MRTG(Multi Router Traffic Grapher)是
![](/icons/87984yi.gif)
个跨平台
![](/icons/87984de.gif)
监控网络链路流量负载
![](/icons/87984de.gif)
工具软件Software
![](/icons/87984dou.gif)
目前它可以运行在大多数Unix系统和Windows NT的上
![](/icons/87984dou2.gif)
它通过snmp协议从设备得到设备
![](/icons/87984de.gif)
流量信息
![](/icons/87984dou.gif)
并将流量负载以包含PNG格式
![](/icons/87984de.gif)
图形
![](/icons/87984de.gif)
HTML 文档方式显示给用户
![](/icons/87984dou.gif)
以非常直观
![](/icons/87984de.gif)
形式显示流量负载
![](/icons/87984dou2.gif)
或许你还不知道
![](/icons/87984dou.gif)
MRTG还是
![](/icons/87984yi.gif)
个有效
![](/icons/87984de.gif)
入侵检测工具
![](/icons/87984dou2.gif)
大家都知道
![](/icons/87984dou.gif)
入侵者扫描和破坏后都能生成
![](/icons/87984yi.gif)
些异常
![](/icons/87984de.gif)
网络流量
![](/icons/87984dou.gif)
而人们在
![](/icons/87984yi.gif)
般情况下是意识不到
![](/icons/87984de.gif)
![](/icons/87984dou2.gif)
但是MRTG却能通过图形化
![](/icons/87984de.gif)
形式给管理员提供入侵
![](/icons/87984de.gif)
信息
![](/icons/87984dou2.gif)
并可以查出数周的前
![](/icons/87984de.gif)
入侵信息
![](/icons/87984dou.gif)
以备管理员参考
![](/icons/87984yi.gif)
攻击行为对服务器造成
信息
1
![](/icons/87984dou.gif)
攻击者使用CGI漏洞扫描器对潜在
![](/icons/87984de.gif)
CGI漏洞脚本进行扫描时
![](/icons/87984dou.gif)
HTTP 404 Not Found errors
![](/icons/87984de.gif)
记录会增长
![](/icons/87984dou2.gif)
2
![](/icons/87984dou.gif)
攻击者尝试暴力破解服务器上
![](/icons/87984de.gif)
帐户
![](/icons/87984dou.gif)
HTTP 401 Authorization Required errors
![](/icons/87984de.gif)
记录会增长
![](/icons/87984dou2.gif)
3
![](/icons/87984dou.gif)
![](/icons/87984yi.gif)
种新
![](/icons/87984de.gif)
蠕虫出现
![](/icons/87984dou.gif)
某
![](/icons/87984yi.gif)
个特定
![](/icons/87984de.gif)
协议
![](/icons/87984de.gif)
流量会增长
![](/icons/87984dou2.gif)
4
![](/icons/87984dou.gif)
蠕虫通过傀儡主机
![](/icons/87984dou.gif)
攻击其他
![](/icons/87984de.gif)
服务器
![](/icons/87984dou.gif)
出外
![](/icons/87984de.gif)
流量增加
![](/icons/87984dou.gif)
并增大CPU
![](/icons/87984de.gif)
负荷
![](/icons/87984dou2.gif)
5
![](/icons/87984dou.gif)
入侵者尝试SQL injection攻击
![](/icons/87984dou.gif)
HTTP 500 Server Errors记录会增长
![](/icons/87984dou2.gif)
6
![](/icons/87984dou.gif)
垃圾邮件发送者在网络上寻找中继SMTP服务器来发送垃圾邮件
![](/icons/87984dou.gif)
会造成SMTP
![](/icons/87984de.gif)
和DNS lookups流量大增
![](/icons/87984dou.gif)
同时造成CPU负荷增大
![](/icons/87984dou2.gif)
7
![](/icons/87984dou.gif)
攻击者进行DDOS攻击
![](/icons/87984dou.gif)
会造成ICMP流量
![](/icons/87984dou.gif)
TCP连接
![](/icons/87984dou.gif)
虚假
![](/icons/87984de.gif)
IP
![](/icons/87984dou.gif)
多播广播流量大增
![](/icons/87984dou2.gif)
造成浪费大量
![](/icons/87984de.gif)
带宽
![](/icons/87984dou2.gif)
看完上面
![](/icons/87984de.gif)
![](/icons/87984dou.gif)
我们可以整理总结出
![](/icons/87984dou.gif)
攻击者要入侵必须会影响到服务器
![](/icons/87984de.gif)
这些资源:: CPU, RAM,磁盘空间
![](/icons/87984dou.gif)
