iptraf用户手册.docx
- 文档编号:18479159
- 上传时间:2023-08-18
- 格式:DOCX
- 页数:54
- 大小:127.40KB
iptraf用户手册.docx
《iptraf用户手册.docx》由会员分享,可在线阅读,更多相关《iptraf用户手册.docx(54页珍藏版)》请在冰点文库上搜索。
iptraf用户手册
iptraf的用户手册
作者:
杰拉德·保罗的Java
版权©杰拉德·保罗的Java1997-1999
版本2.1.1
被授予权限的GNU通用公共许可证的条款下,复制和分发本文件随附的软件。
本手册和随附的软件,它没有任何担保,甚至没有对任何特定用途的适销性或适用性的暗示的保证。
请参阅随附的COPYING文件的详细信息。
目录
关于本文档
欲了解更多信息
文档约定
简介
安装
系统要求
安装下载的软件包
安装软盘分布
从早期版本升级
启动iptraf的
命令行选项
使用iptraf的
一般资料
号码“显示
登录
屏幕更新延迟
支持的网络接口
IP流量监视器
上面的窗口
下面的窗口
一般接口统计信息
详细的接口Statistrics
统计的分项数字
数据包大小击穿
TCP和UDP流量统计
LAN站统计
显示过滤器
TCP过滤器
定义一个新的过滤,
应用过滤器
编辑一个过滤器
删除定义的过滤器
分离应用过滤器
其他协议过滤器
配置iptraf的
后台操作的
信息
技术附录
重新编译
技术说明
内核
安全
终端
的用户界面
的网络接口
iptraf的许可和版权
关于本文档
这份文件是iptraf的2.1的用户手册。
这里记录的是其使用的程序和指令的功能。
这本手册的HTML版本,可以查看任何Web浏览器,支持HTML3.2。
有关其他信息
总结和最新的信息,请参阅附带的README文件。
的更改文件包含的记录,因为1.0.0的软件所做的更改。
README.rvnamed的rvnamed反向解析程序包含的信息。
请参阅README文件,为支持和发展的信息。
文档约定
[]
方括号中的项是可选的
{}
花括号括起来你选择的项目
|
竖线分隔在大括号中的选择
正常的等宽字体
应该输入的完全一样呈现正常的等宽字体文本语法规范。
因为UNIX变体是大小写敏感的情况下,必须保留。
等宽也被用在呈现在屏幕上出现的项目。
等宽斜体
语法规范的斜体字表示项目被替换为实际的项目(例如一个实际的接口的名称,如eth0的接口,应更换。
介绍
iptraf的是一个网络监测工具,为IP网络。
它截取网络上的数据包,并给出了当前IP流量的各种信息。
返回iptraf的信息包括:
∙总计,IP,TCP,UDP,ICMP和非IP字节数
∙TCP源地址和目的地址和端口
∙TCP数据包和字节计数
∙TCP标志状态
∙UDP源和目的地的信息
∙ICMP类型信息
∙OSPF的源和目的地信息
∙TCP和UDP服务统计
∙接口报文的数量
∙接口IP校验和错误计数
∙界面活性指标
∙局域网站统计
iptraf的可被用来监测在IP网络上的负载,最常用的类型的网络服务,TCP连接的诉讼,以及其他的。
Iptraf是软件,并利用内置的原始数据包捕获的Linux内核的接口,允许它被用于广泛的以太网卡,支持FDDI适配器,支持ISDN适配器,以及任何异步SLIP/PPP接口。
没有特殊的硬件是必需的。
