第四章 系統功能展示
4.2 基本功能簡介
系統功能主要分為:(1)NamwMapper、(2)Hosts、(3)IPtraffic、
(4)NonIPtraffic(5)TCPsessions、(6)TOP 10、(7)RRD Tools、
(8)病毒監控
圖 4-3 基本功能選單
其中 1~5 為 NTOP 自動產生的 DataBase 之 Table 名稱
(1) NameMapper:
本功能可查詢 a.顯示全部資料、b.依 IPaddress 查詢
a.顯示全部資料:顯示 DB 中 NameMapper 的所有資料,範例如圖 4.4
b.依 IPaddress 查詢:查詢特定的 IPaddress,查詢時利用模糊 查詢,範例如圖 4.5
圖 4.4 顯示 NameMapper 表格中所有資料
由圖 4.4 可知共有 9876 筆其 IPaddress 具有相對應的名稱
圖 4.5 輸入 140.134.25.22 查詢 NameMapper 表格的結果
圖 4.5 顯示欲查詢 140.1354.25.223 但卻只記得 140.134.25.22X,則 可輸入 140.134.25.22 作模糊查詢
(2)Hosts:
本功能可查詢 a.顯示全部資料、b.依 IPaddress 查詢
a.顯示全部資料:顯示 DB 中 Hosts 的所有資料,範例如圖 4.6 b.依 IPaddress 查詢:查詢特定的 IPaddress,查詢時利用模糊查 詢,範例如圖 4.7
圖 4.6 顯示 Hosts 表格中所有資料
圖 4.6 顯示共有 4848 筆資料
圖 4.7 輸入 140.134.25.22 查詢 Hosts 表格的結果,為模糊查詢
(3)IPtraffic
本功能可查詢 a.顯示全部資料、b.依 IPaddress 查詢
a.顯示全部資料:顯示 DB 中 IPtraffic 的所有資料,範例如圖 4.8 b.依 IPaddress 查詢:查詢特定 IPaddress 屬於 IP 協定的資料,
查詢時利用模糊查詢,範例如圖 4.9
圖 4.8 顯示 IPtraffic 表格中所有資料
圖 4.8 顯示屬於 IP 協定的共有 4896 筆
圖 4.9 輸入 140.134.25.22 查詢 IPtraffic 表格的結果,為模糊查詢
(4)NonIPtraffic:
本功能可查詢 a.顯示全部資料、b.依 IPaddress 查詢
a.顯示全部資料:顯示 DB 中 NonIPtraffic 的所有資料,範例如圖 4.10
b.依 IPaddress 查詢:查詢特定 IPaddress 不屬於 IP 協定的資料,
查詢時利用模糊查詢,範例如圖 4.11
圖 4.10 顯示 NonIPtraffic 表格中所有資料
圖 4.10 顯示不屬於 IP 協定的共有 4896 筆
圖 4.11 輸入 140.134.25.22 查詢 NonIPtraffic 表格的結果,為模糊查詢
(5)TCPsessions:
本功能可查詢 a.依輸入資料作查詢
a.依輸入資料作查詢:查詢特定 IPaddress 的資料,查詢時利用模 糊查詢,範例如圖 4.12
輸入選項:選查詢 Client 或 Server --> 輸入 IPaddress --> 選擇查 詢何種資料 --> 選擇查詢的時間 --> 按”查詢” --> 顯示結果(可 在查詢結果下方得知輸入的資料)
圖 4.12 查詢 Server 為 140.134.25.22 其 FTP 在 2002-10-01 的連線資料
(6)TOP 10:
本功能可查詢 FTP、HTTP、Telnet、POP3、SMTP、Proxy、Socket、
Others、以上協定所佔的連線資料量的比例。
可利用超連結來做更詳細的查詢:
以查詢 Server 為 140.134.25.22 在 2002-10-01 這一天的 FTP 連線 資料為例,由圖 4.14(各協定所佔的連線資料量的比例)來做進一步 的查詢。
STEP1:點選視窗左方”TOP 10”在圖 4.13 輸入查詢 2002-10-01 的資料,按查詢。
STEP2:出現圖 4.14,點選”通訊協定”欄位中的 FTP 跳至圖 4.15 顯示 FTP 的 TOP 10
STEP3:點選”Server”欄位中的 140.134.25.22 跳至圖 4.16,
顯示 Server 為 140.134.25.22 在 2002-10-01 這一天 的 FTP 連線資料
圖 4.13 輸入欲查詢資料
圖 4.14 各協定所佔的連線資料量的比例
圖 4.15 FTP 的 TOP 10
圖 4.16 利用超連結來做查詢 Server 為 140.134.25.22 其 FTP 在 2002-10-01 的連線資料
圖 4.17 HTTP 的 TOP 10
(7)RRD Tools:
本功能為以圖形化顯示連線資料
1、橫軸以時間為單位:時間單位可自行設定,本系統中單位 為 a.時、b.天、c.月
2、縱軸因顯示資料不同,單位也有所不同
3、在圖形下方顯示個別資料的平均值、最大值、最小值 圖 4.18~4.20 為橫軸以小時當單位
圖 4.18 RRD1,下接圖 5-19(FTP、HTTP、X11、Email、NetBIOS、SNMP、NFS)
圖 4.18 縱軸以 1e(10 的冪次方)byte 為單位。ex: 1e+02 = 10^2,
圖 4.19 RRD2,延續圖 4.18,(Multicast、Broadcast、Unicast、TCP、UDP、ICMP)
圖 4.19 縱軸以 byte 當單位
圖 4.20 RRD3,延續圖 4.19(Attemped、Established、Reset、Rejected、Invalid Flags)
圖 4.20 縱軸以 Packet 當單位
(8)病毒監控:
本功能可偵測 Nimda、CodeRed 的攻擊時間
圖 4.21 CodeRed 攻擊時間
圖 4.22 Nimda 攻擊時間
4.3 本系統的優缺點