网络连接和带宽
![](/icons/87984dou2.gif)
入侵者还有可能对服务器建立进程后门
![](/icons/87984dou.gif)
开放端口
![](/icons/87984dou.gif)
他们还对他们
![](/icons/87984de.gif)
入侵行为进行伪装掩盖
![](/icons/87984dou.gif)
避免遭到入侵检测系统
![](/icons/87984de.gif)
监视
2
攻击者使用以下
思路方法避免被检测到:
1
![](/icons/87984dou.gif)
探测扫描很长时间后
![](/icons/87984dou.gif)
才进行真正
![](/icons/87984de.gif)
入侵进攻
![](/icons/87984dou2.gif)
2
![](/icons/87984dou.gif)
从多个主机进行攻击
![](/icons/87984dou.gif)
避免单
![](/icons/87984yi.gif)
![](/icons/87984de.gif)
主机记录
![](/icons/87984dou2.gif)
3
![](/icons/87984dou.gif)
尽量避免入侵造成
![](/icons/87984de.gif)
CPU, RAM和驱动器
![](/icons/87984de.gif)
负荷
![](/icons/87984dou2.gif)
4
![](/icons/87984dou.gif)
利用管理员无人职守时入侵
![](/icons/87984dou.gif)
在周末或者节假日发起攻击
3
对于IIS 6
我们需要监视
是
1
![](/icons/87984dou.gif)
网络流量
![](/icons/87984dou.gif)
包括带宽
![](/icons/87984dou.gif)
数据包
![](/icons/87984dou.gif)
连接
![](/icons/87984de.gif)
数量等
![](/icons/87984dou2.gif)
2
![](/icons/87984dou.gif)
网络协议
![](/icons/87984de.gif)
异常
![](/icons/87984cuowu.gif)
![](/icons/87984dou2.gif)
3
![](/icons/87984dou.gif)
网站WebSite
![](/icons/87984de.gif)
内外流量
![](/icons/87984dou.gif)
包括用户
![](/icons/87984de.gif)
权限设置
![](/icons/87984dou.gif)
外部请求
![](/icons/87984de.gif)
![](/icons/87984cuowu.gif)
流量等
![](/icons/87984dou2.gif)
4
![](/icons/87984dou.gif)
线程和进程
4
在Windows 2003下安装MRTG
在使用MRTG的前
![](/icons/87984dou.gif)
你需要在你
![](/icons/87984de.gif)
服务器里安装SNMP 服务
![](/icons/87984dou2.gif)
具体步骤如下:从控制面板中选择添加/删除
![](/icons/87984chengxu.gif)
![](/icons/87984dou.gif)
点击添加和删除windows组件
![](/icons/87984dou2.gif)
管理和监视工具中
![](/icons/87984de.gif)
详细资料里就可以找到简单网络管理协议
![](/icons/87984dou.gif)
即可安装
![](/icons/87984dou2.gif)
安装成功后
![](/icons/87984dou.gif)
你需要立刻安全配置
![](/icons/87984yi.gif)
下
![](/icons/87984dou.gif)
我们大家都知道
![](/icons/87984dou.gif)
SNMP在网络上决不是
![](/icons/87984yi.gif)
个安全
![](/icons/87984de.gif)
协议
![](/icons/87984dou.gif)
你可以通过http://support.microsoft.com/?kbid=324261这个连接来具体了解
![](/icons/87984dou2.gif)
但是我们只是在本地使用SNMP
![](/icons/87984dou.gif)
但是还是建议你通过防火墙屏蔽SNMP
![](/icons/87984de.gif)
161和162端口和使用IPSec
![](/icons/87984dou2.gif)
并且要配置为obscure community
![](/icons/87984string.gif)
![](/icons/87984dou2.gif)
在管理工具中
![](/icons/87984dou.gif)
在服务中选择安全
![](/icons/87984dou.gif)
设为只读访问
![](/icons/87984dou2.gif)
尽管community
![](/icons/87984string.gif)
安全问题不多
![](/icons/87984dou.gif)
但是你还是要避免使用community
![](/icons/87984string.gif)
为只读访问
![](/icons/87984dou2.gif)
MRTG是
![](/icons/87984yi.gif)
个用Perl编译
![](/icons/87984de.gif)
C
![](/icons/87984chengxu.gif)
![](/icons/87984dou2.gif)
你还要安装ActivePerl来解决支持脚本
![](/icons/87984de.gif)
问题
![](/icons/87984dou2.gif)
下载最新
![](/icons/87984de.gif)
