บริหารเครือข่ายด้วย NTOP

• ชื่อผู้จัดทำ นนร.ต่อศักดิ์ ไชยมาลี ทศ.เลขที่ ๗
• E-mail : torsak_ch@hotmail.com
• TEL : 081-5586010

บทคัดย่อ

• ในปัจจุบันนี้ทุกหน่วยงาน ทุกองค์กร ต่างได้ให้ความสำคัญกับการบริหารเครือข่าย แทบจะเรียกได้ว่าทุกองค์กร มีการติดตั้งระบบการสื่อสารทั้งภายในหน่วยงาน และระบบการสื่อสารไปยังภายนอก เพื่อประสิทธิภาพในการทำงาน และผลประโยชน์สูงสุดขององค์กร ซึ่งเราจำเป็นจะต้องมีระบบการบริหารเครือข่ายที่ดี มีประสิทธิภาพ มีระบบที่สามารถวิเคราะห์ปัญหาความล่าช้าในระบบว่าเกิดขึ้นจากสาเหตุใด และระบบนั้นต้องมีคุณสมบัติในการรายงานผลได้อย่างหลากหลาย ทั้งในแบบตัวเลขและแบบกราฟรูปภาพ

บทนำ

• ระบบ Intranet และระบบ Internet ได้ถูกนำมาใช้ในทุกหน่วยงาน ทุกองค์กร และเริ่มมีบทบาทที่สำคัญมากขึ้นทุกที เมื่อระบบเครือข่ายคอมพิวเตอร์ในองค์กรเริ่มมีบทบาทมากขึ้นเท่าใด ความคาดหวังของผู้บริหารที่ต้องการจะใช้ประโยชน์จากทรัพยากรที่ได้ลงทุนลงแรงไปในระบบไอทีขององค์กรก็ยิ่งต้องการตัวบ่งชี้ที่มีความชัดเจนและเชื่อถือได้มากยิ่งขึ้น เครื่องมือบริหารระบบเครือข่ายจึงเป็นสิ่งจำเป็นที่ผู้บริหารระบบเครือข่ายจะต้องนำมาใช้งานภายใต้เงื่อนไขและสภาพแวดล้อมที่จำกัดอย่างมีประสิทธิภาพสูงสุด
• ประสิทธิผลจากการดำเนินงานของระบบเครือข่ายเป็นสิ่งที่ผู้บริหารระบบจะต้องรับผิดชอบ ดำเนินการให้สำเร็จลุล่วงตามภาระหน้าที่ที่ได้รับมอบหมาย นอกจากการจัดสรรเทคโนโลยีมาใช้อย่างเหมาะสม การแก้ไขปัญหาอย่างทันท่วงทีแล้ว การรายงานสภาพที่เป็นจริงให้แก่ผู้บริหารขององค์กรได้รับรู้ยังเป็นอีกสิ่งหนึ่งที่จะต้องจัดให้มีขึ้นและข้อมูลรายงานนี้ยังถือว่าเป็นสารสนเทศสำคัญที่มีผลต่อความเข้าใจที่ถูกต้อง ชัดเจน และจะย้อนกลับมาส่งผลต่อการบำรุงรักษาพัฒนาองค์กรต่อไป
• โดยในครั้งนี้ ผู้จัดทำจะขอแนะนำโปรแกรม NTOP ซึ่งเป็นซอฟต์แวร์สนับสนุนการบริหารจัดการระบบเครือข่ายแบบโอเพ่นซอร์สที่มีคุณสมบัติครอบคลุมความต้องการขององค์กรทุกขนาด และผู้ใช้สามารถมีส่วนร่วมในการปรับปรุงแก้ไขตัวโปรแกรมได้ จึงทำให้โปรแกรมนี้มีการพัฒนาเรื่อยมา โปรแกรม NTOP นี้ เป็นหนึ่งในโปรแกรมประเภท Sniff ซึ่งมีอยู่หลายตัวที่มีคุณสมบัติต่างกัน ไม่ว่าจะเป็น MRTG , IPTraf ,Sniffer แต่ tool ที่กล่าวมานี้บางตัวก็ฟรี บางตัวก็ต้องมีค่าใช้จ่ายเพราะในบางองค์กรมีปริมาณการใช้งานเครือข่ายเป็นจำนวนมาก และไม่สามารถตรวจสอบหรือมอนิเตอร์ได้เลยว่าในการใช้ งานของยูสเซอร์นั้นเป็นการใช้ไปกับงานบริการ ( service ) ประเภทใด เป็นพอร์ตอะไรบ้าง ออกเว็บอะไรบ้าง มีการอัพโหลดหรือดาวน์โหลดอะไร ซึ่งการใช้ปริมาณ traffic สูง ๆ ก็จะทำให้ผู้ใช้อื่นๆ ในระบบได้รับผลกระทบทำให้ใช้งาน service อื่นช้าตามไปด้วย

