2.1.2.实例和日志
　　IPTraf允许同时运行多个进程，但是一次只有一个进程监听某个或者所有的网络接口。不过一般接口统计(General Interface Statistics)功能除外，一次只能有一个进程执行这个操作。
　　IPTraf的这个特性带来了一个问题，每个进程都要产生日志文件。如果你打开了IPTraf的日志功能，在你使用某个功能时，它都会提示你设
置日志文件的名字。这时，你需要自己指定每个示例的日志文件。如果日志文件发生冲突，可能会有无法预料的事情发生。如果你没有指定日志文件的{jd1}路径，它 们就会被记录到默认的日志目录：/var/log/iptraf。
2.1.3.支持的网络接口
　　IPTraf目前支持如下网络接口:
lo

　　本机回环接口。每台机器都有这个接口，IP地址是127.0.0.1。

· ethn(n>=0)
　　以太网接口，n是从0开始的整数。eth0是{dy}个以太网接口，eth1是第二个网络接口。
· fddin(n>=0)
　　FDDI(光纤分布式数字接口)接口，n是从0开始的整数。
· pppn(n>=0)
　　PPP(点到点协议)接口，n是从0开始的整数。
· slin(n>=0)
　　SLIP(串行线路接口协议)接口，n是从0开始的整数。
· ipppn(n>=0)
　　使用ISDN的同步PPP接口，n是从0开始的整数。
· isdnn(n>=0)
　　ISDN(综合业务数字网)接口。不过ISDN接口的命名比较随意，只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC
encapsulation。
· plipn(n>=0)
　　PLIP接口。使用PC并口的一种点到点IP连接协议。
2.2.IP流量监视
　　执行IPTraf的IP Traffic Monitor菜单项或者使用-i命令行，你就可以使用IPTraf的IP流量监视功能。使用这个功能，你可以实时地监视在被监听网络接口上通过的所有报
文。IPTraf的监视器对IP报文进行解码，显示报文的特定信息，例如：源地址和目的地址。除此之外，它还可以辨别出IP封装的协议(例如：TCP、 UDP等)，并显示这些协议的某些重要信息。
　　IPTraf的IP流量监视器有两个显示窗口。每个窗口都可以使用小键盘的up、down键上下滚动。使用w可以切换活动的窗口。


















screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image002.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
2.2.1.IP流量监视器的上部窗口
2.2.1.1.IP流量监视器上部窗口显示内容
　　IPTraf的流量监视器上部的的显示窗口显示当前的检测到的TCP连接。主要包括TCP连接的如下信息：
源地址和端口报文计数字节计数源MAC地址报文大小窗口(window)大小TCP标志(flag)网络接口

　　使用up、down键滚动TCP窗口可以看到更多的连接信息。IPTraf的IP流量监视器不区分连接的客户端和服务器端。它可以在混杂模式下工作，监视局域网的连接状态。
　　IP流量监视器显示两个方向的TCP流量，窗口最左边的是TCP连接的两端(以主机:端口的格式显示)。为了方便显示，每个TCP连接对都使用[连接到了一起。
　　IP流量监视器上部窗口的每个条目都包括如下域，注意：在默认情况下，有些域是不显示的，要按m键才能显示：
源地址。端口(Source
address and port)

　　以源地址:端口的格式显示。表示数据的来源。目的地址和端口是[另一头的源地址:端口对。
报文计数(Packet
count)

　　接收到的报文数目。
字节计数(Byte
count)

　　收到的字节数。这个数目包括IP、TCP头信息和实际的数据。数据链路层的报头不包括在内。
MAC源地址(Source MAC address)

　　投递这个报文的MAC地址。要使用这个功能首先要使用配置菜单(Configure)打开Source MAC addrs in traffic monitor功能，然后按m键就可以了。
报文大小(Packet
Size)

　　最近收到报文的大小。要使用m键才能显示。这个值只是IP报文的大小，数据链路包头不包括在内。
窗口大小(Window
Size)

　　最近收到报文的窗口大小。这个项也需要按M键盘才能显示。
标志状态(Flag
statuses)

