1.3.启动IPTraf
安全完成之后,只要在shell中输入:
#iptraf
就可以启动IPTraf。首先你将看到版权声明,按任意键后就进入了主菜单。注意:使用iptraf需要root权限。IPTraf需要引用/usr/share/terminfo目录中的终端信息数据库,因此如果这个目录位于其它的位置,IPTraf将输出"Error opening terminal"错误信息之后,启动失败。一般在Slackware中可能出现这种错误,因为在Slackware发布中,terminfo一般位于/usr/lib/terminfo。这种情况可以通过如下方式解决:
#TERMINFO=/usr/lib/terminfo
#export TERMINFO
或者填加一个连接:
#ln -s /usr/lib/terminfo /usr/share/terminfo
另外,成IPTraf目前还不支持SIGWINCH处理功能,在xterm或者其它的终端启动iptraf,如果终端的大小改变,IPTraf自己不会调节自己的大小。
1.4.命令行选项
与大多数UNIX系统的命令一样,IPTraf还支持一些命令行参数,虽然不多。以下是iptraf支持的所有功能选项:
-i 网络接口
让IPTraf监视特定的网络接口,例如:eth0。-i all表示监视系统的所有网络接口。
-g
网络接口的一般统计信息。
-d 网络接口
显示特定网络接口的详细统计信息。
-s 网络接口
对特定网络接口的TCP/UDP数据流量进行监视。
-z 网络接口
监视局域网的特定网络接口。-l all表示全部。
-t timeout
使IPTraf在指定的时间后,自动退出。如果没有设置IPTraf就会一直运行,直到用户按下退出键(x)才退出。
-B
使IPTraf在后台运行。单独使用无效(被忽略直接进入菜单界面),只能和-i、-g、-d、-s、-z、-l中的某个参数一块使用。
-L filename
如果使用-B参数,使用-L filename使IPTraf把日志信息写入其它的文件(filename)中。如果filename不包括文件的绝对路径,就把文件放在默认的日志目录(/var/log/iptraf)。
-q
这个参数现在已经不用了。原来,如果IPTraf运行在使用IP地址伪装(IP Masquerading)的内核上时,会出现大量的警告信息。现在新版的IP Masquerading代码已经没有这个问题了。
-f
使IPTraf强制清除所有的加锁文件,重置所有实例计数器。
-h
显示简短的帮助信息
1.5.进入菜单界面
前面已经讲过,不使用任何参数运行IPTraf就会进入菜单界面。使用上、下箭头键移动菜单选择条。还可以使用每个菜单项中加亮的字母作为运行某个菜单选项的快捷键。
2.使用IPTraf
2.1.一般信息
2.1.1.数字表示
IPTraf能够计量接通过的报文数和字节数。因为数字的增长会很快,所以IPTraf使用了一些符号来表示较大的数字,这些符号包括:K(1x10E3)、M(1x10E6)、G(1x10E9、T(1x10E12)。这些符号和它们通常表示的数目不一样。例如:
1024K=1024000
1024M=1024000000
1024G=1024000000000
1024T=1024000000000000
2.1.2.实例和日志
IPTraf允许同时运行多个进程,但是一次只有一个进程监听某个或者所有的网络接口。不过一般接口统计(General Interface Statistics)功能除外,一次只能有一个进程执行这个操作。
IPTraf的这个特性带来了一个问题,每个进程都要产生日志文件。如果你打开了IPTraf的日志功能,在你使用某个功能时,它都会提示你设置日志文件的名字。这时,你需要自己指定每个示例的日志文件。如果日志文件发生冲突,可能会有无法预料的事情发生。如果你没有指定日志文件的绝对路径,它们就会被记录到默认的日志目录:/var/log/iptraf。
2.1.3.支持的网络接口
IPTraf目前支持如下网络接口:
lo
本机回环接口。每台机器都有这个接口,IP地址是127.0.0.1。
ethn(n>=0)
以太网接口,n是从0开始的整数。eth0是第一个以太网接口,eth1是第二个网络接口。
fddin(n>=0)
FDDI(光纤分布式数字接口)接口,n是从0开始的整数。
pppn(n>=0)
PPP(点到点协议)接口,n是从0开始的整数。
slin(n>=0)
SLIP(串行线路接口协议)接口,n是从0开始的整数。
ipppn(n>=0)
使用ISDN的同步PPP接口,n是从0开始的整数。
isdnn(n>=0)