ประวัติความเป็นมา/ทฤษฏีพื้นฐานที่เกี่ยวข้อง

ประวัติความเป็นมา

• โปรแกรม NTOP นี้เป็นซอฟต์แวร์สนับสนุนการบริหารจัดการระบบเครือข่ายแบบโอเพ่นซอร์ส จึงทำให้มีผู้ร่วมพัฒนาโปรแกรมนี้จากทั่วโลก ตั้งแต่ปี ค.ศ. 1998 เรื่อยมา จนถึงปัจจุบันนี้ได้พัฒนาจนมาเป็น โปรแกรม NTOP version 3.1 ที่สามารถติดตั้งได้ทั้งบนระบบปฏิบัติการวินโดวส์และลีนุกซ์ โดยอาศัยไลบรารี่ยอดนิยมอย่าง libpcap เพื่อการดักจับแพคเก็ต ( Packet Sniffing ) ในระบบเครือข่าย สิ่งที่ทำให้ NTOP มีความน่าสนใจเป็นอย่างยิ่งก็คือ ความสามารถในการวิเคราะห์ปัญหาความล่าช้าในระบบ กับคุณสมบัติในการรายงานผลได้อย่างหลากหลายทั้งในแบบตัวเลขและแบบกราฟรูปภาพโดยผ่านหน้าเว็บ

ทฤษฏีพื้นฐานที่เกี่ยวข้อง

เนื่องจากโปรแกรม NTOP นี้เป็นโปรแกรมประเภท Sniff จึงขออธิบายการทำงานของโปรแกรมประเภท Sniff นี้ว่าทำงานอย่างไร

• ความรู้เบื้องต้นเกี่ยวกับ Sniff
  
• หลักการทำงานของการ Sniff ข้อมูลคือ การดักจับข้อมูลหรือแพ็กเก็ตที่วิ่งไปมาอยู่บนเครือข่าย โดยจะต่อเข้ากับเครือข่ายคอมพิวเตอร์และคอยดักฟังข้อมูลในเครือข่ายและ โปรแกรม sniffer นี้เป็นโปรแกรมที่จะคอยดักฟังการสนทนากันของเครือข่าย แต่จะเห็นการสนทนากันนั้นจะเป็นข้อมูลไบนารี ดังนั้นโปรแกรมดังกล่าวต้องทำการถอดรหัสของข้อมูลของคอมพิวเตอร์ เพื่อจะให้รู้ถึงการสนทนานั้นได้
• ประโยชน์ของการ Sniff ข้อมูลมีอยู่หลายอย่างด้วยกัน เช่น การหาสาเหตุของความผิดพลาดบนเครือข่าย ตรวจสอบประสิทธิภาพของการใช้งานบนเครือข่ายหรือดูข้อมูลทราฟฟิกการใช้งานบนเครือข่าย แต่ในอีกด้านหนึ่งก็มีข้อเสียอยู่เหมือนกัน คือ ทำให้เครือข่ายต้องทำงานมากขึ้น ความเร็วในการทำงานโดยรวมช้าลง นอกจากนั้นยังก่อให้เกิดปัญหาอื่นๆ ตามมาได้หากผู้ไม่ประสงค์ดีเป็นผู้ใช้งานโปรแกรม Sniff ข้อมูลเสียเอง
• สำหรับ sniffing program มีการใช้มาเป็นเวลานานแล้ว และลักษณะการใช้จะแบ่งเป็น 2 ประเภทคือ sniffer เชิงพานิชย์ ซึ่งใช้ในการดูแลเครือข่ายและ sniffer ซ่อนเร้น ซึ่งใช้ในการโจมตีหรือบุกรุกคอมพิวเตอร์ โดยปกติการใช้งานโปรแกรมพวกนี้ ได้แก่
  

