部署網(wǎng)絡(luò)分析儀EtherApe

申請免費試用、咨詢電話：400-8352-114

為了全面衡量網(wǎng)絡(luò)運行狀況，需要對網(wǎng)絡(luò)狀態(tài)做更細致、更精確的測量，SNMP協(xié)議的制訂為Internet測量提供了有力的支持，EtherApe就是基于SNMP的典型網(wǎng)絡(luò)流量統(tǒng)計分析工具。

網(wǎng)絡(luò)服務(wù)器主機的總流量、特殊服務(wù)（例如squid的代理服務(wù)）的封包傳送率等，是網(wǎng)絡(luò)管理人員所必須要注意的事項。目前網(wǎng)絡(luò)上有一套不錯的軟件可以用來監(jiān)測主機的資料流量，這就是EtherApe。EtherApe是基于SNMP的典型網(wǎng)絡(luò)流量統(tǒng)計分析工具，SNMP被設(shè)計成與協(xié)議無關(guān)，所以它可以在TCP/IP、IPX、AppleTalk、OSI等傳輸協(xié)議上使用，所以EtherApe是一個Linux網(wǎng)絡(luò)通信協(xié)議分析儀。EtherApe通過驗證主機與主機之間的鏈接，圖形化地顯示網(wǎng)絡(luò)目前所處的狀態(tài)。EtherApe使用不同顏色的連線來表示位于不同主機之間的連接，而連線的粗細則表明主機間數(shù)據(jù)流量的大小。這些信息都是實時變化的，因而能夠協(xié)助管理員隨時了解到網(wǎng)絡(luò)中各部分流量的變化情況。 EtherApe占用的系統(tǒng)資源很小，它通過SNMP協(xié)議從設(shè)備得到設(shè)備的流量信息，并將流量負載以圖形方式顯示給網(wǎng)絡(luò)管理員，以非常直觀的形式顯示流量負載。

安裝配置

EtherApe官方網(wǎng)址是：http://etherape.sourceforge.net/， EtherApe使用的是GNOME圖形用戶接口庫。它使用pcap庫(libpcap)對網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包進行截獲和過濾。Libpcap官方網(wǎng)址是：http://www.tcpdump.org/ ，最新版本：0.9.4，下載和安裝方法如下：

#wget http://www.tcpdump.org/release/libpcap-0.9.4.tar.gz

＃gunzip libpcap-0.9.4.tar.gz

#tar vxf libpcap-0.9.4.tar

#cd etherape-0.9.4

#./configure；make；make install

可以執(zhí)行下面的命令來編譯并安裝EtherApe：

#wget http://www.mirrors.wiretapped.net/security/network-monitoring/etherape/etherape-0.9.3.tar.gz

＃gunzip etherape-0.9.3.tar.gz

#tar vxf etherape-0.9.3.tar

#cd etherape-0.9.3

#./configure；make；make install

EtherApe分析界面

軟件安裝后會在/usr/local/bin下建立一個可執(zhí)行文件：EtherApe。由于EtherApe 需要經(jīng)常使用，所以為了方便就在桌面建立一個快捷方式。單擊鼠標右鍵選擇新建“應(yīng)用程序鏈接”，在執(zhí)行選單內(nèi)加入/usr/local/bin/EtherApe。用EtherApe截獲在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包時，需要為其指定過濾規(guī)則，否則EthreApe將捕獲網(wǎng)絡(luò)中的所有數(shù)據(jù)包。單擊主選單“文件（F）”的“首選項”的按鈕，進行配置。EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五種監(jiān)聽模式。當處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網(wǎng)數(shù)據(jù)包。EtherApe可以捕獲OSI 7層網(wǎng)絡(luò)模型中的絕大多數(shù)的協(xié)議：包括IP、TCP、ICMP、HTTP、UDP、SMB、FDDI、IPX、AppleTalk等，配置網(wǎng)絡(luò)協(xié)議結(jié)束后請點擊“Diagram”按鈕配置其他參數(shù)，主要包括監(jiān)測流量半徑、節(jié)點掃描時間、監(jiān)測協(xié)議順序等。

配置后，單擊工具欄上的“Start”按鈕，就可以開始對網(wǎng)絡(luò)中感興趣的數(shù)據(jù)包進行檢測了。當處于Ethernet模式下時，EtherApe會截獲所有符合過濾規(guī)則的以太網(wǎng)數(shù)據(jù)包，但有時網(wǎng)絡(luò)管理員可能只對IP數(shù)據(jù)包感興趣，這時可以將EtherApe切換到IP模式。單擊“Capture”菜單，選擇“Mode”菜單項，然后再選擇相應(yīng)的模式，就可以完成模式之間的切換。

軟件嗅探器

EtherApe會把網(wǎng)絡(luò)流量以圖像和列表的形式顯示出來。從本質(zhì)講EtherApe是一種網(wǎng)絡(luò)嗅探器，嗅探器在協(xié)助監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)傳輸、排除網(wǎng)絡(luò)故障等方面有著不可替代的作用。可以通過分析網(wǎng)絡(luò)流量來確定網(wǎng)絡(luò)上存在的各種問題，如瓶頸效應(yīng)或性能下降；通過它網(wǎng)管員還可以很方便地確定出哪些通信量屬于某個特定的網(wǎng)絡(luò)協(xié)議、這些信息為網(wǎng)管員判斷網(wǎng)絡(luò)問題及優(yōu)化網(wǎng)絡(luò)性能，提供了十分寶貴的信息。另外一個特點是根據(jù)配置以不同顏色輪流顯示網(wǎng)絡(luò)協(xié)議和流量，非常直觀，一目了然。如果發(fā)現(xiàn)網(wǎng)絡(luò)發(fā)生廣播風暴或其他導致網(wǎng)絡(luò)性能瓶頸時可以使用EtherApe命令迅速找到出現(xiàn)問題的IP地址。如果想查看用戶的計算機流量，用鼠標點擊按鈕即可。

EtherApe從本質(zhì)來講是一種嗅探器，實際應(yīng)用中的嗅探器分軟、硬兩種。軟件嗅探器便宜且易于使用，缺點是往往無法抓取網(wǎng)絡(luò)上所有的傳輸數(shù)據(jù)(比如碎片); 硬件嗅探器通常稱為協(xié)議分析儀，它的優(yōu)點恰恰是軟件嗅探器所欠缺的，但是價格昂貴。目前主要使用的嗅探器是軟件的。EtherApe就是一個軟件嗅探器。Linux網(wǎng)絡(luò)管理員在檢測網(wǎng)絡(luò)故障及維護網(wǎng)絡(luò)正常通信的過程中，經(jīng)常需要借助EtherApe嗅探器提供的某些功能。

嗅探器技術(shù)并非尖端科技，只能說是安全領(lǐng)域的基礎(chǔ)課題。對嗅探器技術(shù)的研究并不要求太多底層的知識，它并不神秘。實際上我們的一些網(wǎng)管軟件和硬件網(wǎng)絡(luò)測試儀都使用了嗅探器技術(shù)。