IPTraf介紹 –網路狀況監視工具

IPTraf是一個IP網路監控工具。它能攔截網路上的報文，擷取報文各個部分的資訊，如：

• IP、TCP、UDP、ICMP報文總數和非IP位元組數。
• TCP串連的源/目的地址和源/目的連接埠。
• TCP報文數和位元組數。
• TCP標誌狀態。
• UDP源/目的資訊。
• ICMP類型資訊。
• OSPF源/目的資訊。
• TCP和UDP服務統值。
• 網路介面報文計數。
• 網路介面IP校正和錯誤數目。
• 網路介面活動指標。
• LAN統計

IPTraf能夠用於監視IP網路的負載。IPTraf使用Linux核心的內建原始包捕獲介面，可以廣泛地用於乙太網路卡，支援FDDI適配器、ISDN適配器以及任何非同步SLIP/PPP介面。

IPTraf安裝

Turbolinux GTES系列安裝光碟片都包含IPTraf安裝包檔案iptraf，若系統沒有安裝該軟體包，可使用下面步驟安裝：

# rpm –ivh iptraf-2.7.0-11.2.i386.rpm

IPTraf主要命令列參數說明 命令列格式：

iptraf { [  -f  ] [ -q ] [ { -i iface | -g | -d iface | -s iface | -z iface | -l iface } [ -t timeout ] [ -B [ -L logfile ] ] ] | [ -h ] } 

參數說明：

• -i 網路介面

讓IPTraf監視特定的網路介面，如：eth0，-i all表示監視系統的所有網路介面。

• -g

網路介面的一般統計資訊。

• -d 網路介面

顯示特定網路介面的詳細統計資訊。

• -s 網路介面

對特定網路介面的TCP/UDP資料流量進行監視。

• -z 網路介面

監視區域網路的特定網路介面。-l all表示全部。

• -t timeout

使IPTraf在指定的時間後，自動結束。如果沒有設定IPTraf就會一直運行，直到使用者按下退出鍵(x)才退出。

• -B

使IPTraf在後台運行。單獨使用無效(被忽略直接進入菜單介面)，只能和-i、-g、-d、-s、-z、-l中的某個參數一塊使用。

• -L filename

如果使用-B參數，使用-L filename使IPTraf把日誌資訊寫入其它的檔案(filename)中。如果filename不包括檔案的絕對路徑，就把檔案放在預設的日誌目錄(/var/log/iptraf)。

• -q

這個參數現在已經不用了。原來，如果IPTraf運行在使用IP地址偽裝(IP Masquerading)的核心上時，會出現大量的警告資訊。現在新版的IP Masquerading代碼已經沒有這個問題了。

• -f

使IPTraf強制清除所有的加鎖檔案，重設所有執行個體計數器。

IPTraf的使用

運行IPTraf

# iptraf

出現下面菜單選項：

菜單Configure...

對 iptraf 進行配置，所有的修改都將儲存在檔案：/var/local/iptraf/iptraf.cfg 中。具體配置選項如下：

• — Reverse DNS Lookups 對IP地址反查 DNS名，預設是關閉的
• — TCP/UDP Service Names 使用伺服器代替連接埠號碼，如用www 代替80，預設關閉
• — Force promiscuous 混雜模式，此時網卡將接受所有到達的資料，不管是不是發給自己的。
• — Color 終端顯示彩色，用telnet ,ssh串連除外，也就是用不支援顏色的終端串連肯定還是沒有顏色。
• — Logging 同時產生記錄檔，在/var/log/iptraf 目錄下
• — Activity mod 可以選擇統計單位是kbit/sec 還是 kbyte/sec
• — Source MAC addrs in traffic monitor 顯示資料包的源MAC地址

菜單Filters...

設定過濾規則，通過該設定可以過濾掉不需要的資料包。它包括六個選項，分別是：Tcp、Udp、Other IP、ARP、RARP、Non-ip。下面以TCP為例說明，其他選項的配置都很相似。

• — Defining a New Filter 要求填入所建規則的描述名，然後斷行符號確定，Ctrl＋x取消。　　再接下來的對話方塊裡，

Host name/IP address: 前面的框填源地址，後面的框填目標地址。

Wildcard mask：分別是源地址和目標地址所對應的掩碼。

注意，這裡的地址即可以是單個地址，也可以是一個網段，如果是單個IP，則相應的子網路遮罩要填成255.255.255.255，如果是一個網段，則填寫相應的子網路遮罩：例如，想表示192.168.0.0，有256個IP地址的網段，則填寫192.168.0.0，子網是：255.255.255.0，其他類推，All則用0.0.0.0，子網也是0.0.0.0表示。

Port：填入要過濾的連接埠號碼，0表示任意連接埠號碼Include/Exclude：填入I或者E，I表示包括，E表示排除

• — Applying a Filter 讓過濾規則生效
• — Editing a Defined Filter 編輯一個已經存在的規則
• — Deleting a Defined Filter 刪除一個已經定義的規則
• — Detaching a Filter 取消執行當前所有應用的規則

菜單IP Traffic Monitor

IP資料包流量即時監控視窗，監控所有的來往資料包。在這裡可以即時的看到每一個串連的流量狀態，它有兩個視窗，上面的是TCP的串連狀態，下面的視窗可以看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的資料包。可以點擊s鍵選擇排序，可以按照包的數量排序，也可按照位元組的大小排序，如果因為它是即時變化的而導致看不太清楚的話，可以在Configure菜單中把Logging功能開啟，它就會在/var/log/iptraf 目錄中記錄日誌，以方便你在日後查看，當Logging功能開啟後，當開始監控IP
Traffic時，程式會提示你輸入Log檔案的檔案名稱，預設的是ip_traffic-1.log。

菜單General Interface Statistics

顯示每個網路裝置出去和進入的資料流量統計資訊，包括總計、IP包、非IP包、Bad IP包、還有每秒的流速，單位是kbit/sec或者是kbyte/sec ，這由Configure菜單的Activity選項決定。

菜單Detailed Interface Statistics

顯示每個網路裝置的詳細的統計資訊。

Statistical Breakdowns

顯示更詳細的統計資訊，可以按包的大小分類，分別統計；也可以按Tcp/Udp的服務來分類統計