1. การดักจับรหัสผ่านและ user name จากเครือข่าย ซึ่ง hacker/cracker ใช้ในการเจาะเข้าสู่ระบบ
   
2. ใช้ในการวิเคราะห์ปัญหาเรื่องความผิดพลาดของเครือข่าย
   
3. การวิเคราะห์ประสิทธิภาพของเครือข่าย
   
4. ใช้ในระบบตรวจจับการบุกรุก
   

• แต่ก็ไม่มีจุดใดบนอินเตอร์เน็ตที่จะสามารถเห็น traffic ได้ทั้งหมด เนื่องจากการเชื่อมต่อของอินเตอร์เน็ตจะคล้ายกับตาข่ายจับปลา จึงไม่มีจุดใดเลยที่จะสามารถเห็น traffic ได้ทั้งหมด
• วิธีป้องกันตนเองจาก Sniffers
• เทคนิคการเข้ารหัสข้อมูล คือ ในขณะที่ท่านทำการปรับแต่ง local network ทำให้การดักฟังยากขึ้น แต่ท่านไม่สามารถที่จะหยุดการดักฟังข้อมูลของท่านจากอินเตอร์เน็ตได้ วิธีการป้องกันตัวเองที่ดีที่สุดคือ การเข้ารหัสข้อมูลเพราะถึงแม้ hacker จะดักฟังข้อมูลท่านได้ แต่ก็อ่านข้อมูลนั้นไม่ได้ มีวิธีการเข้ารหัสข้อมูลหลายวิธี คือ
  

1. SSL (Secure Socket Layer)
   SSL ถูกสร้างมาเพื่อใช้กับ browsers และ web servers เป็นส่วนใหญ่และถูกใช้ใน e-commerce เมื่อมีการซื้อขายโดยใช้ credit card ผ่านทาง web PGP และ S/MIME (Secure MIME)
   
2. E-mail อาจถูกดักฟังโดยวิธีการต่าง ๆ ดังนั้นวิธีการที่ดีที่สุดที่จะให้ e-mail เป็นความลับคือ การเข้ารหัส ซึ่งทำได้โดยใช้ PGP (Pretty Good Privacy) และ S/MIME
   
3. SSH (Secure Shell)
   SSH กลายเป็นมาตรฐานในการ login เข้าสู่ระบบ UNIX จากอินเตอร์เน็ต ท่านควรจะใช้ SSH แทน telnet
   
4. VPNs (Virtual Private Network)
   VPNs ทำการเข้ารหัสข้อมูลที่ส่งผ่านทางอินเตอร์เน็ต แต่ถ้า hacker สามารถเจาะเข้าสู่ end-node ของการเชื่อมต่อ VPN ได้ เขาก็สามารถดักข้อมูลนั้นได้