重要的TCP/IP协议(IP,TCP,UDP,ICMP等)的基本知识是必要的,对你最了解的信息由程序生成的。
安装
Iptraf是在互联网上最容易获得的,但有些人可能会收到在软盘上。
下面是说明对于这两种类型的分布。
系统要求
所提供的iptraf的预编译的程序运行需要以下:
∙80386或更高版本。
i486DX2-75MHz或更高(或等值)将提供更好的性能。
速度更快的机器减少的机会错过了包。
奔腾级(PPRO或PII)或兼容的机器(K6,6X86,MII)的建议。
注意其他的架构(SPARC,Alpha版,M68K和PowerPC等),也可以使用,但没有对他们进行测试。
分配特定的软件包,软件包的维护者有关详细信息,请与
∙Linux的2.2.0或更高版本。
在写这篇文章时,在2.2.x内核的最新版本是新的,所以建议。
注意:
如果你正在运行一个定制的内核,请确保您编译或安装一个模块的数据包套接字的内核选项,或iptraf的(和其他人一样)会失败。
∙8MB的物理RAM或更高。
更多建议。
16MB的虚拟内存或交换空间推荐(物理内存+)
∙共享C库。
预编译的二进制文件不需要共享的Ncurses库(还),因为他们有联系。
您可以重新编译,如果你想使用您的共享ncurses和面板库。
∙在/usr/共享/terminfo中的 terminfo数据库
∙控制台或高速终端
∙以太网,FDDI,ISDN,PLIP,或异步SLIP/PPP接口
在XWindow系统是不需要的。
下面是安装说明。
安装下载的软件包
可以从互联网上下载iptraf的。
下载的软件包是一个压缩(GZIP)tar归档。
要提取的文件的归档,则需要这些实用程序:
∙焦油
∙GNUzip的(GZIP)
如果你从互联网上下载iptraf的,请按照下列步骤来安装该软件:
1.通过输入以下命令,解压缩。
tar.gz文件
2.焦油zxvfiptraf的2.1.0.tar.gz
如果您的tar不支持的Ž选项,你可以单独解压缩的tar.gz然后解压生成的。
tar归档。
用gunzipiptraf-2.1.0.tar.gz
tarxvf命令iptraf的-2.1.0.tar
这将解压缩到一个目录中称为iptraf的-2.1.0的源代码 。
切换到SRC目录。
它已经包含分布的二进制文件iptraf的及随附rvnamed的的守护进程运行。
3.要安装该软件,输入
4.使安装
当你以“root”身份登录。
这将安装二进制分发版本中 的/usr/local/bin目录的目录。
必要的工作目录下的/var//iptraf的也将被创建。
安装软盘分布
如果您收到iptraf的软盘上的,来源是已经解压缩。
软盘是在第二扩展文件系统格式。
请执行下列步骤来安装软件。
1.插入软盘驱动器中。
2.安装在软盘上的一个空目录。
例如,安装的第一个软盘驱动器中的软盘,在/mnt目录下的一个目录,输入
3.挂载吨的ext2为/dev/fd0到/mnt
这是假设你的软盘是在为/dev/fd0。
您可以使用任何空目录/mnt目录中的地方。
大多数Linux发行版,这将工作。
4.安装后,更改到/mnt目录(或其他)。
5.进入
6.使安装
而以root身份登录。
这将复制的二进制文件的/usr/local/bin目录,并创建的/var//iptraf工作的目录和 /var/log中/iptraf的日志目录。
7.卸载软盘,键入
8.使用umount/MNT
9.
