以不同顏色輪流顯示網絡協(xié)議和流量，非常直觀，一目了然。如果發(fā)現(xiàn)網絡發(fā)生廣播風暴或其他導致網絡性能瓶頸時可以使用EtherApe命令迅速找到出現(xiàn)問題的IP地址。如果想查看用戶的計算機流量，用鼠標點擊按鈕即可。

EtherApe從本質來講是一種嗅探器，實際應用中的嗅探器分軟、硬兩種。軟件嗅探器便宜且易于使用，缺點是往往無法抓取網絡上所有的傳輸數據(比如碎片); 硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件嗅探器所欠缺的，但是價格昂貴。目前主要使用的嗅探器是軟件的。EtherApe就是一個軟件嗅探器。Linux網絡管理員在檢測網絡故障及維護網絡正常通信的過程中，經常需要借助EtherApe嗅探器提供的某些功能。

嗅探器技術并非尖端科技，只能說是安全領域的基礎課題。對嗅探器技術的研究并不要求太多底層的知識，它并不神秘。實際上我們的一些網管軟件和硬件網絡測試儀都使用了嗅探器技術。