• วิธีปรับแต่ง Network ให้ยากต่อการดักฟังข้อมูล
• วิธีง่ายและมีประสิทธิภาพคือ ใช้ switch แทน hub แต่ก็ไม่ใช่วิธีที่จะป้องกันการลอบดักจับข้อมูลได้ทั้งหมด เนื่องจาก switch อาจจะสร้างbroadcast domain ทำให้ผู้โจมตีสามารถทำการ spoof ARP packets ได้ ซึ่งทำได้โดยการทำ router redirecion โดยปกติ ARP queries ประกอบด้วย IP-to-MAC mapping ของผู้ส่ง และเพื่อที่จะต้องการลด ARP traffic เครื่องโดยส่วนใหญ่จะทำการ cache ข้อมูลที่อ่านเข้ามาจาก broadcast ดังนั้นผู้โจมตีสามารถทำการ redirect เครื่องให้ทำการส่งข้อมูลผ่านเครื่องของเขาด้วยการส่ง ARP packet ที่ประกอบด้วย IP address ของ router ที่ถูก mapped เข้ากับ MAC address ของเขา ทำให้ทุก ๆ เครื่องที่อยู่บน wire นั้น เข้าใจว่า hacker นั้นเป็น router และเครื่องเหล่านั้นก็จะส่งข้อมูลผ่านเขา
• แต่ยังไงก็ตามการนำระบบตรวจจับการบุกรุก (IDS) มาใช้สามารถที่จะตรวจจับเหตุการณ์ลักษณะนี้ได้ Ethernet adapter โดยส่วนใหญ่จะอนุญาตให้มีการปรับแต่ง MAC address ได้ ดังนั้น hacker สามารถทำการ spoof MAC address โดยการกำหนด address ใหม่ให้กับ adapter หรือโดยการ bypass stack และจัดสร้าง frame แต่ hacker ก็จะต้องรักษา stream ของ frames ให้คงที่เพื่อที่ให้ switch มั่นใจว่าเขาเป็นเจ้าของ MAC Address นั้น
• วิธีการตรวจจับ Sniffers
• ในทางทฤษฎีแล้ว ไม่มีทางเป็นไปได้เลยที่จะทำการตรวจจับ sniffing programs เนื่องจากการทำงานของ sniffer เป็นแบบ passive กล่าวคือ จะคอยรับ packets อย่างเดียวไม่มีการส่งออก แต่ในทางปฏิบัติแล้วมีความเป็นไปได้บ้างที่จะตรวจจับได้สำเร็จ
• โดย Sniffer ที่เป็นแบบ stand–alone จะไม่ส่ง packet ใด ๆ แต่ถ้าเป็น non-standalone แล้ว sniffer จะมีการผลิต packet ออกมา เช่น sniffer อาจจะส่ง DNS reverse lookup เพื่อค้นหาชื่อของ IP address ใดๆ แต่ sniffer ที่ท่านต้องการตรวจจับ คือ ที่เป็นแบบ stand–alone เมื่อ cracker/hacker บุกรุกหรือเจาะเข้าสู่เครื่อง พวกเขามักจะติดตั้ง sniffer ไว้ ท่านต้องการที่จะตรวจจับ sniffer ที่ถูกติดตั้งไว้ในเครื่องนั้น ๆ
• วิธีการตรวจจับ

1. Ping Method : sniffer ส่วนใหญ่จะรันอยู่บนเครื่องที่ใช้ TCP/IP stack ปกติ นั้นหมายความว่า เมื่อท่านส่ง request ไปยังเครื่องนั้น เครื่องนั้นก็จะส่ง response กลับมาแต่แทนที่ท่านจะส่ง request ไปยัง Ethernet adapter ให้ส่งไปยัง IP address ของเครื่อง
2. ARP Method : วิธีนี้คล้ายกับ ping method แต่จะใช้ ARP packet แทน วิธีง่ายที่สุดของ ARP method คือ การส่ง ARP ไปยัง non-broadcast address ถ้าเครื่องนั้นตอบสนองต่อ ARP ด้วย IP address ของเครื่องแสดงว่าอยู่ใน promiscuous mode
3. DNS Method : โปรแกรม sniffer ส่วนมากจะกระทำ revers-DNS lookup โดยอัตโนมัติต่อ IP address ที่มันเห็น ดังนั้นท่านสามารถตรวจจับ promiscuous mode ได้โดยการสังเกตุ DNS traffic ท่านอาจใช้วิธีนี้เป็นแบบ remote ได้ กล่าวคือ ท่านต้องการเฝ้าตรวจ inverse-DNS lookup ที่เข้ามายัง DNS server ให้ท่านทำการ ping sweep ไปยังเครื่องใด ๆ ที่ไม่ปรากฎอยู่ในองค์กร ถ้าหากมีเครื่องใดทำการ reverse DNS lookup ต่อ IP address ที่เห็นใน ARP packet แสดงว่าเครื่องนั้นกำลัง sniffing อยู่
4. decoy method : อันดับแรก คือ การสร้าง client และ server บนเครือข่าย ซึ่ง client จะทำการใช้ script เพื่อเข้าสู่ server โดยการใช้ Telnet,POP,IMAP หรืออื่น ๆ โดยที่ท่านต้องสร้าง account ขึ้นที่ server แต่ account นั้นเป็นแค่ตัวหลอก เมื่อ hacker ได้ user name /password เขาก็จะพยายาม logon โดยใช้ user names และ password นี้ และท่านใช้ IDS ในการตรวจจับเหตุการณ์นี้และแจ้งเตือนเมื่อ hacker ได้พยายามใช้ข้อมูลนี้
5. host method : เมื่อใดที่ hacker เจาะเข้าสู่ระบบของท่าน เขามักจะติดตั้ง sniffer ให้ทำงานเป็น background และคอยดักจับ user name และ password บ่อยครั้งที่โปรแกรมนี้ทำงานอยู่หรือไม่ โดยการสอบถามไปยัง interface ว่ากำลังทำงานใน promiscuous mode หรือไม่ โดยใช้คำสั่ง “ifconfig – a ” แน่นอนว่า สิ่งแรกที่ hacker จะทำคือการติดตั้งโปรแกรมแทน “ifconfig” ดังนั้นท่านอาจจะใช้เครื่องมืออื่น ๆ เพื่อหาข้อมูลดังกล่าวหรือท่านอาจจะทำการรัน “ifconfig” จาก CD-ROM โดยตรง

