[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[port139ml:02429] Re: ntop

てらしまです。反応が遅くてすみません。

On Thu, 20 Feb 2003 15:44:39 +0900
Hideaki Ihara <hideaki@xxxxxxxxxxxxx> wrote:

> コンパイル環境がない(インストールしてない)私はもちろん VISA !
> って感じです :-)
> #そのコストの3倍くらい Linux でのコンパイルに時間をかけたという
> #だめだめな噂もありますが...あれがないこれがないと言われて(T_T)

約50EUROだったら他のプラットフォームで動かそうって思っちゃいますけど
もうMonyoLog(と呼ばれているもの)があるから安心ですね。


> ここを見てると不審な兆候やカウントを取れるぜ!というポイント等
> ありましたら教えてくだければです>ntop ユーザーの皆様

昔書いたntopメモを見てiplog的な使い方ができそうだなと思いましたので
ちょっとだけ書いてみます。

iplogで不審なトラフィックを効率よく記録するために、正常なトラフィックを
/etc/iplog.confで次のように無視するようにしますよね。
例) mailサーバの場合
ignore tcp sport 25
ignore tcp dport 25

同様にntopでは対象のサイトでサービスしてるプロトコルを -p オプションで
明示的に指定してやることによって、不審なトラフィックがどれくらいあるのか
浮き出させることができます。

例えば、SMTPとHTTP(s)とDNSをサービスしているサイトでは、いつもの
オプションに追加で

  -p "HTTP=http|https,SMTP=smtp,DNS=name|domain"
  (Windowsでは/etc/servicesがないのでポート番号にすべきかも)

とすることでWebインターフェースの"Data Rcvd"や"Data Sent"タブの"TCP/UDP"
のところに指定したプロトコルと"Other IP"が表示されます。

使用しているプロトコルが正しく指定されているならOther IPで表示されている
トラフィックは怪しいトラフィックであると言えるでしょう。
ただし、その怪しいトラフィックの内容はというとntopで見るのは厳しそうです。

あと、ntopできちんとログを残したいという場合はRRDToolやDatabaseと連携さ
せたほうがよいと思います。

RRDToolとの連携
http://www.ntop.org/RRD/index.html

RRDToolと連携させることにより、どの時間帯にどのようなプロトコルがどれく
らい流れていたのか知ることができますし、Databaseとの連携ではテーブルの定
義(mySQLdefs.txt)を見る限りすべてのTCPsessionを記録することが可能なよう
です。
# UDPとかICMPのあやしい通信はとれないじゃん > 自分

MSAccessにもODBC経由で連携できそうですし、Windowsで動かすならDatabaseに
つっこんでおくとおもしろいかも。

ntopはやはり統計的な目的が強いツールですから、iplogの代わりまでは行かない
かもしれませんが、大局をつかむにはいいかも。

こんなんじゃだめですかね?>伊原さん

-- 
Hiroaki TERASHIMA