部署网络分析仪EtherApe

申请免费试用、咨询电话：400-8352-114

为了全面衡量网络运行状况，需要对网络状态做更细致、更精确的测量，SNMP协议的制订为Internet测量提供了有力的支持，EtherApe就是基于SNMP的典型网络流量统计分析工具。

网络服务器主机的总流量、特殊服务（例如squid的代理服务）的封包传送率等，是网络管理人员所必须要注意的事项。目前网络上有一套不错的软件可以用来监测主机的资料流量，这就是EtherApe。EtherApe是基于SNMP的典型网络流量统计分析工具，SNMP被设计成与协议无关，所以它可以在TCP/IP、IPX、AppleTalk、OSI等传输协议上使用，所以EtherApe是一个Linux网络通信协议分析仪。EtherApe通过验证主机与主机之间的链接，图形化地显示网络目前所处的状态。EtherApe使用不同颜色的连线来表示位于不同主机之间的连接，而连线的粗细则表明主机间数据流量的大小。这些信息都是实时变化的，因而能够协助管理员随时了解到网络中各部分流量的变化情况。 EtherApe占用的系统资源很小，它通过SNMP协议从设备得到设备的流量信息，并将流量负载以图形方式显示给网络管理员，以非常直观的形式显示流量负载。

安装配置

EtherApe官方网址是：http://etherape.sourceforge.net/， EtherApe使用的是GNOME图形用户接口库。它使用pcap库(libpcap)对网络上传输的数据包进行截获和过滤。Libpcap官方网址是：http://www.tcpdump.org/ ，最新版本：0.9.4，下载和安装方法如下：

#wget http://www.tcpdump.org/release/libpcap-0.9.4.tar.gz

＃gunzip libpcap-0.9.4.tar.gz

#tar vxf libpcap-0.9.4.tar

#cd etherape-0.9.4

#./configure；make；make install

可以执行下面的命令来编译并安装EtherApe：

#wget http://www.mirrors.wiretapped.net/security/network-monitoring/etherape/etherape-0.9.3.tar.gz

＃gunzip etherape-0.9.3.tar.gz

#tar vxf etherape-0.9.3.tar

#cd etherape-0.9.3

#./configure；make；make install

EtherApe分析界面

软件安装后会在/usr/local/bin下建立一个可执行文件：EtherApe。由于EtherApe 需要经常使用，所以为了方便就在桌面建立一个快捷方式。单击鼠标右键选择新建“应用程序链接”，在执行选单内加入/usr/local/bin/EtherApe。用EtherApe截获在网络上传输的数据包时，需要为其指定过滤规则，否则EthreApe将捕获网络中的所有数据包。单击主选单“文件（F）”的“首选项”的按钮，进行配置。EtherApe提供了Token Ring、FDDI、Ethernet、IP和TCP五种监听模式。当处于Ethernet模式下时，EtherApe会截获所有符合过滤规则的以太网数据包。EtherApe可以捕获OSI 7层网络模型中的绝大多数的协议：包括IP、TCP、ICMP、HTTP、UDP、SMB、FDDI、IPX、AppleTalk等，配置网络协议结束后请点击“Diagram”按钮配置其他参数，主要包括监测流量半径、节点扫描时间、监测协议顺序等。

配置后，单击工具栏上的“Start”按钮，就可以开始对网络中感兴趣的数据包进行检测了。当处于Ethernet模式下时，EtherApe会截获所有符合过滤规则的以太网数据包，但有时网络管理员可能只对IP数据包感兴趣，这时可以将EtherApe切换到IP模式。单击“Capture”菜单，选择“Mode”菜单项，然后再选择相应的模式，就可以完成模式之间的切换。

软件嗅探器

EtherApe会把网络流量以图像和列表的形式显示出来。从本质讲EtherApe是一种网络嗅探器，嗅探器在协助监测网络数据传输、排除网络故障等方面有着不可替代的作用。可以通过分析网络流量来确定网络上存在的各种问题，如瓶颈效应或性能下降；通过它网管员还可以很方便地确定出哪些通信量属于某个特定的网络协议、这些信息为网管员判断网络问题及优化网络性能，提供了十分宝贵的信息。另外一个特点是根据配置以不同颜色轮流显示网络协议和流量，非常直观，一目了然。如果发现网络发生广播风暴或其他导致网络性能瓶颈时可以使用EtherApe命令迅速找到出现问题的IP地址。如果想查看用户的计算机流量，用鼠标点击按钮即可。

EtherApe从本质来讲是一种嗅探器，实际应用中的嗅探器分软、硬两种。软件嗅探器便宜且易于使用，缺点是往往无法抓取网络上所有的传输数据(比如碎片); 硬件嗅探器通常称为协议分析仪，它的优点恰恰是软件嗅探器所欠缺的，但是价格昂贵。目前主要使用的嗅探器是软件的。EtherApe就是一个软件嗅探器。Linux网络管理员在检测网络故障及维护网络正常通信的过程中，经常需要借助EtherApe嗅探器提供的某些功能。

嗅探器技术并非尖端科技，只能说是安全领域的基础课题。对嗅探器技术的研究并不要求太多底层的知识，它并不神秘。实际上我们的一些网管软件和硬件网络测试仪都使用了嗅探器技术。