เนื้อเรื่อง (วิธีการ/รูปแบบการทำงาน)

วิธีการติดตั้ง

• สามารถดาวน์โหลดโปรแกรม ntop ได้จากเว็บไซต์ http://sourceforge.net/projects/ntop/ ซึ่งอยู่ในรูปของแพคเกจ RPM หรืออาจจะเลือกติดตั้งจากต้นฉบับโปรแกรม ( source code ) ก็ได้เช่นกัน ขนาดของไฟล์ ntop-3.1.tgz ประมาณ 3.3 MB และสำหรับผู้ที่ต้องการใช้ ntop บนวินโดวส์หรือ Mac OS X ก็จะมีไฟล์ให้ดาวน์โหลดเช่นเดียวกัน
• การเตรียมเครื่องที่จะติดตั้ง ntop นั้นจะต้องมีไลบรารี่พื้นฐานทั่วๆ ไปให้ครบถ้วน ได้แก่ glibc , gcc ,cpp ,gawk ,libtool ,libpcap ส่วนการแสดงกราฟ ได้แก่ gd ,gd-devel และ libpng ,libpng-devel ซึ่งโดยปรกติถ้าท่านติดตั้งลีนุกซ์ดิสทริบิวชั่นโดยเลือกแพคเกจในกลุ่ม Development ให้ครบก็จะมี ไลบรารี่เหล่านี้ครบอยู่แล้ว
• ส่วนการติดตั้งนั้นจะมีเอกสารแนะนำไว้แล้ว สามารถศึกษาได้จาก http://www.ntop.org เช่น กรณีของแพคเกจแบบ RPM ก็เพียงแค่พิมพ์คำสั่ง rpm -ivh ตามด้วยชื่อไฟล์ .rpm เท่านั้น ส่วนการติดตั้งในแบบ Source code ก็เพียงแค่ configure ,make และ make install เช่นเดียวกับโปรแกรมอื่นๆ ทั่วไป ( ล่าสุดมีการติดตั้งกับ Fedora Core 3 และไม่พบปัญหาแต่อย่างใด ) หลังจากติดตั้งสำเร็จแล้ว พิมพ์คำสั่ง ntop ที่คอมมานด์พร้อมพ์โปรแกรมจะให้กำหนดรหัสผ่านของผู้บริหารโปรแกรม จากนั้นก็เข้าสู่การใช้งานได้ทันที

• ตัวอย่างวิธีติดตั้งและการใช้งาน

# apt-get install ntop 
# ntop --set-admin-password เพื่อกำหนด password เวลาเข้าใช้งานในส่วนของ admin ของ program 
# /etc/init.d/ntop start เพื่อเป็นการstart service 
# เปิด browser พิมพ์ http://localhost:3000 เพื่อเรียกใช้โปรแกรม ntop  

