網路監控-iptraf安裝配置使用中文文件
阿新 • • 發佈:2018-12-16
iptraf
就可以啟動IPTraf。首先你將看到版權宣告,按任意鍵後就進入了主選單。注意:使用iptraf需要root許可權。IPTraf需要引用/usr/share/terminfo目錄中的終端資訊資料庫,因此如果這個目錄位於其它的位置,IPTraf將輸出"Error opening terminal"錯誤資訊之後,啟動失敗。一般在Slackware中可能出現這種錯誤,因為在Slackware釋出中,terminfo一般位於/usr/lib/terminfo。這種情況可以通過如下方式解決:
#TERMINFO=/usr/lib/terminfo
#export TERMINFO
或者填加一個連線:
#ln -s /usr/lib/terminfo /usr/share/terminfo 另外,成IPTraf目前還不支援SIGWINCH處理功能,在xterm或者其它的終端啟動iptraf,如果終端的大小改變,IPTraf自己不會調節自己的大小 。
1.4.命令列選項
與大多數UNIX系統的命令一樣,IPTraf還支援一些命令列引數,雖然不多。以下是iptraf支援的所有功能選項:
-i 網路介面
讓IPTraf監視特定的網路介面,例如:eth0。-i all表示監視系統的所有網路介面。
-g
網路介面的一般統計資訊。
-d 網路介面
顯示特定網路介面的詳細統計資訊。
-s 網路介面
對特定網路介面的TCP/UDP資料流量進行監視。
-z 網路介面
監視區域網的特定網路介面。-l all表示全部。
-t timeout
使IPTraf在指定的時間後,自動退出。如果沒有設定IPTraf就會一直執行,直到使用者按下退出鍵(x)才退出。
-B
使IPTraf在後臺執行。單獨使用無效(被忽略直接進入選單介面),只能和-i、-g、-d、-s、-z、-l中的某個引數一塊使用。
-L filename
如果使用-B引數,使用-L filename使IPTraf把日誌資訊寫入其它的檔案(filename)中。如果filename不包括檔案的絕對路徑,就把檔案放在預設的日誌目錄(/var/log/iptraf)。
-q
這個引數現在已經不用了。原來,如果IPTraf執行在使用IP地址偽裝(IP Masquerading)的核心上時,會出現大量的警告資訊。現在新版的IP Masquerading程式碼已經沒有這個問題了。
-f
使IPTraf強制清除所有的加鎖檔案,重置所有例項計數器。
-h
顯示簡短的幫助資訊
1.5.進入選單介面
前面已經講過,不使用任何引數執行IPTraf就會進入選單介面。使用上、下箭頭鍵移動選單選擇條。還可以使用每個選單項中加亮的字母作為執行某個選單選項的快捷鍵。
2.使用IPTraf
2.1.一般資訊
2.1.1.數字表示
IPTraf能夠計量接通過的報文數和位元組數。因為數字的增長會很快,所以IPTraf使用了一些符號來表示較大的數字,這些符號包括:K(1x10E3)、M(1x10E6)、G(1x10E9、T(1x10E12)。這些符號和它們通常表示的數目不一樣。例如:
1024K=1024000
1024M=1024000000
1024G=1024000000000
1024T=1024000000000000
2.1.2.例項和日誌
IPTraf允許同時執行多個程序,但是一次只有一個程序監聽某個或者所有的網路介面。不過一般介面統計(General Interface Statistics)功能除外,一次只能有一個程序執行這個操作。
IPTraf的這個特性帶來了一個問題,每個程序都要產生日誌檔案。如果你打開了IPTraf的日誌功能,在你使用某個功能時,它都會提示你設定日誌檔案的名字。這時,你需要自己指定每個示例的日誌檔案。如果日誌檔案發生衝突,可能會有無法預料的事情發生。如果你沒有指定日誌檔案的絕對路徑,它們就會被記錄到預設的日誌目錄:/var/log/iptraf。
2.1.3.支援的網路介面
IPTraf目前支援如下網路介面:
lo
本機迴環介面。每臺機器都有這個介面,IP地址是127.0.0.1。
ethn(n>=0)
乙太網介面,n是從0開始的整數。eth0是第一個乙太網介面,eth1是第二個網路介面。
fddin(n>=0)
FDDI(光纖分散式數字介面)介面,n是從0開始的整數。
pppn(n>=0)
PPP(點到點協議)介面,n是從0開始的整數。
slin(n>=0)
SLIP(序列線路介面協議)介面,n是從0開始的整數。
ipppn(n>=0)
使用ISDN的同步PPP介面,n是從0開始的整數。
isdnn(n>=0)
ISDN(綜合業務數字網)介面。不過ISDN介面的命名比較隨意,只有以isdnn命名才能被IPTraf使用。IPTraf支援同步PPP介面、原始IP和Cisco-HDLC encapsulation。