10.(这是卸载,无法卸载。
)
然后,您可以弹出该软盘。
将它保存在一个安全的地方。
在这两种情况下(下载和软盘),安装存储程序中的/usr/local/bin中拥有root用户,可读,可写,可执行文件的所有者,该组没有权限,没有权限的二进制文件等。
(700八进制,或组rwx------)。
在任一情况下,执行“makeinstall”步骤。
这不仅将可执行程序,但创建必要的目录,如果它们不存在。
iptraf的他们将无法正常运行。
注意:
您必须以root身份登录,执行“安装”步骤允许被写入到正确的目录或创建的。
可以肯定的/usr/local/bin目录包含在您的环境的PATH变量。
您可以编辑相应的命令,在您登录的自定义文件(Bourne类型的炮弹 。
个人资料。
cshrc文件为C壳和它的亲戚)。
从早期版本升级
如果您正在运行iptraf的2.0.x或更早的版本中,您使用的是TCP/UDP过滤器,做了一个“升级”过程。
1.4.x和2.0.x的版本错误地放置在过滤器中的数据文件由于文件名解析错误,一个错误的目录。
目前还没有文件格式的变化,因为1.4版的。
如果你从一个版本升级到1.4之前,做了“升级”每半年主要版本,序列程序(如1.2->1.3->1.4)。
启动iptraf的
安装完成后,您就可以启动程序,只需输入
iptraf的
在shell提示符下。
你会看到版权声明,按任意键以开始浏览网页的指令。
只要按任意字符键,您将立即采取主菜单。
所有的程序的主要功能是在这里找到。
IPTraf命令不带任何命令行参数进入程序的主菜单。
从那里,你可以选择你想要的设施。
iptraf的确定和使用在终端上的行和列的最大数量。
注意 iptraf的尚未有SIGWINCH处理程序,不调整自己,当一个xtermX终端调整大小。
技术说明 iptraf的需要向terminfo数据库在 /usr/共享/terminfo中。
如果提供的可执行程序失败“错误打开终端”,terminfo数据库可能位于其他地方。
TERMINFO环境变量,您可以控制的terminfo的搜索路径。
例如,如果你正在使用sh或bashshell的,并且你的的terminfo数据库是在的/usr/lib/terminfo中(典型的Slackware发行套件),您可以使用下面的命令:
TERMINFO=/usr/lib中/的terminfo的
出口TERMINFO
您可以将这些命令在你的〜/。
profile文件或整个系统的 /etc/profile文件的启动文件。
您还可以创建一个命名为/usr/共享/terminfo中的符号链接, 让它指向您的现有terminfo(假设再次terminfo是 的/usr/lib/terminfo中):
LN-S的/usr/lib中/terminfo中的/usr/共享/terminfo中
或者,你可以重新编译你的程序使用您现有的安装ncurses库。
如果你这样做,请确保您有ncurses的1.9.9e或更高版本。
命令行选项
下面的命令行参数也可以传递到iptraf的命令:
-I IFACE
立即开始在指定接口上的IP流量监控。
如果我都被指定,所有的接口进行监控。
-G
开始的一般接口统计
-D IFACE
显示指定接口的详细统计
-S IFACE
开始指定接口的TCP/UDP流量监控
-Z IFACE
开始指定接口的数据包的大小故障
-L IFACE
开始在指定的接口的局域网站监测。
如果 所有指定-L ,所有的LAN接口进行监控。
-T 超时
-叔参数,使用的其他参数,指定一个设备以启动一个时,告诉IPTraf运行只超时分钟,在这之后的指定的设施的设施退出。
在菜单模式下的 -T参数将被忽略。
如果未指定此参数,设备运行,直到退出按键被按下。
-B
所有的终端输出重定向到“比特斗” /dev/null的,关闭标准输入,标准和程序在后台。
此参数可被仅用于-,-G , -D ,-S ,-Z ,或升参数的任意一个。
请参阅以下后台操作。
-B在菜单模式下被忽略。
-Q
覆盖启动警告,如果Iptraf是运行在一台机器上启用IP伪装。
