IPTraf网络监控二_快乐+rose_百度空间
2.1.2.实例和日志
  IPTraf允许同时运行多个进程,但是一次只有一个进程监听某个或者所有的网络接口。不过一般接口统计(General Interface Statistics)功能除外,一次只能有一个进程执行这个操作。
  IPTraf的这个特性带来了一个问题,每个进程都要产生日志文件。如果你打开了IPTraf的日志功能,在你使用某个功能时,它都会提示你设
置日志文件的名字。这时,你需要自己指定每个示例的日志文件。如果日志文件发生冲突,可能会有无法预料的事情发生。如果你没有指定日志文件的{jd1}路径,它 们就会被记录到默认的日志目录:/var/log/iptraf。
2.1.3.支持的网络接口
  IPTraf目前支持如下网络接口:
lo

  本机回环接口。每台机器都有这个接口,IP地址是127.0.0.1。

· ethn(n>=0)
  以太网接口,n是从0开始的整数。eth0是{dy}个以太网接口,eth1是第二个网络接口。
· fddin(n>=0)
  FDDI(光纤分布式数字接口)接口,n是从0开始的整数。
· pppn(n>=0)
  PPP(点到点协议)接口,n是从0开始的整数。
· slin(n>=0)
  SLIP(串行线路接口协议)接口,n是从0开始的整数。
· ipppn(n>=0)
  使用ISDN的同步PPP接口,n是从0开始的整数。
· isdnn(n>=0)
  ISDN(综合业务数字网)接口。不过ISDN接口的命名比较随意,只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC
encapsulation。
· plipn(n>=0)
  PLIP接口。使用PC并口的一种点到点IP连接协议。
2.2.IP流量监视
  执行IPTraf的IP Traffic Monitor菜单项或者使用-i命令行,你就可以使用IPTraf的IP流量监视功能。使用这个功能,你可以实时地监视在被监听网络接口上通过的所有报
文。IPTraf的监视器对IP报文进行解码,显示报文的特定信息,例如:源地址和目的地址。除此之外,它还可以辨别出IP封装的协议(例如:TCP、 UDP等),并显示这些协议的某些重要信息。
  IPTraf的IP流量监视器有两个显示窗口。每个窗口都可以使用小键盘的up、down键上下滚动。使用w可以切换活动的窗口。


















screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
2.2.1.IP流量监视器的上部窗口
2.2.1.1.IP流量监视器上部窗口显示内容
  IPTraf的流量监视器上部的的显示窗口显示当前的检测到的TCP连接。主要包括TCP连接的如下信息:
源地址和端口报文计数字节计数源MAC地址报文大小窗口(window)大小TCP标志(flag)网络接口

  使用up、down键滚动TCP窗口可以看到更多的连接信息。IPTraf的IP流量监视器不区分连接的客户端和服务器端。它可以在混杂模式下工作,监视局域网的连接状态。
  IP流量监视器显示两个方向的TCP流量,窗口最左边的是TCP连接的两端(以主机:端口的格式显示)。为了方便显示,每个TCP连接对都使用[连接到了一起。
  IP流量监视器上部窗口的每个条目都包括如下域,注意:在默认情况下,有些域是不显示的,要按m键才能显示:
源地址。端口(Source
address and port)

  以源地址:端口的格式显示。表示数据的来源。目的地址和端口是[另一头的源地址:端口对。
报文计数(Packet
count)

  接收到的报文数目。
字节计数(Byte
count)

  收到的字节数。这个数目包括IP、TCP头信息和实际的数据。数据链路层的报头不包括在内。
MAC源地址(Source MAC address)

  投递这个报文的MAC地址。要使用这个功能首先要使用配置菜单(Configure)打开Source MAC addrs in traffic monitor功能,然后按m键就可以了。
报文大小(Packet
Size)

  最近收到报文的大小。要使用m键才能显示。这个值只是IP报文的大小,数据链路包头不包括在内。
窗口大小(Window
Size)

  最近收到报文的窗口大小。这个项也需要按M键盘才能显示。
标志状态(Flag
statuses)