• เมื่อต้องการที่จะใช้งานในลักษณะของ Admin จะมีการถาม password ให้กรอก password ตามที่ได้ตั้งไว้ตั้งแต่ต้น ส่วน username ให้กรอกว่า admin
• ข้อแนะนำ ควรลง program นี้ที่ gateway เพราะจะทำให้ดู traffic การใช้งานเครือข่ายของเราได้ทั้งหมด ว่าเครื่องไหนมีพฤติกรรมการใช้งานเครือข่ายยังไงบ้าง เช่น เครื่อง 192.168.20.11 มีพฤติกรรม ยิง packet ออก internet เป็นจำนวนมากอย่างต่อเนื่อง ในฐานะ admin ก็ ทำการปรับปรุงแก้ไข และเวลาเรียกใช้งานผู้ใช้ก็ไม่ต้องไปนั่งหน้า gateway เพราะสามารถใช้ Computer เครื่องไหนก็ได้ แล้วก็พิมพ์ http://192.168.20.254:3000 (สมมติว่า ip นี้เป็น ip ของ gateway)

การใช้งาน NTOP

• เพื่อให้เห็นภาพการใช้งาน ntop โดยรวมจะอธิบายเป็นขั้นตอนต่อไปนี้ โดยกำหนดให้ ntop ให้บริการที่พอร์ต 3333 ในโฮสต์ลีนุกซ์ 192.168.100.1 ( ค่าปรกติจะอยู่ที่พอร์ต TCP 3000 ) สำหรับหน้าจออินเทอร์เฟสของโปรแกรมนี้อาจจะมีการเปลี่ยนแปลงไปบ้าง ซึ่งในแต่ละรุ่นแต่ก็จะมีส่วนคล้ายกัน
• การที่จะเข้ามาดู traffic นั้นสามารถดูได้จากเครื่อง 192.168.100.1:3333 ผ่านเว็บบราวเซอร์ตามรูปที่ 1 ซึ่งในส่วนแรกนี้เป็น Help ของ tool ซึ่งจะเห็นแถบด้านซ้ายมือซึ่งเราสามารถเลือกดูรายละเอียดของการกำหนดค่าคอนฟิกต่างๆ ได้

รูปที่ 1 หน้าแรกของntop สังเกตที่แถบเมนูตัวเลือกด้านบนซึ่งส่วนนี้จะเป็นเมนูหลักที่เราจะเข้าไปดูค่าต่าง ๆ

Data RCVD จะเป็นส่วนของการรับข้อมูลจากภายนอกเข้ามาซึ่งมีเมนูย่อยดังรูปที่ 2 ดังนี้

รูปที่ 2 เมนู Data RCVD

All Protocols จะเป็นการบอกถึงแพคเกตของแต่ละโปรโตคอล ซึ่งส่วนนี้เราสามารถกำหนดได้ว่าเราจะให้แสดงค่าอะไรหรือบ้าง โดยการกำหนดได้ในตัวโปรแกรม
จะเห็นว่าจากภาพตัวอย่างกำลังแสดงแพคเกตว่าเรารับข้อมูลจากไอพีอะไรซึ่งการรายงานผลจะเป็นค่าร้อยละของการใช้งานและปริมาณแพคเกตเป็นหน่วย MB หรือ KB
TCP/UDP เป็นส่วนของการรายงานผลโปรโตคอล TCP และ UDP ที่เป็นผลรวมทั้งหมดของการใช้งานแต่ละเครื่อง Throughput จะเป็นการรายงาน throughput ที่ใช้งานจริง ค่าเฉลี่ยที่ใช้งาน ค่าสูงสุดที่เครื่องใช้งาน ( ตามรูปที่ 3 )

