作者:nixe0n
简介
1.安装
1.1.系统需求
1.2.安装
1.3.启动IPTraf
1.4.命令行选项
1.5.进入菜单界面
2.使用IPTraf
2.1.一般信息
2.2.IP流量监视
2.3.网络接口的一般信息统计(General Interface Statistics)
2.4.网络接口的细节信息统计(Detailed Interface Statistics)
2.5.统计分析(Statistical Breakdowns)
2.6.局域网工作站统计(LAN Station Statistics)
3.显示过滤器(Display Filter)
3.1.TCP过滤器(TCP Filters)
3.2.其它协议过滤器
4.IPTraf配置
4.1.开关选项
4.2.时钟选项(Timers)
4.3.信息定置选项
4.4.局域网工作站标志符(LAN Station Identifiers)
简介
IPTraf是一个IP网络监控工具。它拦截网络上的报文,给出报文各个部分的信息。IPTraf能够返回的信息包括:
IP、TCP、UDP、ICMP报文总数和非IP字节数。
TCP连接的源/目的地址和源/目的端口。
TCP报文数和字节数。
TCP标志状态。
UDP源/目的信息。
ICMP类型信息。
OSPF源/目的信息。
TCP和UDP服务统值。
网络接口报文计数。
网络接口IP校验和错误数目。
网络接口活动指示器。
LAN统计
IPTraf能够用于监视IP网络的负载。IPTraf使用Linux内核的内置原始(raw)包捕获接口,可以广泛地用于以太网卡,支持FDDI适配器、ISDN适配器以及任何异步SLIP/PPP接口。
1.安装
1.1.系统需求
编译、使用IPTraf需要具备以下条件:
80386或者更好的计算机(要求不高:P),自然是配置越高越好。配置越好,越不容易发生丢包现象。IPTraf可能也可以用于其它体系的处理器(SPARC、Alpha、M68K、PowerPC等),不过没有测试过。
Linux 2.2.0以及更新版本内核
注意:你如果使用自己编译的内核,要打开 Packet Socket内核编译选项,否则IPTraf就无法执行。
8M以上的内存,16M以上的虚拟内存。多多益善。
GNU C动态库。预编译的程序不需要ncurses动态库。如果你要自己编译,需要ncurses和panels动态库。
/usr/share/terminfo内的Terminfo数据库。
控制台或者高速终端。
以太网、FDDI、ISDN、PLIP或者异步SLIP/PPP接口。
IPTraf不需要X Window系统。
1.2.安装
你可以从http://iptraf.seul.org下载IPTraf。然后使用如下命令安装IPTraf:
解压文件
#tar zxvf Iptraf-2.4.0.tar.gz
#cd iptraf-x.y.z
执行setup脚本,这一步要以root的权限进行,setup会自动编译并把IPTraf安装到/usr/local/bin目录中,同时也会建立其它的目录:
./Setup
1.3.启动IPTraf
安全完成之后,只要在shell中输入:
#iptraf
就可以启动IPTraf。首先你将看到版权声明,按任意键后就进入了主菜单。注意:使用iptraf需要root权限。IPTraf需要引用/usr/share/terminfo目录中的终端信息数据库,因此如果这个目录位于其它的位置,IPTraf将输出"Error opening terminal"错误信息之后,启动失败。一般在Slackware中可能出现这种错误,因为在Slackware发布中,terminfo一般位于/usr/lib/terminfo。这种情况可以通过如下方式解决:
#TERMINFO=/usr/lib/terminfo
#export TERMINFO
或者填加一个连接:
#ln -s /usr/lib/terminfo /usr/share/terminfo
另外,成IPTraf目前还不支持SIGWINCH处理功能,在xterm或者其它的终端启动iptraf,如果终端的大小改变,IPTraf自己不会调节自己的大小。
1.4.命令行选项
与大多数UNIX系统的命令一样,IPTraf还支持一些命令行参数,虽然不多。以下是iptraf支持的所有功能选项:
-i 网络接口
让IPTraf监视特定的网络接口,例如:eth0。-i all表示监视系统的所有网络接口。
-g
网络接口的一般统计信息。
-d 网络接口
显示特定网络接口的详细统计信息。
-s 网络接口
