手把手教你搭建网络流量分析系统

为什么需要网络流量分析

你有没有遇到过家里Wi-Fi突然变慢，却找不到原因？或者公司网络总在下午卡顿，怀疑有人偷偷下载大文件？这时候，光靠重启路由器解决不了根本问题。真正有效的办法是看清楚“谁在用网、用了多少、走了哪些数据”。这就是网络流量分析要做的事。

常见的流量分析工具有哪些

市面上有不少工具可以抓取和分析网络流量。对于普通用户和小型办公环境，推荐从开源、免费的方案入手。比如 Wireshark 适合单机抓包查看细节，而 ntopng 更适合长期监控整个局域网的流量趋势。

ntopng 的优势

它能实时显示每台设备的上传下载速度、访问了哪些网站、用了什么协议（比如视频流、P2P下载），甚至能通过颜色标记异常流量。界面直观，打开浏览器就能看，不需要专业背景也能上手。

搭建一个基础的分析系统

假设你有一台闲置的旧电脑或树莓派，就可以把它变成流量监控中心。以下以 Ubuntu 系统为例，在内网中部署 ntopng。

安装步骤

先更新软件源：

sudo apt update && sudo apt upgrade -y

添加 ntopng 的官方仓库密钥：

curl -fsSL https://packages.ntop.org/apt/ntop.key | gpg --dearmor -o /usr/share/keyrings/ntop.gpg

添加软件源：

echo "deb [signed-by=/usr/share/keyrings/ntop.gpg] http://packages.ntop.org/apt/22 stable main" | tee /etc/apt/sources.list.d/ntop.list

安装 ntopng：

sudo apt update
sudo apt install ntopng -y

配置监听网卡

安装完成后，编辑配置文件指定要监控的网卡：

sudo nano /etc/ntopng/ntopng.conf

加入这一行（假设你的内网网卡是 eth0）：

-i=eth0

保存退出后启动服务：

sudo systemctl start ntopng
sudo systemctl enable ntopng

访问监控页面

打开浏览器，输入 http://你的服务器IP:3000，首次会提示登录，默认账号是 admin，密码也是 admin（登录后记得修改）。

进入后你会看到实时流量图，左侧列出当前所有活跃主机。点击某一台设备，能看到它的对话记录——比如这台手机正在刷短视频，占用了80%的下行带宽。

结合镜像端口获取完整数据

如果你的路由器支持端口镜像（Port Mirroring），可以把主交换机的流量复制一份发给这台监控机，这样就能捕获全网数据。不开启镜像的话，监控机只能看到广播包和发往自身的通信。

很多企业级路由器如华硕、TP-Link 商用型号、Ubiquiti 设备都支持该功能。在管理后台找到“镜像设置”，选择上行口为源，连接监控机的口为目标。

一些实用场景

上周小区断电恢复后，家里网速奇慢。用这套系统一查，发现邻居蹭网不说，还有台设备一直在跑BT下载。把MAC地址拉黑之后，网络立刻恢复正常。另一个例子是公司财务部抱怨系统卡，结果发现是市场部同事在用内网传高清素材，占满内网带宽。有了数据支撑，沟通起来更有依据。

注意事项

监控他人网络行为涉及隐私问题，建议只在自己拥有管理权的网络中使用，并提前告知使用者或张贴提示。技术本身无对错，关键是怎么用。