ISDN(综合业务数字网)接口。不过ISDN接口的命名比较随意,只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC encapsulation。
plipn(n>=0)
PLIP接口。使用PC并口的一种点到点IP连接协议。
2.2.IP流量监视
执行IPTraf的IP Traffic Monitor菜单项或者使用-i命令行,你就可以使用IPTraf的IP流量监视功能。使用这个功能,你可以实时地监视在被监听网络接口上通过的所有报文。IPTraf的监视器对IP报文进行解码,显示报文的特定信息,例如:源地址和目的地址。除此之外,它还可以辨别出IP封装的协议(例如:TCP、UDP等),并显示这些协议的某些重要信息。
IPTraf的IP流量监视器有两个显示窗口。每个窗口都可以使用小键盘的up、down键上下滚动。使用w可以切换活动的窗口。
2.2.1.IP流量监视器的上部窗口
2.2.1.1.IP流量监视器上部窗口显示内容
IPTraf的流量监视器上部的的显示窗口显示当前的检测到的TCP连接。主要包括TCP连接的如下信息:
源地址和端口
报文计数
字节计数
源MAC地址
报文大小
窗口(window)大小
TCP标志(flag)
网络接口
使用up、down键滚动TCP窗口可以看到更多的连接信息。IPTraf的IP流量监视器不区分连接的客户端和服务器端。它可以在混杂模式下工作,监视局域网的连接状态。
IP流量监视器显示两个方向的TCP流量,窗口最左边的是TCP连接的两端(以主机:端口的格式显示)。为了方便显示,每个TCP连接对都使用[连接到了一起。
IP流量监视器上部窗口的每个条目都包括如下域,注意:在默认情况下,有些域是不显示的,要按m键才能显示:
源地址。端口(Source address and port)
以源地址:端口的格式显示。表示数据的来源。目的地址和端口是[另一头的源地址:端口对。
报文计数(Packet count)
接收到的报文数目。
字节计数(Byte count)
收到的字节数。这个数目包括IP、TCP头信息和实际的数据。数据链路层的报头不包括在内。
MAC源地址(Source MAC address)
投递这个报文的MAC地址。要使用这个功能首先要使用配置菜单(Configure)打开Source MAC addrs in traffic monitor功能,然后按m键就可以了。
报文大小(Packet Size)
最近收到报文的大小。要使用m键才能显示。这个值只是IP报文的大小,数据链路包头不包括在内。
窗口大小(Window Size)
最近收到报文的窗口大小。这个项也需要按M键盘才能显示。
标志状态(Flag statuses)
最近收到的报文的TCP标志
S
同步标志(SYN),用于建立连接。S---表示发起连接,S-A-表示对连接请求的回应。
A
确认有效标志(ACK)。
P
PSH。本报文段请求一次推动(PUSH)。对于发送方,强制协议软件不等一个缓冲区填满就发送所有数据;对于接收方,使TCP不加延迟地将数据提供给应用程序。
U
URG。表示这个报文包含紧急数据。
RESET
RST。重置连接标志。
DONE
FIN。发送放不再发送任何数据,关闭连接。
CLOSED
FIN被另一端主机确认。
2.2.1.2.rvnamed进程
在使用IP流量监视功能时,IPTraf会启动一个精灵进程rvnamed来加速域名反查的速度。在rvnamed的域名反查完成之后,IPTraf就会使用报文来源的域名来代替IP地址。之所以在IPTraf中使用独一的域名反查程序是因为标准的域名反查调用会阻塞进程,直到域名反查功能完成,比较浪费时间。
2.2.1.3.IP转发和IP地址伪装
如果内核具有IP伪装功能,老版本的IPTraf需要处理警告信息。不过,新版本内核已经对IP转发和IP伪装功能进行了改写,IPTraf不再需要处理有关的错误信息了。因此,-q命令选项已经失去作用。
对于没有IP地址伪装的IP转发,转发主机会在同一个TCP连接出现两次,不过进、出的网络接口是不同的;对于进行IP地址伪装的主机,每个TCP连接的两端分别是内部/外部网地址和接口。
2.2.1.4.连接的关闭(closed)、空闲(idle)和超时(time out)
实际应用过程中,经常会出现一些被关闭、被重置,或者空闲时间很长的连接。如果这些连接太多,IPTraf会自动把活动的连接提到显示窗口的上面。你还可以通过configure->timer->TCP closed/idle persistence...配置菜单设置IPTraf自动清理这些连接的时间,或者使用f键手工清理。