　　最近收到的报文的TCP标志
S

　　同步标志(SYN)，用于建立连接。S---表示发起连接，S-A-表示对连接请求的回应。
A

　　确认有效标志(ACK)。
P

　　PSH。本报文段请求一次推动(PUSH)。对于发送方，强制协议软件不等一个缓冲区填满就发送所有数据；对于接收方，使TCP不加延迟地将数据提供给应用程序。
U

　　URG。表示这个报文包含紧急数据。
RESET

　　RST。重置连接标志。
DONE

　　FIN。发送放不再发送任何数据，关闭连接。
CLOSED

　　FIN被另一端主机确认。
2.2.1.2.rvnamed进程
　　在使用IP流量监视功能时，IPTraf会启动一个精灵进程rvnamed来加速域名反查的速度。在rvnamed的域名反查完成之 后，IPTraf就会使用报文来源的域名来代替IP地址。之所以在IPTraf中使用独一的域名反查程序是因为标准的域名反查调用会阻塞进程，直到域名反 查功能完成，比较浪费时间。
2.2.1.3.IP转发和IP地址伪装
　　如果内核具有IP伪装功能，老版本的IPTraf需要处理警告信息。不过，新版本内核已经对IP转发和IP伪装功能进行了改写，IPTraf不再需要处理有关的错误信息了。因此，-q命令选项已经失去作用。
　　对于没有IP地址伪装的IP转发，转发主机会在同一个TCP连接出现两次，不过进、出的网络接口是不同的；对于进行IP地址伪装的主机，每个TCP连接的两端分别是内部/外部网地址和接口。
2.2.1.4.连接的关闭(closed)、空闲(idle)和超时(time out)
　　实际应用过程中，经常会出现一些被关闭、被重置，或者空闲时间很长的连接。如果这些连接太多，IPTraf会自动把活动的连接提到显示窗口的上 面。你还可以通过configure->timer->TCP
closed/idle persistence...配置菜单设置IPTraf自动清理这些连接的时间，或者使用f键手工清理。
2.2.1.5.显示条目排序
　　你可以对上部窗口的显示条目进行排序。按s键可以显示一个排序菜单。按p键，会以报文的数量进行排序；按b键，会以字节数进行排序。
2.2.2.底部显示窗口
　　IP流量监视器的底部显示窗口显示其它种类的网络流量。IPTraf支持以下协议：
用户数据报协议(User
Datagram Protocol，UDP)互联网控制报文协议(Internet
Control Message Protocol，ICMP) 开放式最短路径优先(Open
Shortest-Path First，OSPF)内部网关路由协议(Interior
Gateway Routing Protocol,IGRP)内部网关协议(Interior
Gateway Protocol,IGP)

· 互联网组管理协议(Internet Group Management Protocol,IGMP)
· General Routing Encapsulation
(GRE)
· 地址解析协议(Address Resolution Protocol, ARP)
· 反向地址解析协议(Reverse Address Resolution Protocol,RARP)
　　另外，对于不认识的IP报文，IPTraf会显示其协议号；对于非IP报文IPTraf会在窗口中指出。在底部显示的条目中，UDP报文也以地址:端口的格式显示；ICMP条目包括ICMP协议类型。为了正确区分，每种协议都使用不同的颜色。
　　底部显示窗口可以容纳512个条目。可以使用上下箭头键滚动。如果达到了512个条目，再有新的条目加入，最老的就会被丢掉。某些条目可能很长，你也可以使用左右键滚动显示。使用w切换两个显示窗口的活动状态。
　　你如果打开了配置菜单(Configure)的Source MAC addrs in traffic
monitor功能，IPTraf也会显示收到的非IP报文的来源MAC地址。
2.3.网络接口的一般信息统计(General Interface
Statistics)
　　主菜单的第二个菜单项是网络接口的一般统计功能(General Interface Statistics)。在其显示窗口中，IPTraf会显示被监视网络接口的一些一般统计信息，包括这些网络接口上通过的IP、非IP和坏IP(校验和
错误)报文的的数量。还有一个活动指示器显示每秒通过每个网络接口的报文数目，这个活动指示器使用Activity mode配置选项控制开/关的。如果你打开了日志功能(配置菜单的logging选项)，所有的统计信息将被复制到/var/log/iptraf /iface_stats_general.log文件中。
　　你可以按x或者q键回到主菜单。
2.4.网络接口的细节信息统计(Detailed Interface
Statistics)
　　主菜单的第三个功能选项是网络接口的细节统计(Detailed Interface Statistics)功能。除了General
Interface Statistics选项提供的统计信息之外，Detailed Interface
Statistics选项还提供有关网络接口的其它一些更为详尽的统计信息。它提供如下统计信息：
IP报文数和字节数。TCP报文数和字节数UDP报文数和字节数ICMP报文数和字节数非IP类型的报文数和字节数其它IP类型的报文数和字节数校验和错误计数网络接口活动状态

