作者:nixe0n 簡介 1.安裝 1.1.系統需求 1.2.安裝 1.3.啟動IPTraf 1.4.命令行選項 1.5.進入菜單界面 2.使用IPTraf 2.1.一般信息 2.2.IP流量監視 2.3.網絡接口的一般信息統計(General Interface Statistics) 2.4.網絡接口的細節信息統計(Detailed Interface Statistics) 2.5.統計分析(Statistical Breakdowns) 2.6.局域網工作站統計(LAN Station Statistics) 3.顯示過濾器(Display Filter) 3.1.TCP過濾器(TCP Filters) 3.2.其它協議過濾器 4.IPTraf配置 4.1.開關選項> 4.2.時鐘選項(Timers) 4.3.信息定置選項 4.4.局域網工作站標志符(LAN Station Identifiers) 簡介 IPTraf是一個IP網絡監控工具。它攔截網絡上的報文,給出報文各個部分的信息。IPTraf能夠返回的信息包括: IP、TCP、UDP、ICMP報文總數和非IP字節數。 TCP連接的源/目的地址和源/目的端口。 TCP報文數和字節數。 TCP標志狀態。 UDP源/目的信息。 ICMP類型信息。 OSPF源/目的信息。 TCP和UDP服務統值。 網絡接口報文計數。 網絡接口IP校驗和錯誤數目。 網絡接口活動指示器。 LAN統計 IPTraf能夠用於監視IP網絡的負載。IPTraf使用Linux內核的內置原始(raw)包捕獲接口,可以廣泛地用於以太網卡,支持FDDI適配器、ISDN適配器以及任何異步SLIP/PPP接口。 1.安裝 1.1.系統需求 編譯、使用IPTraf需要具備以下條件: 80386或者更好的計算機(要求不高:P),自然是配置越高越好。配置越好,越不容易發生丟包現象。IPTraf可能也可以用於其它體系的處理器(SPARC、Alpha、M68K、PowerPC等),不過沒有測試過。 Linux 2.2.0以及更新版本內核 注意:你如果使用自己編譯的內核,要打開 Packet Socket內核編譯選項,否則IPTraf就無法執行。 8M以上的內存,16M以上的虛擬內存。多多益善。 GNU C動態庫。預編譯的程序不需要ncurses動態庫。如果你要自己編譯,需要ncurses和panels動態庫。 /usr/share/terminfo內的Terminfo數據庫。 控制台或者高速終端。 以太網、FDDI、ISDN、PLIP或者異步SLIP/PPP接口。 IPTraf不需要X Window系統。 1.2.安裝 你可以從http://iptraf.seul.org下載IPTraf。然後使用如下命令安裝IPTraf: 解壓文件 #tar zxvf Iptraf-2.4.0.tar.gz #cd iptraf-x.y.z 執行setup腳本,這一步要以root的權限進行,setup會自動編譯並把IPTraf安裝到/usr/local/bin目錄中,同時也會建立其它的目錄: ./Setup 1.3.啟動IPTraf 安全完成之後,只要在shell中輸入: #iptraf 就可以啟動IPTraf。首先你將看到版權聲明,按任意鍵後就進入了主菜單。注意:使用iptraf需要root權限。IPTraf需要引用/usr/share/terminfo目錄中的終端信息數據庫,因此如果這個目錄位於其它的位置,IPTraf將輸出"Error opening terminal"錯誤信息之後,啟動失敗。一般在Slackware中可能出現這種錯誤,因為在Slackware發布中,terminfo一般位於/usr/lib/terminfo。這種情況可以通過如下方式解決: #TERMINFO=/usr/lib/terminfo #eXPort TERMINFO 或者填加一個連接: #ln -s /usr/lib/terminfo /usr/share/terminfo 另外,成IPTraf目前還不支持SIGWINCH處理功能,在xterm或者其它的終端啟動iptraf,如果終端的大小改變,IPTraf自己不會調節自己的大小。 1.4.命令行選項 與大多數UNIX系統的命令一樣,IPTraf還支持一些命令行參數,雖然不多。以下是iptraf支持的所有功能選項: -i 網絡接口 讓IPTraf監視特定的網絡接口,例如:eth0。-i all表示監視系統的所有網絡接口。 -g 網絡接口的一般統計信息。 -d 網絡接口 顯示特定網絡接口的詳細統計信息。 -s 網絡接口 對特定網絡接口的TCP/UDP數據流量進行監視。 -z 網絡接口 監視局域網的特定網絡接口。-l all表示全部。 -t timeout 使IPTraf在指定的時間後,自動退出。如果沒有設置IPTraf就會一直運行,直到用戶按下退出鍵(x)才退出。 -B 使IPTraf在後台運行。單獨使用無效(被忽略直接進入菜單界面),只能和-i、-g、-d、-s、-z、-l中的某個參數一塊使用。 -L filename 如果使用-B參數,使用-L filename使IPTraf把日志信息寫入其它的文件(filename)中。如果filename不包括文件的絕對路徑,就把文件放在默認的日志目錄(/var/log/iptraf)。 -q 這個參數現在已經不用了。原來,如果IPTraf運行在使用IP地址偽裝(IP Masquerading)的內核上時,會出現大量的警告信息。現在新版的IP Masquerading代碼已經沒有這個問題了。 -f 使IPTraf強制清除所有的加鎖文件,重置所有實例計數器。 -h 顯示簡短的幫助信息 1.5.進入菜單界面 前面已經講過,不使用任何參數運行IPTraf就會進入菜單界面。使用上、下箭頭鍵移動菜單選擇條。還可以使用每個菜單項中加亮的字母作為運行某個菜單選項的快捷鍵。 2.使用IPTraf 2.1.一般信息 2.1.1.數字表示 IPTraf能夠計量接通過的報文數和字節數。因為數字的增長會很快,所以IPTraf使用了一些符號來表示較大的數字,這些符號包括:K(1x10E3)、M(1x10E6)、G(1x10E9、T(1x10E12)。這些符號和它們通常表示的數目不一樣。例如: 1024K=1024000 1024M=1024000000 1024G=1024000000000 1024T=1024000000000000 2.1.2.實例和日志 IPTraf允許同時運行多個進程,但是一次只有一個進程監聽某個或者所有的網絡接口。不過一般接口統計(General Interface Statistics)功能除外,一次只能有一個進程執行這個操作。 IPTraf的這個特性帶來了一個問題,每個進程都要產生日志文件。如果你打開了IPTraf的日志功能,在你使用某個功能時,它都會提示你設置日志文件的名字。這時,你需要自己指定每個示例的日志文件。如果日志文件發生沖突,可能會有無法預料的事情發生。如果你沒有指定日志文件的絕對路徑,它們就會被記錄到默認的日志目錄:/var/log/iptraf。 2.1.3.支持的網絡接口 IPTraf目前支持如下網絡接口: lo 本機回環接口。每台機器都有這個接口,IP地址是127.0.0.1。 ethn(n>=0) 以太網接口,n是從0開始的整數。eth0是第一個以太網接口,eth1是第二個網絡接口。 fddin(n>=0) FDDI(光纖分布式數字接口)接口,n是從0開始的整數。 pppn(n>=0) PPP(點到點協議)接口,n是從0開始的整數。 slin(n>=0) SLIP(串行線路接口協議)接口,n是從0開始的整數。 ipppn(n>=0) 使用ISDN的同步PPP接口,n是從0開始的整數。 isdnn(n>=0) ISDN(綜合業務數字網)接口。不過ISDN接口的命名比較隨意,只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC encapsulation。 plipn(n>=0) PLIP接口。使用PC並口的一種點到點IP連接協議。 2.2.IP流量監視 執行IPTraf的IP Traffic Monitor菜單項或者使用-i命令行,你就可以使用IPTraf的IP流量監視功能。使用這個功能,你可以實時地監視在被監聽網絡接口上通過的所有報文。IPTraf的監視器對IP報文進行解碼,顯示報文的特定信息,例如:源地址和目的地址。除此之外,它還可以辨別出IP封裝的協議(例如:TCP、UDP等),並顯示這些協議的某些重要信息。 IPTraf的IP流量監視器有兩個顯示窗口。每個窗口都可以使用小鍵盤的up、down鍵上下滾動。使用w可以切換活動的窗口。 2.2.1.IP流量監視器的上部窗口 2.2.1.1.IP流量監視器上部窗口顯示內容 IPTraf的流量監視器上部的的顯示窗口顯示當前的檢測到的TCP連接。主要包括TCP連接的如下信息: 源地址和端口 報文計數 字節計數 源MAC地址 報文大小 窗口(window)大小 TCP標志(flag) 網絡接口 使用up、down鍵滾動TCP窗口可以看到更多的連接信息。IPTraf的IP流量監視器不區分連接的客戶端