plipn(n>=0)
PLIP介面。使用PC並口的一種點到點IP連線協議。
2.2.IP流量監視
執行IPTraf的IP Traffic Monitor選單項或者使用-i命令列,你就可以使用IPTraf的IP流量監視功能。使用這個功能,你可以實時地監視在被監聽網路介面上通過的所有報文。IPTraf的監視器對IP報文進行解碼,顯示報文的特定資訊,例如:源地址和目的地址。除此之外,它還可以辨別出IP封裝的協議(例如:TCP、UDP等),並顯示這些協議的某些重要資訊。
IPTraf的IP流量監視器有兩個顯示視窗。每個視窗都可以使用小鍵盤的up、down鍵上下滾動。使用w可以切換活動的視窗。
2.2.1.IP流量監視器的上部視窗
2.2.1.1.IP流量監視器上部視窗顯示內容
IPTraf的流量監視器上部的的顯示視窗顯示當前的檢測到的TCP連線。主要包括TCP連線的如下資訊:
源地址和埠
報文計數
位元組計數
源MAC地址
報文大小
視窗(window)大小
TCP標誌(flag)
網路介面
使用up、down鍵滾動TCP視窗可以看到更多的連線資訊。IPTraf的IP流量監視器不區分連線的客戶端和伺服器端。它可以在混雜模式下工作,監視區域網的連線狀態。
IP流量監視器顯示兩個方向的TCP流量,視窗最左邊的是TCP連線的兩端(以主機:埠的格式顯示)。為了方便顯示,每個TCP連線對都使用[連線到了一起。
IP流量監視器上部視窗的每個條目都包括如下域,注意:在預設情況下,有些域是不顯示的,要按m鍵才能顯示:
源地址。埠(Source address and port)
以源地址:埠的格式顯示。表示資料的來源。目的地址和埠是[另一頭的源地址:埠對。
報文計數(Packet count)
接收到的報文數目。
位元組計數(Byte count)
收到的位元組數。這個數目包括IP、TCP頭資訊和實際的資料。資料鏈路層的報頭不包括在內。
MAC源地址(Source MAC address)
投遞這個報文的MAC地址。要使用這個功能首先要使用配置選單(Configure)開啟Source MAC addrs in traffic monitor功能,然後按m鍵就可以了。
報文大小(Packet Size)
最近收到報文的大小。要使用m鍵才能顯示。這個值只是IP報文的大小,資料鏈路包頭不包括在內。
視窗大小(Window Size)
最近收到報文的視窗大小。這個項也需要按M鍵盤才能顯示。
標誌狀態(Flag statuses)
最近收到的報文的TCP標誌
S
同步標誌(SYN),用於建立連線。S---表示發起連線,S-A-表示對連線請求的迴應。
A
確認有效標誌(ACK)。
P
PSH。本報文段請求一次推動(PUSH)。對於傳送方,強制協議軟體不等一個緩衝區填滿就傳送所有資料;對於接收方,使TCP不加延遲地將資料提供給應用程式。
U
URG。表示這個報文包含緊急資料。
RESET
RST。重置連線標誌。
DONE
FIN。傳送放不再發送任何資料,關閉連線。
CLOSED
FIN被另一端主機確認。
2.2.1.2.rvnamed程序
在使用IP流量監視功能時,IPTraf會啟動一個精靈程序rvnamed來加速域名反查的速度。在rvnamed的域名反查完成之後,IPTraf就會使用報文來源的域名來代替IP地址。之所以在IPTraf中使用獨一的域名反查程式是因為標準的域名反查呼叫會阻塞程序,直到域名反查功能完成,比較浪費時間。
2.2.1.3.IP轉發和IP地址偽裝
如果核心具有IP偽裝功能,老版本的IPTraf需要處理警告資訊。不過,新版本核心已經對IP轉發和IP偽裝功能進行了改寫,IPTraf不再需要處理有關的錯誤資訊了。因此,-q命令選項已經失去作用。
對於沒有IP地址偽裝的IP轉發,轉發主機會在同一個TCP連接出現兩次,不過進、出的網路介面是不同的;對於進行IP地址偽裝的主機,每個TCP連線的兩端分別是內部/外部網地址和介面。
2.2.1.4.連線的關閉(closed)、空閒(idle)和超時(time out)
實際應用過程中,經常會出現一些被關閉、被重置,或者空閒時間很長的連線。如果這些連線太多,IPTraf會自動把活動的連線提到顯示視窗的上面。你還可以通過configure->timer->TCP closed/idle persistence...配置選單設定IPTraf自動清理這些連線的時間,或者使用f鍵手工清理。
2.2.1.5.顯示條目排序
你可以對上部視窗的顯示條目進行排序。按s鍵可以顯示一個排序選單。按p鍵,會以報文的數量進行排序;按b鍵,會以位元組數進行排序。
2.2.2.底部顯示視窗
IP流量監視器的底部顯示視窗顯示其它種類的網路流量。IPTraf支援以下協議:
使用者資料報協議(User Datagram Protocol,UDP)
網際網路控制報文協議(Internet Control Message Protocol,ICMP)
