[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:02429] Re: ntop
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:02429] Re: ntop
- From: Hiroaki TERASHIMA <terashima.hiroaki@xxxxxxxxxxxx>
- Date: Mon, 24 Feb 2003 18:30:20 +0900
てらしまです。反応が遅くてすみません。
On Thu, 20 Feb 2003 15:44:39 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:
> コンパイル環境がない(インストールしてない)私はもちろん VISA !
> って感じです :-)
> #そのコストの3倍くらい Linux でのコンパイルに時間をかけたという
> #だめだめな噂もありますが...あれがないこれがないと言われて(T_T)
約50EUROだったら他のプラットフォームで動かそうって思っちゃいますけど
もうMonyoLog(と呼ばれているもの)があるから安心ですね。
> ここを見てると不審な兆候やカウントを取れるぜ!というポイント等
> ありましたら教えてくだければです>ntop ユーザーの皆様
昔書いたntopメモを見てiplog的な使い方ができそうだなと思いましたので
ちょっとだけ書いてみます。
iplogで不審なトラフィックを効率よく記録するために、正常なトラフィックを
/etc/iplog.confで次のように無視するようにしますよね。
例) mailサーバの場合
ignore tcp sport 25
ignore tcp dport 25
同様にntopでは対象のサイトでサービスしてるプロトコルを -p オプションで
明示的に指定してやることによって、不審なトラフィックがどれくらいあるのか
浮き出させることができます。
例えば、SMTPとHTTP(s)とDNSをサービスしているサイトでは、いつもの
オプションに追加で
-p "HTTP=http|https,SMTP=smtp,DNS=name|domain"
(Windowsでは/etc/servicesがないのでポート番号にすべきかも)
とすることでWebインターフェースの"Data Rcvd"や"Data Sent"タブの"TCP/UDP"
のところに指定したプロトコルと"Other IP"が表示されます。
使用しているプロトコルが正しく指定されているならOther IPで表示されている
トラフィックは怪しいトラフィックであると言えるでしょう。
ただし、その怪しいトラフィックの内容はというとntopで見るのは厳しそうです。
あと、ntopできちんとログを残したいという場合はRRDToolやDatabaseと連携さ
せたほうがよいと思います。
RRDToolとの連携
http://www.ntop.org/RRD/index.html
RRDToolと連携させることにより、どの時間帯にどのようなプロトコルがどれく
らい流れていたのか知ることができますし、Databaseとの連携ではテーブルの定
義(mySQLdefs.txt)を見る限りすべてのTCPsessionを記録することが可能なよう
です。
# UDPとかICMPのあやしい通信はとれないじゃん > 自分
MSAccessにもODBC経由で連携できそうですし、Windowsで動かすならDatabaseに
つっこんでおくとおもしろいかも。
ntopはやはり統計的な目的が強いツールですから、iplogの代わりまでは行かない
かもしれませんが、大局をつかむにはいいかも。
こんなんじゃだめですかね?>伊原さん
--
Hiroaki TERASHIMA