รูปที่ 3 การรายงาน Throughput

Host Activity เป็นการบอกว่าเครื่องนั้นเปิด หรือ ปิดในช่วงใดบ้างใน 1 วัน โดยจะดูจาก ปริมาณ traffic ถ้าไม่มีการใช้ traffic จะเป็นสีแดง
Netflows เป็นการที่ไปเพิ่ม service เพิ่มว่าเราจะดูอะไรเพิ่มบ้าง ในแต่ละหน้ารายงานภาพรวม เราสามารถเข้าไปดูรายละเอียดการใช้งานแต่ละเครื่องเป็นการเฉพาะได้จากการคลิ๊กที่ชื่อไอพีของเครื่องที่ต้องการได้เลย ซึ่งจะอธิบายรายละเอียดต่างๆ ของเครื่องนั้นไว้ทั้งหมด
DataSentจะเป็นการอธิบายเกี่ยวกับการส่งข้อมูล หัวข้อย่อยจะเหมือนกับ Data Rcvd
Statsในส่วนนี้จะเป็นการรายงานผลภาพโดยรวมของการใช้ traffic มีส่วนย่อยๆ ดังนี้
Multicastแสดงค่าแพคเกตประเภท Multicast ที่ปรากฏในเครือข่าย
Traffic รายงานผลเป็นกราฟ ว่าจำนวนโฮสต์ที่ผ่านเท่าไร และโปรโตคอลอะไรใช้งานคิดเป็น ร้อยละเท่าไรของปริมาณทั้งหมด จากรูปที่ 4 จะเห็นการบอกปริมาณการใช้แต่ละโปรโตคอล

รูปที่ 4 รายงาน IP Traffic

Host ในส่วนนี้เป็นการแสดงผลเป็นเครื่อง ๆ ไป
Network Load เป็นการรายงานผลเป็นกราฟการใช้ traffic แบ่งเป็นช่วง ๆ ถ้าเราอยากดู traffic ช่วงเวลาใดให้เลือกจากช่วงเวลาดังกล่าวก็จะแสดงผลออกมาได้ตามต้องการ แสดงดังรูปที่ 5
Domain เป็นการบอกถึงว่าเราติดต่อกับโดเมนใดบ้าง ( หรือเข้าเว็บใดบ้างนั่นเอง )

รูปที่ 5 กราฟรายงานตามช่วงเวลา

IP Traffic เป็นการรายงานผล ทั้งรับและส่งในแต่ละเครื่องแล้วแต่ว่าต้องการดูจากทิศทางไหนเป็นหลัก โดยให้เลือกเช่น R->L หรือ L->R เป็นต้น ดังรูปที่ 6 จะเห็นว่าจะบอกว่า IP นั้น ส่ง เท่าไร รับเท่าไร จะบอกทั้งเป็นสัดส่วนร้อยละและจำนวนแพคเกตรวมที่แต่ละโฮสต์ใช้ไป

รูปที่ 6 การแสดงค่า IP Trafficโดยกำหนดทิศทางไหลของแพคเกต

IP Protocolจะเป็นการบอกถึงว่าแต่ละไอพีว่าใช้โปรโตคอลอะไรบ้าง ในช่วงเวลาใดที่ออกไป และจำนวนแพคเกตที่ใช้ ดังรูปที่ 7

รูปที่ 7 การรายงานตามโปรโตคอล

รูปที่ 8 รายละเอียดเป็นรายโฮสต์

จากการใช้งานโปรแกรม ntop สามารถตอบสนองความต้องการวิเคราะห์ระบบเครือข่ายได้เป็นอย่างดี อย่างไรก็ตามมีปัญหาที่เกิดขึ้นระหว่างการใช้งานบ้าง ซึ่งมีการแก้ปัญหาได้ดังนี้
-ถ้า Log เต็มให้ปิดบริการ MySQL แล้วเปิดบริการใหม่อีกครั้ง
-ถ้าเข้าไปดูรายงานไม่ได้ให้ปิดบริการ ntop แล้วเปิดบริการใหม่อีกครั้ง

สรุป

• โปรแกรม NTOP เป็นเครื่องมือ สำหรับ monitoring และ troubleshooting เครือข่ายภายใน (local area networks) ที่ยึดหยุ่น และ เต็มไปด้วย feature ต่างๆ มากมาย สามารถใช้ได้ทั้ง command line และ ทาง web ซึ่งจะทำให้เราทราบได้ว่าไอพีไหน กำลังทำอะไรอยู่ได้
• โปรแกรมนี้มีความสามารถหลายประการ เช่น

