老张开网吧十年,前阵子被运营商找上门,说他家带宽占用长期超限,疑似跑挖矿程序。查了一圈,发现是几台机器在后台偷偷下高清电影、刷短视频,还连着不明IP的远程控制软件。这事之后,他咬牙上了套流量监控系统——不是买现成的盒子,而是自己搭了个轻量级方案,现在每台机子干啥、用了多少流量、连了哪些外网,一眼就清楚。
为什么不能只靠路由器自带统计?
很多网吧老板觉得路由器后台那个「实时流量排行」够用了。其实真用起来,问题一堆:数据只保留几分钟、不区分应用类型(比如分不清是微信视频还是迅雷下载)、没法按IP段导出报表、更别提自动告警。有次我帮一家店排查卡顿,发现路由器显示总流量才用了40%,但实际Wireshark抓包一看,某台机器正往境外IP发大量加密UDP包——路由器根本没识别出来。
核心要盯住这三块
一个能落地的网吧监控系统,得把「看得见、分得清、管得住」拆成具体动作:
- 采集层:用镜像端口(SPAN)或TAP设备把交换机流量复制一份,送进分析服务器;不推荐直接装在网关上跑Sniffer,容易拖慢主业务。
- 分析层:用nDPI做深度包检测(DPI),它比传统五元组强在能识别微信小程序、抖音直播流、甚至某些游戏加速器的加密隧道。我们测试过,对国内主流APP识别率在92%以上。
- 展示层:不用花里胡哨的大屏,一个带筛选的Web界面就行。比如点选「昨天19:00-22:00」+「IP段192.168.3.0/24」,立刻列出TOP10应用、目标域名、总字节数。
一个能跑起来的最小配置示例
硬件不挑,旧服务器就行(i5+8G+1TB机械盘)。软件栈用开源组合:
Ubuntu 22.04 LTS
ntopng(带nDPI插件)
MySQL 8.0(存历史数据)
nginx + 自写PHP页面(做权限和简易报表)关键配置改两处:
① ntopng启动加参数 --interface=eth1 --redis=127.0.0.1:6379 --http-port=3000;
② 在Web界面里,把「Traffic Analysis」→「Application Protocol」打开,否则默认只显示TCP/UDP大类。
实操中容易踩的坑
• 镜像端口记得开「RX only」,否则回传包会形成环路,整个网吧断网十分钟起步;
• 别让nDPI全量解析HTTPS,太耗CPU。我们只对SNI字段做匹配,既识别出「douyin.com」又不破密;
• 流量突增告警别设死值,按时段动态调。比如晚8点允许单机峰值30Mbps(看4K直播正常),凌晨3点超过3Mbps就发企业微信提醒。
管人之前先管好自己
系统上线头三天,我们发现管理员账号被反复登录失败——查日志发现是隔壁网管用社工库撞密码。后来强制启用了Google Authenticator双因素,顺便给所有员工电脑装了屏幕水印(含IP+登录时间),这种细节,比堆功能更重要。