由于IP伪装IPTraf返回奇怪的结果的原因,通常是这样的警告发出后,又可以覆盖更多的自动化操作,只要你知道如何解释有些混乱的输出。
-F
iptraf的内部行为不允许其设施,以及与自己的其他实例。
为了防止冲突,涉及内部资源(套接字)或文件(日志),iptraf的将不允许在同一时间运行多个实例的设施(交通监控,接口统计等)。
然而,iptraf的多个副本开始,每运行一个不同的设施。
配置只允许iptraf的第一个实例,随后的情况下不能修改配置。
-F参数将覆盖现有的锁,IPTraf过程所施加的各种设施,造成这种情况下,认为它是第一个,有没有其他的设施运行。
使用此参数非常谨慎。
此参数恢复突然或异常终止,可能会留下无效的锁定仍然躺在附近的一个常见的用途。
-F参数,可以使用与其他一起。
iptraf的-H
显示简短的帮助屏幕
iptraf的接口,交互式的命令是不区分大小写的命令行选项。
使用菜单
使用向上和向下箭头键在键盘上移动选择栏。
按Enter键执行所选的项目。
或者,您也可以直接按您想要的项目高亮度显示的字母。
这将立即执行该选项。
使用iptraf的
一般资料
下面的章节记录的各种统计数据的设施。
默认行为是返回计数在尽可能接近实时的,虽然这可能在“配置”菜单中进行调整。
显示不缩
最初iptraf的返回字节和数据包的计数。
然而,当他们变得越来越大,iptraf的开始显示他们在更高的面额。
独自站在没有后缀的一个数字表示的精确计数。
许多的K下面是一公斤(千)图。
M,G,T后缀表示万(亿美元),千兆(十亿),和TERA(万亿美元)。
例如
1024067-完全1024067
1024K-约1024000
1024M-约10.24亿
1024G-约10240亿
1024T-约10240000亿
这些符号适用于包和字节计数。
记录
统计设施的数量和日志文件的信息,可以登录。
在1.3版中,日志文件默认存储在目录 /var/log中/iptraf的。
每个设备记录其自己的日志文件的信息。
请参阅 以下配置的记录选项。
请参阅个别设施下面的日志文件的名称的描述。
日志是纯文本格式,可以浏览任何文本寻呼机或编辑。
屏幕更新延迟
尽快收到一个数据包,老版本的iptraf的更新屏幕。
但是,屏幕更新是最慢的操作,程序执行。
从1.3版本开始,配置选项可用于控制屏幕的更新速度。
请参阅本手册的配置部分的屏幕更新间隔下的配置选项 。
支持的网络接口
iptraf的目前支持以下网络接口的类型和名称。
罗
环回接口。
每台机器有一个,有一个IP地址为127.0.0.1。
罗也表示,如果检测到的数据是 假的Ň接口(S)。
ETH Ň
一个以太网接口。
Ň从0开始。
因此,为eth0指第一eth1的以太网接口,到第二个,依此类推。
大多数的机器只能有一个。
FDDI Ň
FDDI接口。
Ň从0开始。
PPP Ň
一个PPP接口。
Ň从0开始。
因此,创建了ppp0第一PPP接口,ppp1是第二个,等等。
SLI Ň
一个SLIP接口。
Ň从0开始。
相同的序列与上述
IPPP Ň
一个同步PPP接口使用ISDN。
Ň从0开始。
ISDN Ň
ISDN接口,可以任意给定的名字,但他们与iptraf的,他们必须被命名为ISDN Ň。
iptraf的支持同步PPP(IPPP Ň接口以上),原IP和思科HDLC封装。
PLIP Ň
PLIP接口。
这是点至点使用PC并行端口的IP连接。
根据上述指定的计划必须被命名为你的系统的网络接口。
IP流量监视器
执行第一个菜单项或指定iptraf的 命令,我把你的IP流量监视器。
交通监视器是一个实时监控系统,它可以拦截所有检测到的网络接口上的所有数据包。
显示器的解码IP上的所有IP数据包的信息,并显示相应的信息,最引人注目的是源地址和目的地址。
除此之外,它也决定了封装在IP数据包的协议,并显示一些重要的信息,以及。
有两个窗口在交通监控。
他们都可以向上和向下的光标键滚动。
只要按W移动活动的指标,你要控制的窗口。
上面的窗口
交通监控器上方的窗口显示当前检测到的TCP连接。
