2.2.1.5.显示条目排序
你可以对上部窗口的显示条目进行排序。按s键可以显示一个排序菜单。按p键,会以报文的数量进行排序;按b键,会以字节数进行排序。
2.2.2.底部显示窗口
IP流量监视器的底部显示窗口显示其它种类的网络流量。IPTraf支持以下协议:
用户数据报协议(User Datagram Protocol,UDP)
互联网控制报文协议(Internet Control Message Protocol,ICMP)
开放式最短路径优先(Open Shortest-Path First,OSPF)
内部网关路由协议(Interior Gateway Routing Protocol,IGRP)
内部网关协议(Interior Gateway Protocol,IGP)
互联网组管理协议(Internet Group Management Protocol,IGMP)
General Routing Encapsulation (GRE)
地址解析协议(Address Resolution Protocol, ARP)
反向地址解析协议(Reverse Address Resolution Protocol,RARP)
另外,对于不认识的IP报文,IPTraf会显示其协议号;对于非IP报文IPTraf会在窗口中指出。在底部显示的条目中,UDP报文也以地址:端口的格式显示;ICMP条目包括ICMP协议类型。为了正确区分,每种协议都使用不同的颜色。
底部显示窗口可以容纳512个条目。可以使用上下箭头键滚动。如果达到了512个条目,再有新的条目加入,最老的就会被丢掉。某些条目可能很长,你也可以使用左右键滚动显示。使用w切换两个显示窗口的活动状态。
你如果打开了配置菜单(Configure)的Source MAC addrs in traffic monitor功能,IPTraf也会显示收到的非IP报文的来源MAC地址。
2.3.网络接口的一般信息统计(General Interface Statistics)
主菜单的第二个菜单项是网络接口的一般统计功能(General Interface Statistics)。在其显示窗口中,IPTraf会显示被监视网络接口的一些一般统计信息,包括这些网络接口上通过的IP、非IP和坏IP(校验和错误)报文的的数量。还有一个活动指示器显示每秒通过每个网络接口的报文数目,这个活动指示器使用Activity mode配置选项控制开/关的。如果你打开了日志功能(配置菜单的logging选项),所有的统计信息将被复制到/var/log/iptraf/iface_stats_general.log文件中。
你可以按x或者q键回到主菜单。
2.4.网络接口的细节信息统计(Detailed Interface Statistics)
主菜单的第三个功能选项是网络接口的细节统计(Detailed Interface Statistics)功能。除了General Interface Statistics选项提供的统计信息之外,Detailed Interface Statistics选项还提供有关网络接口的其它一些更为详尽的统计信息。它提供如下统计信息:
IP报文数和字节数。
TCP报文数和字节数
UDP报文数和字节数
ICMP报文数和字节数
非IP类型的报文数和字节数
其它IP类型的报文数和字节数
校验和错误计数
网络接口活动状态
IP报文(IP、TCP、UDP、ICMP以及其它IP)的字节数包括IP包头和负载字节数,而数据链路包头不包括在内;在总(total)字节数和非IP报文计数数中包括数据链路包头的字节数。
你如果想直接启动网络接口的细节统计功能,可以使用如下命令:
#iptraf -d eth0(或者其它的网络接口)
另外,你也可以打开日志功能,把网络接口的细节统计信息记录到日志文件中,默认的日志文件名是iface_stats_detailed-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
这个功能也是按x或者q键回到主菜单。
2.5.统计分析(Statistical Breakdowns)
使用IPTraf的统计分析(Statistical Breakdowns)功能,可以帮助你优化网络设置和监视网络的安全问题。IPTraf的统计分析包括:报文大小分析和TCP/UDP端口分析。
2.5.1.报文大小分析(Statistical Breakdown: Packet Sizes)
在主菜单的选择:Statistical Breakdowns->By packet size就可以进入报文大小分析界面。在老版本的IPTraf中,这个功能属于网络接口细节统计(detailed interface statistics),后来才独立出来。IPTraf根据网络接口最大传输单元(Maximum Transmission Unit,MTU)的大小,划分出20个范围,统计报文大小的分布情况。
你也可以打开日志功能,把报文大小分布信息记录到日志文件中,默认的日志文件名是packet_size-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
另外,使用以下命令行可以直接进入报文大小分析界面:
#iptraf -z eth0
按x或者Ctrl+X键退出。
2.5.2.TCP/UDP流量分析
IPTraf也可以对流过每个端口(小于1024)的TCP/UDP报文数量进行统计。
注意:显示窗口显示的字节数包括IP包头和IP负载,不包括数据链路头。为了便于区分,TCP和UDP的颜色有所区别,TCP使用黄色,UDP使用绿色。
