Centos6.3下使用Iptraf进行基于端口的网络流量的分析

系统环境：centos6.3

Iptraf：  iptraf-3.0.0

二、查看依赖包：

# rpm -qa | grep gcc

# rpm -qa | grep glibc

# rpm -qa | grep ncurses

假如没有，则请安装相应开发包(centos默认安装源)

# yum install gcc glibc ncurses

 

三、安装

# wget ftp://iptraf.seul.org/pub/iptraf/iptraf-3.0.0.tar.gz

# tar zxf Iptraf-3.0.0.tar.gz

# cd Iptraf-3.0.0

# ./Setup

至此，安装完毕。

　　安装程式会将执行程式安装到 /usr/local/bin 目录下，并创 /var/local/Iptraf 目录放置Iptraf的配置文档，同时创建 /var/log/Iptraf 目录放置Iptraf产生的日志文档。

 

四、运行Iptraf

# /usr/local/bin/iptraf

运行I后会产生一个字符界面的菜单，点击x能够退出 Iptraf，各菜单说明如下：

1、菜单Configure...

在这里能够对 Iptraf 进行配置，任何的修改都将保存在文档：/var/local/Iptraf/Iptraf.cfg 中

--- Reverse DNS Lookups 选项，对IP地址反查 DNS名，默认是关闭的。

--- TCP/UDP Service Names 选项，使用服务器代替端口号，例如用www 代替80，默认是关闭的。

--- Force promiscuous 混杂模式，此时网卡将接受任何到达的数据，不管是不是发给自己的。

--- Color 终端显示彩色，当然用telnet ,ssh连接除外，也就是用不支持颜色的终端连接肯定还是没有颜色。

--- Logging 同时产生日志文档，在/var/log/Iptraf 目录下。

--- Activity mode 能够选择统计单位是kbit/sec 还是 kbyte/sec 。

--- Source MAC addrs in traffic monitor 选择后，会显示数据包的源MAC地址。

2、菜单Filters...

　　在这里能够配置过滤规则，这是最有用的选项了，当您从远端连入监控机时，自己的机器和监控机会产生源源不断的tcp数据包，有时很令人讨厌，此时您就能够将自己的ip地址排除在外。

　　他包括六个选项，分别是：Tcp、Udp、Other IP、ARP、RARP、Non-ip。我们以TCP为例说明，其他选项的配置都很相似。

--- Defining a New Filter

　　选择Defining a New Filter后，会出来一对话框，需要填入对所建的当前规则的描述名，然后回车确定，Ctrl＋x取消。再接着出现的对话框里，Host name/IP address:的First里面填源地址，Second里填目标地址，Wildcard mask的两个框里面分别是源地址和目标地址所对应的掩码，注意，这里的地址即能够是单个地址，也能够是个网段，假如是单个IP，则相应的子网掩码要填成255.255.255.255，假如是个网段，则填写相应的子网掩码：例如，想表示192.168.0.0，有256个IP地址的网段，则填写192.168.0.0，子网是：255.255.255.0，其他类推，All则用0.0.0.0，子网也是0.0.0.0表示。

　　Port：栏需要填入要过滤的端口号，0表示任意端口号。Include/Exclude栏需要填入I或E，I表示包括，E表示排除。填写完毕，回车确认，Ctrl x取消。

--- Applying a Filter

　　我们在上一步定义的一个或多个过滤规则会存储为一个过滤列表，在没有应用之前并不起作用，我们能够在这里选择我们应用那些过滤规则。任何应用的规则会一直起作用，即使重新启动Iptraf。我们能够执行Detaching a Filter来取消执行当前任何应用的规则。

--- Editing a Defined Filter 编辑一个已存在的规则

--- Deleting a Defined Filter 删除一个已定义的规则

--- Detaching a Filter 取消执行当前任何应用的规则

 

3、菜单IP Traffic Monitor

　　IP数据包流量实时监控窗口，注意这里会监控任何的来往数据包，包括自己的，所以，假如您使用远程终端连接上来的话，您和监控机将会源源不断的产生数据流，因此建议在Filters...菜单中将自己的IP过滤掉，是他不产生影响。在这里能够实时的看到每一个连接的流量状态，他有两个窗口，上面的是TCP的连接状态，下面的窗口能够看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的数据包。能够点击s键选择排序，能够按照包的数量排序，也可按照字节的大小排序，假如因为他是实时变化的而导致看不太清楚的话，能够在Configure菜单中把Logging功能打开，他就会在/var/log/Iptraf 目录中记录日志，以方便您在日后查看，当Logging功能打开后，当您开始监控Iptraffic时，程式会提示您输入Log文档的文档名，默认的是ip_traffic-1.log。

　　在一个比较繁忙的网络里，显示的结果可能很乱，以至于您很难找到自己感兴趣的数据，这时能够使用Filters菜单，来过滤显示的数据。

 

4、菜单General Interface Statistics

　　这里显示每个网络设备出去和进入的数据流量统计信息，包括总计、IP包、非IP包、Bad IP包、更有每秒的流速，单位是kbit/sec或是kbyte/sec ，这由Configure菜单的Activity选项决定。

假如配置了Filter选项，这里也受到影响。

 

5、菜单Detailed Interface Statistics

这里包括了每个网络设备的周详的统计信息，很简单，不再赘述。

 

6、Statistical Breakdowns

这里提供更周详的统计信息，能够按包的大小分类，分别统计；也能够按Tcp/Udp的服务来分类统计，也不再赘述。

 

7、LAN Station Statistics

提供对每个网络地址通过本机的数据的统计信息。