  最近收到的报文的TCP标志
S

  同步标志(SYN),用于建立连接。S---表示发起连接,S-A-表示对连接请求的回应。
A

  确认有效标志(ACK)。
P

  PSH。本报文段请求一次推动(PUSH)。对于发送方,强制协议软件不等一个缓冲区填满就发送所有数据;对于接收方,使TCP不加延迟地将数据提供给应用程序。
U

  URG。表示这个报文包含紧急数据。
RESET

  RST。重置连接标志。
DONE

  FIN。发送放不再发送任何数据,关闭连接。
CLOSED

  FIN被另一端主机确认。
2.2.1.2.rvnamed进程
  在使用IP流量监视功能时,IPTraf会启动一个精灵进程rvnamed来加速域名反查的速度。在rvnamed的域名反查完成之 后,IPTraf就会使用报文来源的域名来代替IP地址。之所以在IPTraf中使用独一的域名反查程序是因为标准的域名反查调用会阻塞进程,直到域名反 查功能完成,比较浪费时间。
2.2.1.3.IP转发和IP地址伪装
  如果内核具有IP伪装功能,老版本的IPTraf需要处理警告信息。不过,新版本内核已经对IP转发和IP伪装功能进行了改写,IPTraf不再需要处理有关的错误信息了。因此,-q命令选项已经失去作用。
  对于没有IP地址伪装的IP转发,转发主机会在同一个TCP连接出现两次,不过进、出的网络接口是不同的;对于进行IP地址伪装的主机,每个TCP连接的两端分别是内部/外部网地址和接口。
2.2.1.4.连接的关闭(closed)、空闲(idle)和超时(time out)
  实际应用过程中,经常会出现一些被关闭、被重置,或者空闲时间很长的连接。如果这些连接太多,IPTraf会自动把活动的连接提到显示窗口的上 面。你还可以通过configure->timer->TCP
closed/idle persistence...配置菜单设置IPTraf自动清理这些连接的时间,或者使用f键手工清理。
2.2.1.5.显示条目排序
  你可以对上部窗口的显示条目进行排序。按s键可以显示一个排序菜单。按p键,会以报文的数量进行排序;按b键,会以字节数进行排序。
2.2.2.底部显示窗口
  IP流量监视器的底部显示窗口显示其它种类的网络流量。IPTraf支持以下协议:
用户数据报协议(User
Datagram Protocol,UDP)互联网控制报文协议(Internet
Control Message Protocol,ICMP) 开放式最短路径优先(Open
Shortest-Path First,OSPF)内部网关路由协议(Interior
Gateway Routing Protocol,IGRP)内部网关协议(Interior
Gateway Protocol,IGP)

· 互联网组管理协议(Internet Group Management Protocol,IGMP)
· General Routing Encapsulation
(GRE)
· 地址解析协议(Address Resolution Protocol, ARP)
· 反向地址解析协议(Reverse Address Resolution Protocol,RARP)
  另外,对于不认识的IP报文,IPTraf会显示其协议号;对于非IP报文IPTraf会在窗口中指出。在底部显示的条目中,UDP报文也以地址:端口的格式显示;ICMP条目包括ICMP协议类型。为了正确区分,每种协议都使用不同的颜色。
  底部显示窗口可以容纳512个条目。可以使用上下箭头键滚动。如果达到了512个条目,再有新的条目加入,最老的就会被丢掉。某些条目可能很长,你也可以使用左右键滚动显示。使用w切换两个显示窗口的活动状态。
  你如果打开了配置菜单(Configure)的Source MAC addrs in traffic
monitor功能,IPTraf也会显示收到的非IP报文的来源MAC地址。
2.3.网络接口的一般信息统计(General Interface
Statistics)

  主菜单的第二个菜单项是网络接口的一般统计功能(General Interface Statistics)。在其显示窗口中,IPTraf会显示被监视网络接口的一些一般统计信息,包括这些网络接口上通过的IP、非IP和坏IP(校验和
错误)报文的的数量。还有一个活动指示器显示每秒通过每个网络接口的报文数目,这个活动指示器使用Activity mode配置选项控制开/关的。如果你打开了日志功能(配置菜单的logging选项),所有的统计信息将被复制到/var/log/iptraf /iface_stats_general.log文件中。
  你可以按x或者q键回到主菜单。
2.4.网络接口的细节信息统计(Detailed Interface
Statistics)

  主菜单的第三个功能选项是网络接口的细节统计(Detailed Interface Statistics)功能。除了General
Interface Statistics选项提供的统计信息之外,Detailed Interface
Statistics选项还提供有关网络接口的其它一些更为详尽的统计信息。它提供如下统计信息:
IP报文数和字节数。TCP报文数和字节数UDP报文数和字节数ICMP报文数和字节数非IP类型的报文数和字节数其它IP类型的报文数和字节数校验和错误计数网络接口活动状态