MRTG
![](/icons/87984dou2.gif)
可以到http://people.ee.ethz.ch/~oetiker/webtools/mrtg/pub/下载
![](/icons/87984dou.gif)
注意要选择.zip
![](/icons/87984de.gif)
文件下载
![](/icons/87984dou2.gif)
这篇文章所使用
![](/icons/87984de.gif)
版本请到http://securityfocus.com/microsoft/images/burnett_MRTG_files.zip下载
![](/icons/87984dou2.gif)
把MRTG解压到C:\Program Files\MRTG目录下
![](/icons/87984dou2.gif)
在你
![](/icons/87984de.gif)
Inetpub目录下为MRTG建立
![](/icons/87984yi.gif)
个子目录
![](/icons/87984dou2.gif)
为了安全
![](/icons/87984dou.gif)
不要建立在wwwroot目录下
![](/icons/87984dou2.gif)
然后
![](/icons/87984dou.gif)
使用IIS建立
![](/icons/87984yi.gif)
个MRTG
![](/icons/87984de.gif)
新站点
![](/icons/87984dou2.gif)
如果可能
![](/icons/87984de.gif)
话
![](/icons/87984dou.gif)
最好能为MRTG站点配置
![](/icons/87984yi.gif)
个主机头和
![](/icons/87984yi.gif)
个独立
![](/icons/87984de.gif)
IP
![](/icons/87984dou2.gif)
也可以在
![](/icons/87984yi.gif)
个已存在
![](/icons/87984de.gif)
目录下为MRTG站点建立
![](/icons/87984yi.gif)
个合法
![](/icons/87984de.gif)
虚拟目录
![](/icons/87984dou.gif)
也能达到同样
![](/icons/87984de.gif)
目
![](/icons/87984de.gif)
![](/icons/87984dou2.gif)
注意
![](/icons/87984dou.gif)
在新建立
![](/icons/87984de.gif)
MRTG站点不要运行可执行
![](/icons/87984de.gif)
脚本
![](/icons/87984dou.gif)
只提供只读访问
![](/icons/87984dou2.gif)
在NTFS下
![](/icons/87984dou.gif)
要注意对用户
![](/icons/87984de.gif)
权限
![](/icons/87984de.gif)
设置
![](/icons/87984dou2.gif)
如果可能
![](/icons/87984de.gif)
话
![](/icons/87984dou.gif)
最好对指定MRTG站点
![](/icons/87984de.gif)
IP来选择特定
![](/icons/87984de.gif)
主机
![](/icons/87984dou2.gif)
现在
![](/icons/87984dou.gif)
就可以把配置文件放到C:\Program Files\MRTG\Bin下了
![](/icons/87984dou.gif)
并把index.html 文件拷贝到你
![](/icons/87984de.gif)
\Inetpub\MRTG 目录下
5
具体配置SNMP计数器
我所配置
![](/icons/87984de.gif)
MRTG
![](/icons/87984de.gif)
以及所获得流量:
尽管微软提供了SNMP
![](/icons/87984de.gif)
计数器
![](/icons/87984dou.gif)
但是我发现它对
![](/icons/87984yi.gif)
些应用
![](/icons/87984chengxu.gif)
支持有些问题
![](/icons/87984dou.gif)
然而
![](/icons/87984dou.gif)
MRTG却能从很多
![](/icons/87984de.gif)
应用
![](/icons/87984chengxu.gif)
中得到消息
![](/icons/87984dou2.gif)
但是我们通过Windows Management Instrumentation (WMI) 也能得到包括所有
![](/icons/87984de.gif)
计数器
![](/icons/87984de.gif)
性能信息
![](/icons/87984dou2.gif)
同SNMP区别
![](/icons/87984de.gif)
是
![](/icons/87984dou.gif)
微软在WMI下了很大
![](/icons/87984de.gif)
时间和金钱
![](/icons/87984dou2.gif)
比如:我想得到有关线程和进程
![](/icons/87984de.gif)
信息
![](/icons/87984dou.gif)
我可以使用以下
![](/icons/87984de.gif)
脚本轻易实现:
Set colItems=oWService.ExecQuery("SELECT * FROM Win32_PerfFormattedData_PerfOS_
![](/icons/87984System.gif)
",,48)
For Each Item in colItems
Param1=Param1 + Item.Processes
Param2=Param2 + Item.Threads
Uptime=Item.
