我应该指出，EtherApe 用户（我在本系列上一篇文章中写过）有一个小问题。问题是，当在以太网模式下使用时，该工具会使您的接口处于混杂模式。

为了解决这个问题，您可以编写一个包装脚本，该脚本启动该工具，然后在退出时执行以下命令

     /sbin/ifconfig eth0 -promisc

当然，这假设您正在 eth0 上进行扫描，而不是 eth1。再次为此道歉，但我直到文章发布后才注意到。再次，我深感抱歉。

在开始今天的正题之前，还有一件事。对于给我发送反馈消息，要求“更多意大利葡萄酒”的人，我会将您的请求转达给我的另一个自我。当然，您可以推荐一款不错的意大利葡萄酒。上次我查看时，厨师 Marcel 对葡萄酒的想法总体上相当开放——您的建议可能会在 Linux Journal 的页面中“wine”一下，呃，风靡。

本系列的前几篇文章应该让您了解您的网络上正在发生相当多的事情。既然您已经很好地了解了网络上飞速传输的流量类型，那么您可能想要获得的下一条信息是关于这些流量在性能和最宝贵的资源带宽方面给您带来的成本。为了获得此类信息，我将让您了解一个名为 ntop 的小工具，它由 Luca Deri 编写。顺便说一句，如果您过去使用过 ntop，现在是时候再次查看它了。如果您从未用过，那么 绝对 是时候了。

您可能已经非常熟悉系统中的一个名为 top 的工具，我们在之前的Tweaking Tux 系列中讨论过。top 所做的是为您的系统性能、负载平均值、CPU 使用率等提供一个图形化（基于 ncurses）界面。您可以使用命令 top 从命令行启动 top。

ntop，另一方面则完全不同，因此我的比较很愚蠢。实际上，它们以一种重要的方式相关，而演示是最好的方法。首先，您需要获取最新的 ntop 软件包。您可以在 http://www.ntop.org/ntop.html 找到它。

您会发现 ntop 像许多网络工具一样，使用了流行的 libpcap 数据包捕获库。如果您的系统上尚未安装它，您可以从 ntop 网站上的链接获取它，也可以直接访问 libpcap 网站 http://www.tcpdump.org。要构建 libpcap，请下载最新的发行版源代码并按照以下步骤操作

     tar -xzvf libpcap-0.6.2.tar.gz
     cd libpcap-0.6.2
     ./configure
     make
     make install

请注意，您可以作为非管理员用户完成所有构建步骤，但您必须以 root 用户身份执行 make install 步骤。现在我们已经构建并安装了 libpcap，现在是时候构建 ntop 了。首先将源代码提取到临时目录中。构建软件类似于您用于 libpcap 库的过程。

     tar -xzvf ntop-beta-2105.tgz
     cd ntop
     ./configure
     make
     make install

最困难的工作已经完成，剩下的就是有趣的部分——使用 ntop。首先在不带选项的情况下调用程序。好吧，我撒谎了。如果您有多个网络接口，则使用 -i 参数启动程序可能更有意义。我还建议您使用 -d 选项将程序作为守护程序启动。以下是完整命令

     ntop -i eth1 -d

当然，这假设您正在使用 eth1 作为监视流量的接口。那些使用拨号连接的人可能会使用类似 ppp0 的东西。因此，现在您会收到来自 ntop 的一条很好的消息，上面写着“再见：我正在变成守护程序...”并且，就像那样，您回到了命令提示符。好吧，现在怎么办？键入命令 intop -i eth1，您会发现自己处于类似这样的命令提示符下

     intop@eth1>

我知道您在想什么——为什么您需要再次指定接口？啊，一切很快就会清楚。您可以在提示符下键入问号，您将获得关于在此处执行操作的各种重要信息，但首先键入 top。您应该得到类似于图 1 中的图像。

如果没什么事情发生，请浏览到您喜欢的网站以生成一些流量，然后再回来。您看到的数字是动态的，连接会随着时间的推移从列表中消失。在任何时候，您也可以键入 h 以获得一些按键帮助。例如，您可以通过按 l 从本地模式切换到远程流量模式。按字母 q 可以退出交互式显示。然后您可以键入 quit 退出。稍微玩一下。有几个按键命令。实际上，如果您按空格键，您将在不同协议统计信息的显示之间循环切换。查看显示屏右上角栏上的标题。

需要更花哨的东西来打动公司高层吗？（因为，正如我们都知道的，图表在公司世界的高耸闪亮的塔楼中占据主导地位。）

好吧，为了实现那种花哨，我现在将告诉您为什么当我在启动 ntop 后让您运行 intop 时，您第二次指定了网络接口。那是因为 ntop 正忙于在后台运行，收集信息等等。更酷的是，可以通过您的 Web 浏览器访问 ntop（守护程序）（参见图 2）。假设您的 Web 服务器名为“natika”。要调出 ntop 浏览器界面，您需要键入以下 URL

     http://natika:3000

端口 3000 是您找到 ntop 运行的位置。顺便说一句，您可以使用 -w 标志更改该默认端口地址。如果您想在端口 3267 上启动 ntop，您将键入类似这样的内容

     ntop -w 3267 -i eth1 -d

您应该查看 ntop 的手册页，了解所有允许您修改操作模式的参数（我不会在此处全部介绍）。浏览器的点击界面非常流畅，数据以各种方式显示，有些是表格形式，有些是图形形式。单击顶部的“Data Received”选项卡，然后单击左侧的“IP”（左侧菜单会根据您使用顶部选项卡选择的显示模式而变化）。您将获得一张精美的图片，其中包含您联系过的主机或站点，以及代表代表性域名的国家/地区的小图标。

流畅。赏心悦目。而且有用。有了它，您将开始了解实际使用了多少带宽以及带宽的去向。

当我们下次在系统管理员专栏见面时，我们将研究其他可视化和理解网络上所有 噪音 的绝佳方法。在那之前，请记住问自己...如果您不监控您的网络，谁会监控？

正在寻找本系列以前的文章？ 点击此处获取列表。