一些网络程序使用大于1023的端口。例如:有些WEB服务器使用8080端口;htts使用443端口。在默认设置中,IPTraf不对这些端口的流量进行统计。你可以使用Configure->Additional port...菜单项填加另外的端口。
如果你打开了日志功能,TCP/UDP流量分析的默认日志文件是/var/log/iptraf/tcp_udp_services-iface.log,其中iface以相关的网络设备名(例如:eth0)代替。
你也可以对显示条目进行排序。按s键可以显示一个排序菜单;按p键,会以报文的数量进行排序;按b键,会以字节数进行排序;按T键,以进入的报文数排序;按O键,以进入的字节数排序;按F键,以向外的报文数进行排序;按M键,以向外的字节数进行排序;按任意键取消排序。
另外,使用如下命令可以直接进入TCP/UDP流量分析界面:
#iptraf -s eth0
按x或者Ctrl+X键返回主菜单或者退出。
2.6.局域网工作站统计(LAN Station Statistics)
使用IPTraf的局域网工作站统计功能(LAN Station Statistics),你可以得到局域网节点(在混杂模式下能够监听到的节点,如果是交换网络可能无法实现)流入、流出的报文数量,这项功能对于以太网、FDDI、PLIP有效,但是不能用于本地回环(lo)、ISDN和SLIP/PPP网络。统计信息包括:
进入的报文数目
流入IP报文数
流入总字节数
流入速率
流出报文总数
流出报文数
流出总字节数
流出速率。
这里的字节数包括数据链路层包头。速率的单位可以是kbits/s或者kbytes/s,由Activity mode配置选项决定。
你如果打开了日志功能,所有的统计信息就会被保存到/var/log/iptraf/lan_statistics-n.log文件中,n是实例号(iptraf可以在同一台主机上运行多次切互不干扰)。
为了管理方便,你也IPTraf局域网工作站统计功能的显示窗口内的条目进行排序。按s就可以弹出一个排序对话。,然后,按P键,以流入的报文数进行排序;按I键,以流入的IP报文数排序;按B键,以流入的字节数进行排序;按K键盘,以流出的报文数排序;按O键,以流出的IP报文数排序;按Y键,以流出的字节数排序。按任意键取消排序。
按X或者Q键盘可以从局域网工作站统计显示界面退出到主菜单。使用以下命令行可以直接进入局域网工作站统计显示界面:
#iptraf -e
3.显示过滤器(Display Filter)
在实际的使用中,IP流量监视器会快速显示大量信息,而这其中的大部分信息你可能并不关心。这时,你就可以使用显示过滤器来控制IP流量监视器的显示信息。
3.1.TCP过滤器(TCP Filters)
使用这个功能,你可以定义一些参数决定在IP流量监视器显示界面中显示的TCP连接。
3.1.1.定义一个新的过滤器(Defining a New Filter)
默认安装的IPTraf没有任何的过滤器,因此你需要定义自己的过滤器。选择TCP Display Filters->Define new filter...菜单项,会弹出一个对话框让你输入一个简短的过滤器描述。输入完成之后,按回车,会弹出另外一个对话框,要求你输入源地址和目的地址、子网掩码和服务端口。
网络地址可以是单一主机、网络以及整个网络地址空间,由子网掩码决定。例如:
单一主机 207.0.115.44:
IP 地址: 207.0.115.44
子网掩码: 255.255.255.255
属于网络202.47.132.x的所有主机:
IP地址: 202.47.132.0
子网掩码: 255.255.255.0
所有IP地址:
IP 地址: 0.0.0.0
子网掩码 0.0.0.0
Include(包括)/Exclude(排除)域决定是否在显示窗口中显示这类条目。
3.1.2.TCP过滤器应用示例
监视202.47.132.1和207.0.115.44之间的TCP连接
Host name/IP Address 202.47.132.2 207.0.115.44
Wildcard mask 255.255.255.255 255.255.255.255
Port 0 0
Include/Exclude I
监视主机207.0.115.44和网络202.47.32.0之间的TCP连接:
Host name/IP Address 207.0.115.44 202.47.132.0
Wildcard mask 255.255.255.255 255.255.255.0
Port 0 0
Include/Exclude I
监视所有的WEB连接:
Host name/IP Address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 80 0
Include/Exclude I
监视从任意地址到主机202.47.132.2的SMTP端口的流量:
Host name/IP Address 202.47.132.2 0.0.0.0
Wildcard mask 255.255.255.255 0.0.0.0
Port 25 0
Include/Exclude I
监视主机sunsite.unc.edu之间cebu.mozcom.com的流量:
Host name/IP Address sunsite.unc.edu cebu.mozcom.com
Wildcard mask 255.255.255.255 255.255.255.255
Port 0 0
Include/Exclude I