  IP报文(IP、TCP、UDP、ICMP以及其它IP)的字节数包括IP包头和负载字节数,而数据链路包头不包括在内;在总(total)字节数和非IP报文计数数中包括数据链路包头的字节数。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image004.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
  你如果想直接启动网络接口的细节统计功能,可以使用如下命令:
#iptraf -d eth0(或者其它的网络接口)
  另外,你也可以打开日志功能,把网络接口的细节统计信息记录到日志文件中,默认的日志文件名是iface_stats_detailed-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
  这个功能也是按x或者q键回到主菜单。
2.5.统计分析(Statistical Breakdowns)
  使用IPTraf的统计分析(Statistical Breakdowns)功能,可以帮助你优化网络设置和监视网络的安全问题。IPTraf的统计分析包括:报文大小分析和TCP/UDP端口分析。
2.5.1.报文大小分析(Statistical Breakdown: Packet
Sizes)

  在主菜单的选择:Statistical Breakdowns->By packet size就可以进入报文大小分析界面。在老版本的IPTraf中,这个功能属于网络接口细节统计(detailed interface
statistics),后来才独立出来。IPTraf根据网络接口{zd0}传输单元(Maximum Transmission Unit,MTU)的大小,划分出20个范围,统计报文大小的分布情况。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image006.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
  你也可以打开日志功能,把报文大小分布信息记录到日志文件中,默认的日志文件名是packet_size-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
  另外,使用以下命令行可以直接进入报文大小分析界面:
#iptraf -z eth0
  按x或者Ctrl X键退出。
2.5.2.TCP/UDP流量分析
  IPTraf也可以对流过每个端口(小于1024)的TCP/UDP报文数量进行统计。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image008.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
  注意:显示窗口显示的字节数包括IP包头和IP负载,不包括数据链路头。为了便于区分,TCP和UDP的颜色有所区别,TCP使用黄色,UDP使用绿色。
  一些网络程序使用大于1023的端口。例如:有些WEB服务器使用8080端口;htts使用443端口。在默认设置中,IPTraf不对这些端口的流量进行统计。你可以使用Configure->Additional
port...菜单项填加另外的端口。
  如果你打开了日志功能,TCP/UDP流量分析的默认日志文件是/var/log/iptraf/tcp_udp_services-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
  你也可以对显示条目进行排序。按s键可以显示一个排序菜单;按p键,会以报文的数量进行排序;按b键,会以字节数进行排序;按T键,以进入的报 文数排序;按O键,以进入的字节数排序;按F键,以向外的报文数进行排序;按M键,以向外的字节数进行排序;按任意键取消排序。
  另外,使用如下命令可以直接进入TCP/UDP流量分析界面:
#iptraf -s eth0
  按x或者Ctrl X键返回主菜单或者退出。
2.6.局域网工作站统计(LAN Station Statistics)
  使用IPTraf的局域网工作站统计功能(LAN Station Statistics),你可以得到局域网节点(在混杂模式下能够监听到的节点,如果是交换网络可能无法实现)流入、流出的报文数量,这项功能对于以太
网、FDDI、PLIP有效,但是不能用于本地回环(lo)、ISDN和SLIP/PPP网络。统计信息包括:
进入的报文数目流入IP报文数流入总字节数流入速率流出报文总数

· 流出报文数
· 流出总字节数
· 流出速率。
  这里的字节数包括数据链路层包头。速率的单位可以是kbits/s或者kbytes/s,由Activity
mode配置选项决定。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image009.gif');}" onmousewheel="return imgzoom(this);" alt="" />
  你如果打开了日志功能,所有的统计信息就会被保存到/var/log/iptraf/lan_statistics-n.log文件中,n是实例号(iptraf可以在同一台主机上运行多次切互不干扰)。
  为了管理方便,你也IPTraf局域网工作站统计功能的显示窗口内的条目进行排序。按s就可以弹出一个排序对话。,然后,按P键,以流入的报文 数进行排序;按I键,以流入的IP报文数排序;按B键,以流入的字节数进行排序;按K键盘,以流出的报文数排序;按O键,以流出的IP报文数排序;按Y 键,以流出的字节数排序。按任意键取消排序。
  按X或者Q键盘可以从局域网工作站统计显示界面退出到主菜单。使用以下命令行可以直接进入局域网工作站统计显示界面:
#iptraf
-e



郑重声明:资讯 【IPTraf网络监控二_快乐+rose_百度空间】由 发布,版权归原作者及其所在单位,其原创性以及文中陈述文字和内容未经(企业库qiyeku.com)证实,请读者仅作参考,并请自行核实相关内容。若本文有侵犯到您的版权, 请你提供相关证明及申请并与我们联系(qiyeku # qq.com)或【在线投诉】,我们审核后将会尽快处理。
—— 相关资讯 ——