在MS Windows上安装、使用 ntop 及 Wireshark 来侦测网路异常流量

2168575

　　(2009/12/7发表于台湾乐多日志)
　　（本篇着重在安装及简单使用，关于基本概念，请参见前一篇使用 ntop 跟 Wireshark 来侦测网路异常流量 ）

ntop 这个自由软体，官方没有提供编译好的 MS Windows 版本，自己编译我也不会，建议去下载 NTop_XTRA 这个由 OPENXTRA公司编译好的版本 NTop_XTRA_3_18_0.exe，虽然有点旧（ntop 3.2 ，Nov. 2005编译），但是能跑就好。

目前 OPENXTRA 公司网页上已经不再提供 NTop_XTRA了，网路搜寻找到的那个 NTop_XTRA_3_18_0.exe 我有丢上 Virus Total去检查过了，41种扫毒都说没有毒，请安心使用 :D

安装基本上是一指神功按 Next ，会提示妳有三个东西要安装：
OPENXTRA Commander
NTop
WinPCap

请全部安装。安装好之后都是放在 C:/Program Files/OPENXTRA 底下，所以就算妳有安装 Wireshark 附的 WinPcap （放在 C:/Program Files/WinPcap）也不会搞混。

这篇How to Install NTop On Windows已经写的很仔细了，也只能凑出七个步骤 :p

装好之后从 开始 > 程式集 > OPENXTRA > Commander ，就会叫出 OPENXTRA Commander 。
把第一个 NTop service 点选 Start ，然后第二个 NTop 点选 Launch ，就会用浏览器连到 http://127.0.0.1:3000/ 的 ntop 页面。

先卷页到最底下，检查倒数第二行 Listening on 后面显示的网路卡正不正确（如果妳有多张网卡的话）。
要修改的话，卷页回到最上面，点选 Admin > Configure > Startup Options
（问帐密的话，预设都是 admin）。

一堆设定的第一大项就是 Capture Interfaces ，勾选之后卷页到底下选 Save Preference 。
（好像要重新启动 ntop ，请回到 OPENXTRA Commander 视窗，把 NTop service 点选 stop 再点选 start）

[用 ntop 抓流量异常]
看流量可以回到网页，点选 All Protocols > Traffic ，其他就请自己玩玩看，有问题大家再一起来研究吧！

==
[用 Wireshark 抓流量异常]
Wireshark官方就有提供跨平台的版本，安装在 MS Windows 上不成问题。

要拿它来快速抓出哪个 ip 有大量网路流量的话，开始 capture 之后，点选功能选单的 Statistics （统计） > Conversations 或者 Endpoints ，会开启另一个小视窗。
（类比到其他的封包分析工具的话， Conversations 类似 Top Conversation Pair 功能，Endpoints 则类似 Top Talker 功能）

在小视窗里面，可以点选第四个分页 IPv4 ，就会看到 IP 相关的流量，然后点选妳有兴趣的项目（例如 Bytes ）来排序，很快就可以看到目前哪个ip流量最大啰。

找到ip之后，在 filter 那边输入 ip.addr == 192.168.9.78 （请替换成流量异常的 ip），就可以实际看到那台作怪的机器到底在传什么东西啰。