1. ติดตั้งง่าย คือมีรูปแบบแพคเกจทั้งแบบ RPM และการคอมไพล์จากไฟล์ .tar
2. มีการจัดเก็บข้อมูลลงฐานข้อมูล MySQL จึงทำให้เราสามารถเรียกดูข้อมูลย้อนหลังได้
3. ในส่วนของการแสดงผลนั้นเราก็ดูการแสดงผลได้จากเว็บบราวเซอร์ ซึ่งเป็นการง่ายสำหรับผู้บริหารที่จะติดตามดูพฤติกรรมของยูสเซอร์หรือสถานภาพในระบบเครือข่าย
4. การแสดงผลผ่านเว็บบราวเซอร์นี้เองทำให้สามารถทำการวิเคราะห์ปัญหาจากที่โฮสต์อื่นได้
5. การแสดงผลนั้นมีหลากหลาย ทั้งการรายงานผลเป็น traffic รวม หรือ แยกเป็น client ก็ทำได้ โดยรูปแบบการรายงานผลจะเป็นได้ทั้งแบบกราฟรูปภาพ และข้อมูลที่เป็นตัวเลข
6. การทำสรุปเป็นเอกสารรายงานนั้นสามารถทำรายงานผู้บริหารได้อย่างหลากหลาย
7. แอดมินที่ดูแลระบบนั้นไม่จำเป็นจะต้องมีความรู้ด้านลีนุกซ์เลยเพราะมีฟังชั่นให้แก้ไขผ่านเว็บบราวเซอร์ได้อย่างง่าย

• ปัญหาที่พบจากการใช้โปรแกรม ntop
• ถึงแม้ว่าโปรแกรม ntop จะมีคุณสมบัติยอดเยี่ยมเพียงใดก็ตาม ในการใช้งานย่อมมีปัญหาหรือข้อบกพร่องอยู่บ้างเป็นธรรมดา สำหรับปัญหาที่ผู้เขียนพบและควรจะทราบไว้ก่อนที่จะนำไปใช้งานสรุปได้ดังนี้

1. ในขั้นตอนการติดตั้งนั้น ส่วนของการจัดเก็บข้อมูลบน MySQL เราจะต้องมีการสร้าง table และต้องสร้าง Symbolic link เองในบางจุด ซึ่งเป็นการยากสำหรับผู้ที่ยังไม่ชำนาญเรื่องเกี่ยวกับ MySQL และลีนุกซ์
2. การหาคู่มือการใช้งานค่อนข้างจะยากมาก เป็นงานส่วนที่ admin เองจะต้องศึกษาจาก help file เองหลังจากที่มีการติดตั้ง
3. การจับ traffic ของ ntop นั้นต้องทำงานในแบบ Promiscuous Mode หรือวางตัวเป็น เกตเวย์ของระบบเครือข่ายหรือไม่ก็ต้องทำงานบน HUB ในการจับ traffic
4. เมื่อทุกครั้งที่มีการรีสตาร์ตเครื่องนั้นจะต้องมีการรันคำสั่งการเปิดบริการเอง เราสามารถเขียนคำสั่งเองได้แต่ตัวแอดมินเองก็จะต้องมีความรู้ในการเขียนคำสั่ง
5. เครื่องที่รันบริการของ ntop จะต้องมีเนื้อที่ฮาร์ดดิสก์มากซักหน่อยเนื่องจากการเก็บข้อมูล ( log ) การใช้งานของผู้ใช้จะเก็บทุกครั้งที่มีการสื่อสารกันในเครือข่าย

• โปรแกรม ntop จึงเป็นซอฟต์แวร์โอเพ่นซอร์สที่ติดตั้งง่าย ใช้งานได้ตรงความต้องการขององค์กร และยังช่วยให้ประหยัดค่าใช้จ่ายด้านเครื่องมือบริหารระบบเครือข่ายได้อีกด้วย ถึงแม้ว่าการนำเอาโปรแกรม NTOP และระบบลีนุกซ์มาใช้ในองค์กร อาจจะเป็นเรื่องที่ยุ่งยากในช่วงเริ่มต้น แต่ก็มีผลดีกับบุคลากรในหน่วยงานที่จะได้มีโอกาสได้พัฒนาความรู้ความสามารถ ซึ่งก็จะทำให้หน่วยงานได้รับผลพลอยได้ตามไปด้วย

เอกสารอ้างอิง และเว็บลิงค์