開放式最短路徑優先(Open Shortest-Path First,OSPF)
內部閘道器路由協議(Interior Gateway Routing Protocol,IGRP)
內部閘道器協議(Interior Gateway Protocol,IGP)
網際網路組管理協議(Internet Group Management Protocol,IGMP)
General Routing Encapsulation (GRE)
地址解析協議(Address Resolution Protocol, ARP)
反向地址解析協議(Reverse Address Resolution Protocol,RARP)
另外,對於不認識的IP報文,IPTraf會顯示其協議號;對於非IP報文IPTraf會在視窗中指出。在底部顯示的條目中,UDP報文也以地址:埠的格式顯示;ICMP條目包括ICMP協議型別。為了正確區分,每種協議都使用不同的顏色。
底部顯示視窗可以容納512個條目。可以使用上下箭頭鍵滾動。如果達到了512個條目,再有新的條目加入,最老的就會被丟掉。某些條目可能很長,你也可以使用左右鍵滾動顯示。使用w切換兩個顯示視窗的活動狀態。
你如果打開了配置選單(Configure)的Source MAC addrs in traffic monitor功能,IPTraf也會顯示收到的非IP報文的來源MAC地址。
2.3.網路介面的一般資訊統計(General Interface Statistics)
主選單的第二個選單項是網路介面的一般統計功能(General Interface Statistics)。在其顯示視窗中,IPTraf會顯示被監視網路介面的一些一般統計資訊,包括這些網路介面上通過的IP、非IP和壞IP(校驗和錯誤)報文的的數量。還有一個活動指示器顯示每秒通過每個網路介面的報文數目,這個活動指示器使用Activity mode配置選項控制開/關的。如果你打開了日誌功能(配置選單的logging選項),所有的統計資訊將被複制到/var/log/iptraf/iface_stats_general.log檔案中。
你可以按x或者q鍵回到主選單。
2.4.網路介面的細節資訊統計(Detailed Interface Statistics)
主選單的第三個功能選項是網路介面的細節統計(Detailed Interface Statistics)功能。除了General Interface Statistics選項提供的統計資訊之外,Detailed Interface Statistics選項還提供有關網路介面的其它一些更為詳盡的統計資訊。它提供如下統計資訊:
IP報文數和位元組數。
TCP報文數和位元組數
UDP報文數和位元組數
ICMP報文數和位元組數
非IP型別的報文數和位元組數
其它IP型別的報文數和位元組數
校驗和錯誤計數
網路介面活動狀態
IP報文(IP、TCP、UDP、ICMP以及其它IP)的位元組數包括IP包頭和負載位元組數,而資料鏈路包頭不包括在內;在總(total)位元組數和非IP報文計數數中包括資料鏈路包頭的位元組數。
你如果想直接啟動網路介面的細節統計功能,可以使用如下命令:
#iptraf -d eth0(或者其它的網路介面)
另外,你也可以開啟日誌功能,把網路介面的細節統計資訊記錄到日誌檔案中,預設的日誌檔名是iface_stats_detailed-iface.log,其中iface以相關的網路裝置名(例如:eth0)代替。
這個功能也是按x或者q鍵回到主選單。
2.5.統計分析(Statistical Breakdowns)
使用IPTraf的統計分析(Statistical Breakdowns)功能,可以幫助你優化網路設定和監視網路的安全問題。IPTraf的統計分析包括:報文大小分析和TCP/UDP埠分析。
2.5.1.報文大小分析(Statistical Breakdown: Packet Sizes)
在主選單的選擇:Statistical Breakdowns->By packet size就可以進入報文大小分析介面。在老版本的IPTraf中,這個功能屬於網路介面細節統計(detailed interface statistics),後來才獨立出來。IPTraf根據網路介面最大傳輸單元(Maximum Transmission Unit,MTU)的大小,劃分出20個範圍,統計報文大小的分佈情況。
你也可以開啟日誌功能,把報文大小分佈資訊記錄到日誌檔案中,預設的日誌檔名是packet_size-iface.log,其中iface以相關的網路裝置名(例如:eth0)代替。
另外,使用以下命令列可以直接進入報文大小分析介面:
#iptraf -z eth0
按x或者Ctrl+X鍵退出。
2.5.2.TCP/UDP流量分析
IPTraf也可以對流過每個埠(小於1024)的TCP/UDP報文數量進行統計。