　　IP报文(IP、TCP、UDP、ICMP以及其它IP)的字节数包括IP包头和负载字节数，而数据链路包头不包括在内；在总(total)字节数和非IP报文计数数中包括数据链路包头的字节数。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image004.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
　　你如果想直接启动网络接口的细节统计功能，可以使用如下命令：
#iptraf -d eth0(或者其它的网络接口)
　　另外，你也可以打开日志功能，把网络接口的细节统计信息记录到日志文件中，默认的日志文件名是iface_stats_detailed-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。
　　这个功能也是按x或者q键回到主菜单。
2.5.统计分析(Statistical Breakdowns)
　　使用IPTraf的统计分析(Statistical Breakdowns)功能，可以帮助你优化网络设置和监视网络的安全问题。IPTraf的统计分析包括：报文大小分析和TCP/UDP端口分析。
2.5.1.报文大小分析(Statistical Breakdown: Packet
Sizes)
　　在主菜单的选择：Statistical Breakdowns->By packet size就可以进入报文大小分析界面。在老版本的IPTraf中，这个功能属于网络接口细节统计(detailed interface
statistics)，后来才独立出来。IPTraf根据网络接口{zd0}传输单元(Maximum Transmission Unit，MTU)的大小，划分出20个范围，统计报文大小的分布情况。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image006.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
　　你也可以打开日志功能，把报文大小分布信息记录到日志文件中，默认的日志文件名是packet_size-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。
　　另外，使用以下命令行可以直接进入报文大小分析界面：
#iptraf -z eth0
　　按x或者Ctrl X键退出。
2.5.2.TCP/UDP流量分析
　　IPTraf也可以对流过每个端口(小于1024)的TCP/UDP报文数量进行统计。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image008.jpg');}" onmousewheel="return imgzoom(this);" alt="" />
　　注意：显示窗口显示的字节数包括IP包头和IP负载，不包括数据链路头。为了便于区分，TCP和UDP的颜色有所区别，TCP使用黄色，UDP使用绿色。
　　一些网络程序使用大于1023的端口。例如：有些WEB服务器使用8080端口；htts使用443端口。在默认设置中，IPTraf不对这些端口的流量进行统计。你可以使用Configure->Additional
port...菜单项填加另外的端口。
　　如果你打开了日志功能，TCP/UDP流量分析的默认日志文件是/var/log/iptraf/tcp_udp_services-iface.log，其中iface以相关的网络设备名(例如：eth0)代替。
　　你也可以对显示条目进行排序。按s键可以显示一个排序菜单；按p键，会以报文的数量进行排序；按b键，会以字节数进行排序；按T键，以进入的报 文数排序；按O键，以进入的字节数排序；按F键，以向外的报文数进行排序；按M键，以向外的字节数进行排序；按任意键取消排序。
　　另外，使用如下命令可以直接进入TCP/UDP流量分析界面：
#iptraf -s eth0
　　按x或者Ctrl X键返回主菜单或者退出。
2.6.局域网工作站统计(LAN Station Statistics)
　　使用IPTraf的局域网工作站统计功能(LAN Station Statistics)，你可以得到局域网节点(在混杂模式下能够监听到的节点，如果是交换网络可能无法实现)流入、流出的报文数量，这项功能对于以太
网、FDDI、PLIP有效，但是不能用于本地回环(lo)、ISDN和SLIP/PPP网络。统计信息包括：
进入的报文数目流入IP报文数流入总字节数流入速率流出报文总数

· 流出报文数
· 流出总字节数
· 流出速率。
　　这里的字节数包括数据链路层包头。速率的单位可以是kbits/s或者kbytes/s，由Activity
mode配置选项决定。

screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://file:///C:/DOCUME~1/twf/LOCALS~1/Temp/msohtml1/01/clip_image009.gif');}" onmousewheel="return imgzoom(this);" alt="" />
　　你如果打开了日志功能，所有的统计信息就会被保存到/var/log/iptraf/lan_statistics-n.log文件中，n是实例号(iptraf可以在同一台主机上运行多次切互不干扰)。
　　为了管理方便，你也IPTraf局域网工作站统计功能的显示窗口内的条目进行排序。按s就可以弹出一个排序对话。，然后，按P键，以流入的报文 数进行排序；按I键，以流入的IP报文数排序；按B键，以流入的字节数进行排序；按K键盘，以流出的报文数排序；按O键，以流出的IP报文数排序；按Y 键，以流出的字节数排序。按任意键取消排序。
　　按X或者Q键盘可以从局域网工作站统计显示界面退出到主菜单。使用以下命令行可以直接进入局域网工作站统计显示界面：
#iptraf
-e