![](/icons/87984System.gif)
Uptime
Next
WScript.Echo Param1
WScript.Echo Param2
WScript.Echo Uptime & " seconds"
WScript.Echo "LocalHost"
Another problem I had was getting detailed or custom web statistics through
either SNMP or WMI. To solve that , I used Microsoft’s LogParser tool to run custom queries from a simple batch file: @for /f "tokens=1,2,3,4* delims=/ " %%i in (’date /t’) do @
![](/icons/87984set.gif)
year=%%l&& @
![](/icons/87984set.gif)
month=%%j&& @
![](/icons/87984set.gif)
day=%%k
@
![](/icons/87984set.gif)
logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log
@If Exist %logfile% (
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 400AND sc-status<500)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP
![](/icons/87984kh.gif)
, TO_TIMESTAMP(’5’,’m’))" -q
@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 500AND sc-status<600)
AND TO_TIMESTAMP(date, time) > SUB(SYSTEM_TIMESTAMP
![](/icons/87984kh.gif)
, TO_TIMESTAMP(’5’,’m’))" -q
) ELSE (
@Echo %logfile% @Echo 0
)
@Echo Unknown
@Echo %1
![](/icons/87984yinwei.gif)
微软
![](/icons/87984de.gif)
日志记录工具也非常强大
![](/icons/87984dou.gif)
和MRTG
![](/icons/87984de.gif)
计数器配合使用
![](/icons/87984dou.gif)
在加上免费
![](/icons/87984de.gif)
入侵检测系统Snort
![](/icons/87984dou.gif)
效果会更好
6
最后
在你自定义
![](/icons/87984de.gif)
完你
![](/icons/87984de.gif)
计数器完成的后
![](/icons/87984dou.gif)
通过图行化
![](/icons/87984de.gif)
状况就可以轻易
![](/icons/87984de.gif)
找出入侵者
![](/icons/87984dou2.gif)
下面
![](/icons/87984dou.gif)
我们来测试
![](/icons/87984yi.gif)
下
![](/icons/87984dou.gif)
在命令提示符下输入:
C:\ProgramFiles\MRTG>perl mrtg mrtg.cfg
如果
![](/icons/87984yi.gif)
些正常
![](/icons/87984de.gif)
话
![](/icons/87984dou.gif)
就会在在你
![](/icons/87984de.gif)
MRTG站点就有了
![](/icons/87984yi.gif)
些配置文件
![](/icons/87984dou2.gif)
如果安装失败
![](/icons/87984dou.gif)
你可以回顾
![](/icons/87984yi.gif)
下你安装
![](/icons/87984de.gif)
步骤
![](/icons/87984dou.gif)
是否有
![](/icons/87984cuowu.gif)
![](/icons/87984dou.gif)
并参考MRTG
![](/icons/87984de.gif)
参考手册
上
篇文章: 推荐:遭遇另类“无法删除
病毒”
下
篇文章: 各种漏洞
利用和搜索参数