TCP数据包的信息都显示在这里。
该窗口包含这些信息:
∙源地址和端口
∙数据包计数
∙字节数
∙数据包大小
∙窗口大小
∙TCP标志状态
∙接口
请注意以前版本的iptraf的显示源地址和目的地址的每一行。
iptraf的2.0只显示源主机:
端口组合,以节省屏幕房地产。
TCP连接端点仍然指示沿屏幕的左边缘与绿色的括号。
TCP窗口是滚动的,你可以使用向上和向下箭头键在键盘上看到更多的连接时,TCP窗口被标记为活动。
监测系统,因为这完全依赖包的信息,它并不确定哪个端点发起连接。
换句话说,它并不能确定哪一个端点是客户端,并且,这是服务器。
这是必要的,因为它可以在混杂模式,因此不能确定的套接字状态为其他LAN上的机器。
在这样的情况下,系统会显示两个项目的每个连接,TCP连接的每个方向之一。
,使其更容易,以确定的方向对每个连接,支架用于“参与”两者一起。
此支架出现在每个条目的最左边的部分。
仅仅因为一个主机条目显示在连接支架的上端,并不意味着它的连接是引发。
在窗口中的每个条目都包含以下字段:
源地址和端口
地址:
port格式的源地址和端口指示灯。
这表明源计算机,然后从该数据在该机器上的TCP端口。
目的地是主机:
端口,在其另一端的托架。
数据包计数
收到这个方向上的TCP连接的报文的数量
这个方向上的TCP连接接收的字节数,字节数的数量。
这些字节包括总的IP和TCP报头信息,除了实际的数据。
数据链路层报头(如以太网和FDDI)的数据不包括在内。
数据包大小
的最近接收到的数据包的大小。
此产品是可见的,如果你按M键为更多的TCP信息。
这是一个IP数据报中仅大小,不包括数据链路标题。
窗口大小
通告的窗口大小的最近接收到的数据包。
此产品是可见的,如果你按M键为更多的TCP信息。
标志状态“
的旗帜,最近接收到的数据包。
小号
SYN。
同步是发生在准备建立连接。
如果只有S(S-)源正试图发起一个连接。
如果A也是本(SA-),这是以前的连接请求的确认,并响应。
一
ACK。
这是先前接收到的数据包的确认
P
PSH。
请求推所有数据的接收队列的顶部
ü
URG。
此数据包中包含紧急数据
复位
RST。
这个方向在源计算机重置整个连接。
重设连线的方向项目成为新的连接。
DONE
在这个方向发送数据的连接,并发送一个FIN包(完),但尚未被承认的其他主机。
关
FIN已确认的其他主机。
当两个方向的连接被标记为关闭,他们所占据的项目成为新的连接条目。
-
该标志没有被设置
两个数据项,也可以被看作包的大小和通告的窗口大小。
当TCP窗口被标记为活动,按M将取代数据包的大小和窗口大小的数据包和字节计数。
再次按M键来查看数据包数和字节数。
默认情况下,唯一的IP地址都显示出来,但如果你有机会到一个名称服务器或主机表中,您可以启用反向查找IP地址。
只是在配置菜单中启用反向查找。
rvnamed过程
IP流量监视器启动一个守护进程称为rvnamed,以帮助加快反向查找,在不牺牲太多的键盘控制和精确度的计数。
虽然在后台进行反向查询,IP地址将被使用,直到该决议是完整的。
如果由于某种原因rvnamed无法启动(可能是由于内存安装不当或缺乏),你是在互联网上,并启用反向查找,键盘控制可能变得很慢。
这是因为标准的查找函数不返回,直到他们完成各自的任务,它需要几秒钟的名称解析在前台完成。
提示:
如果你注意到不寻常的的SYN活动(太多的初始(S---),但“冻结的SYN项目,或迅速增加的初始SYN数据包为一个单一的连接),你可能会下一个SYN泛洪攻击。
采取适当的措施,或在目标机器可能会开始拒绝网络服务。
一个用户可配置的时间内没有更新的项目可能会被替换为新的连接。
默认时间为15分钟。
这是无论是否连接被关闭或不。
(一些未关闭的连接可能是由于非常缓慢或崩溃的任一端连接)。
在配置 菜单可以改变这个数字。
一些早期的项目可能会在它的数据包数的前一个>符号。
这意味着,当显示器的连接已经建立。
换句话说,数字表示不反映计数的TCP连接的开始以来,而是,因为开始的业务监视器。
最终,这些>条目将关闭(或超时)和消失。