对特定网络接口的TCP/UDP数据流量进行监视。
-z 网络接口
监视局域网的特定网络接口。-l all表示全部。
-t timeout
使IPTraf在指定的时间后,自动退出。如果没有设置IPTraf就会一直运行,直到用户按下退出键(x)才退出。
-B
使IPTraf在后台运行。单独使用无效(被忽略直接进入菜单界面),只能和-i、-g、-d、-s、-z、-l中的某个参数一块使用。
-L filename
如果使用-B参数,使用-L filename使IPTraf把日志信息写入其它的文件(filename)中。如果filename不包括文件的绝对路径,就把文件放在默认的日志目录(/var/log/iptraf)。
-q
这个参数现在已经不用了。原来,如果IPTraf运行在使用IP地址伪装(IP Masquerading)的内核上时,会出现大量的警告信息。现在新版的IP Masquerading代码已经没有这个问题了。
-f
使IPTraf强制清除所有的加锁文件,重置所有实例计数器。
-h
显示简短的帮助信息
1.5.进入菜单界面
前面已经讲过,不使用任何参数运行IPTraf就会进入菜单界面。使用上、下箭头键移动菜单选择条。还可以使用每个菜单项中加亮的字母作为运行某个菜单选项的快捷键。
2.使用IPTraf
2.1.一般信息
2.1.1.数字表示
IPTraf能够计量接通过的报文数和字节数。因为数字的增长会很快,所以IPTraf使用了一些符号来表示较大的数字,这些符号包括:K(1x10E3)、M(1x10E6)、G(1x10E9、T(1x10E12)。这些符号和它们通常表示的数目不一样。例如:
1024K=1024000
1024M=1024000000
1024G=1024000000000
1024T=1024000000000000
2.1.2.实例和日志
IPTraf允许同时运行多个进程,但是一次只有一个进程监听某个或者所有的网络接口。不过一般接口统计(General Interface Statistics)功能除外,一次只能有一个进程执行这个操作。
IPTraf的这个特性带来了一个问题,每个进程都要产生日志文件。如果你打开了IPTraf的日志功能,在你使用某个功能时,它都会提示你设置日志文件的名字。这时,你需要自己指定每个示例的日志文件。如果日志文件发生冲突,可能会有无法预料的事情发生。如果你没有指定日志文件的绝对路径,它们就会被记录到默认的日志目录:/var/log/iptraf。
2.1.3.支持的网络接口
IPTraf目前支持如下网络接口:
lo
本机回环接口。每台机器都有这个接口,IP地址是127.0.0.1。
ethn(n=0)
以太网接口,n是从0开始的整数。eth0是第一个以太网接口,eth1是第二个网络接口。
fddin(n=0)
FDDI(光纤分布式数字接口)接口,n是从0开始的整数。
pppn(n=0)
PPP(点到点协议)接口,n是从0开始的整数。
slin(n=0)
SLIP(串行线路接口协议)接口,n是从0开始的整数。
ipppn(n=0)
使用ISDN的同步PPP接口,n是从0开始的整数。
isdnn(n=0)
ISDN(综合业务数字网)接口。不过ISDN接口的命名比较随意,只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC encapsulation。
plipn(n=0)
PLIP接口。使用PC并口的一种点到点IP连接协议。
2.2.IP流量监视
执行IPTraf的IP Traffic Monitor菜单项或者使用-i命令行,你就可以使用IPTraf的IP流量监视功能。使用这个功能,你可以实时地监视在被监听网络接口上通过的所有报文。IPTraf的监视器对IP报文进行解码,显示报文的特定信息,例如:源地址和目的地址。除此之外,它还可以辨别出IP封装的协议(例如:TCP、UDP等),并显示这些协议的某些重要信息。
IPTraf的IP流量监视器有两个显示窗口。每个窗口都可以使用小键盘的up、down键上下滚动。使用w可以切换活动的窗口。
2.2.1.IP流量监视器的上部窗口
2.2.1.1.IP流量监视器上部窗口显示内容
IPTraf的流量监视器上部的的显示窗口显示当前的检测到的TCP连接。主要包括TCP连接的如下信息:
源地址和端口
报文计数
字节计数
源MAC地址
报文大小
窗口(window)大小
TCP标志(flag)
网络接口
使用up、down键滚动TCP窗口可以看到更多的连接信息。IPTraf的IP流量监视器不区分连接的客户端