TCP >没有项目启动后的流量监控和计数显示连接本身的总数。
试想>部分条目。
有些>项目可能会进入空闲状态,如果流量监控这些连接开始时,已经是半封闭的(FIN一台主机发送,但数据仍然被送到其他)。
这是因为流量监控不能确定,如果连接已经是半封闭的,当它开始。
这些项目将最终超时。
(为了减少这些条目,一个条目添加的显示器,直到收到的数据包或SYN包)。
方向项目也成为可以重复使用,如果一个ICMP目的地不可达报文接收到的连接。
在屏幕的下部包含线示出的IP,TCP,UDP,ICMP,和非IP的字节计数自监视器的开始以来的摘要。
IP,TCP,UDP和ICMP计数,包括IP数据报头和数据,而不是数据链路报头。
非IP计数包括数据链路标题。
技术说明:
IP转发和伪装
流量监控的行为有些不同寻常的机之间转发数据包的接口。
作为一个普通的路由器,一台机器上运作iptraf的将看到的相同的数据包,它到达的接口,和一个为每个接口退出的两个副本。
这样的数据包,每个接口的TCP窗口会显示两个条目,每一个被转发非TCP数据包,而两个项目将显示在下面的窗口。
伪装成防火墙的机器上,其行为甚至是陌生人。
一台机器进行IP伪装转换之间“真正的”IP地址(即正确的注册地址在互联网上)和“假”的IP地址(非注册地址不可达,或在互联网上有效)。
内核执行之前的数据包的IP地址翻译被向上推到的原始数据包捕获设施。
TCP流量监视器显示其结果,与在一个方向上的数据流的条目,但是,相反,没有在其他的另一方向是在另一个TCP项(其中也有0字节,在相反的方向流动。
这是因为来自外部(“真正的”)网络的数据包的目的IP地址翻译,然后iptraf的看到“虚拟”的目的地址,但来自内部的数据包(“假冒”)的网络有其源地址转换,并iptraf的看转换后的地址(“真实”地址的伪装机),它不相反的方向相匹配。
如果你感到困惑的输出,甚至更多,所以阅读本侧边栏,它可能是更好的伪装机连接到每个网段上,而不是伪装的机器本身iptraf的,其中一台计算机上运行多个副本。
下面的窗口
下面的窗口中会显示信息的其他类型的网络流量。
检测以下协议:
∙UDP
∙ICMP
∙OSPF
∙IGRP
∙IGP
∙IGMP
∙ARP
∙RARP
非IP数据包只是表示非IP在下面的窗口。
注意:
源地址和目的地址ARP和RARP项目的MAC地址。
好吧,严格来说,ARP和RARP报文IP数据包,因为他们没有被封装在IP数据报。
他们只是表示,因为他们是不可或缺的正确的IP局域网上的操作。
对于较低的窗口中的所有数据包,只有第一个IP片段表示(自包含的IP封装的协议报头),但没有进一步的,从封装的协议的信息。
UDP数据包也会显示在地址:
port格式。
ICMP的条目还包含ICMP消息类型。
方便的位置,每种类型的协议是颜色编码(仅适用于文本控制台)。
UDP红色,白色,
ICMP黄色和兰色
OSPF黑色的青色
IGRP亮白色的青色
IGP红色的青色
IGMP明亮的蓝色绿色
ARP明亮的白色红
在红灯亮白色RARP
其他IP黄色红色
非IP黄色红
下面的窗口中可容纳多达512项。
您可以使用W键移动活动指示灯,使用向上和向下箭头键滚动窗口。
下面的窗口会自动滚动,每次添加一个新的条目,第一项或最后一个条目是可见的。
旧的项目达到512项,添加新条目被抛出。
有些条目可能是太长,无法完全贴合在屏幕线。
您可以使用左,右箭头键来垂直的滚动窗口时,它被标记为活动。
在一般的项目详细资料,在下面的窗口中显示的项目协议,将IP数据包的大小(全画幅大小非IP,ARP和RARP),源地址,目的地址,数据包检测和网络接口上。
然而,一些协议有更多一点的信息。
ICMP:
ICMP项目的显示的格式如下:
ICMP 类型(亚型)(大小字节)从源 到目的地对接口
类型可以是以下的任何:
回显请求,回显应答
ICMP回显请求和答复。
通常使用的的ping程序和其他网络监控和诊断程序。
目标
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- iptraf 用户手册