第十三章 The Domain Name System

Chapter 13 Network Monitor and Statistics (網路的監控與流量分析)

簡介
1.安裝
   1.1.系統需求
   1.2.安裝
   1.3.啟動IPTraf
   1.4.命令行選項
   1.5.進入功能表介面
2.使用IPTraf
   2.1.一般資訊
   2.2.IP流量監視
   2.3.網路介面的一般資訊統計(General Interface Statistics)
   2.4.網路介面的細節資訊統計(Detailed Interface Statistics)
   2.5.統計分析(Statistical Breakdowns)
   2.6.區域網路工作站統計(LAN Station Statistics)
3.顯示篩檢程式(Display Filter)
   3.1.TCP篩檢程式(TCP Filters)
   3.2.其他協定篩檢程式
4.IPTraf功能設定
   4.1.開關選項
   4.2.時鐘選項(Timers)
   4.3.埠號設定選項
   4.4.區域網路工作站識別號(LAN Station Identifiers)
5. 參考資訊

簡介
IPTraf是一套網路監控工具，它可以收集各種的TCP/UDP封包，還有記錄各個封包的連線狀態，以及記錄區域網路的狀態。

IPTraf可以廣泛地用於乙太網路卡，FDDI介面卡、ISDN以及任何非同步SLIP/PPP介面。

1.安裝
1.1.系統需求
編譯、使用IPTraf需要具備以下條件：
80386或者更好的電腦。IPTraf可能也可以用於其他體系的處理器(SPARC、Alpha、M68K、PowerPC等)。
Linux 2.2.0以及更新版本內核。
8M以上的記憶體，16M以上的虛擬記憶體。
如果你要自己編譯，需要ncurses和panels動態庫。
/usr/share/terminfo內的Terminfo資料庫。
控制台或者終端機。
乙太網路、FDDI、ISDN、PLIP或者非同步SLIP/PPP介面。
IPTraf不需要X Window系統。

1.2.安裝
大部份的linux套件已經就有Iptraf, 可以直接從光碟安裝。

也可以從http://iptraf.seul.org下載IPTraf。然後使用如下命令安裝IPTraf：
解壓文件
#tar zxvf Iptraf-2.4.0.tar.gz
#cd iptraf-x.y.z
執行setup腳本，這一步要以root的許可權進行，setup會自動編譯並把IPTraf安裝到/usr/local/bin目錄中,同時也會建立其他的目錄：
./Setup

1.3.啟動IPTraf
安全完成之後，只要在shell中輸入：
#iptraf

就可以啟動IPTraf。注意, 使用iptraf需要root許可權。IPTraf需要引用/usr/share/terminfo目錄中的終端資訊資料庫，因此如果這個目錄位於其他的位置，IPTraf將輸出"Error opening terminal"錯誤資訊之後，啟動失敗。一般在Slackware中可能出現這種錯誤，因為在Slackware發佈中，terminfo一般位於/usr/lib/terminfo。這種情況可以填加一個連接來解決：
#ln -s /usr/lib/terminfo /usr/share/terminfo

1.4.命令行選項
與大多數Linux系統的命令一樣，IPTraf還支援一些命令行參數，雖然不多。以下是iptraf支援的所有功能選項：
iptraf { [ -f ] [ -q ] [ { -i iface | -g | -d iface | -s iface | -z iface | -l iface } [ -t timeout ] [ -B [ -L logfile ] ] ] | [ -h ] }

-i 網路介面
讓IpTraf監視特定的網路介面，例如：eth0。-i all 表示監視系統的所有網路介面。

-g
網路介面的一般統計資訊。

-d 網路介面
顯示特定網路介面的詳細統計資訊。

-s 網路介面
對特定網路介面的TCP/UDP資料流程量進行監視。

-z 網路介面
針對特定介面，將封包依大小進行分類分析。

-t timeout
使IPTraf在指定的時間後，自動退出。如果沒有設置IPTraf就會一直運行，直到用戶按下逸出鍵(x)才退出。

-B
使IPTraf在背景執行。單獨使用無效(被忽略直接進入功能表介面)，只能和-i、-g、-d、-s、-z、-l中的某個參數一塊使用。

-L filename
把事件記錄寫入其他的檔案(filename)中。如果沒有指定，就把文件放在預設的目錄(/var/log/iptraf)。

-q
這個參數現在已經不用了。

-f
清除所有的計數器。

-h
顯示簡短的幫助資訊

1.5.進入功能表介面
不使用任何參數運行IpTraf就會進入功能表介面。使用上、下箭頭鍵移動功能表選項。還可以使用功能表中加亮的字母作為運行某個功能項目的選擇鍵。

2.使用IPTraf
2.1.一般資訊
2.1.1.數位表示
IPTraf能夠計量接通過的封包數和位元組數。IPTraf會使用一些符號來表示較大的數字，這些符號包括：K(1x10E3)、M(1x10E6)、G(1x10E9、T(1x10E12)。這些符號和它們通常表示的數目不一樣。例如：
1024K=1024000
1024M=1024000000
1024G=1024000000000
1024T=1024000000000000

2.1.2.支援的網路介面
IPTraf目前支援如下網路介面:

lo
本機回路介面。每台機器都有這個介面，IP位址是127.0.0.1。

ethn(n>=0)
乙太網介面，n是從0開始的整數。eth0是第一個乙太網介面，eth1是第二個網路介面。

fddin(n>=0)
FDDI(光纖分散式數位介面)介面，n是從0開始的整數。

pppn(n>=0)
PPP(點到點協定)介面，n是從0開始的整數。

slin(n>=0)
SLIP(串列線路介面協定)介面，n是從0開始的整數。

ipppn(n>=0)
使用ISDN的同步PPP介面，n是從0開始的整數。

isdnn(n>=0)
ISDN介面。

plipn(n>=0)
PLIP介面。

2.2.IP流量監視
執行IPTraf的IP Traffic Monitor功能表項或者使用-i命令行，你就可以使用IPTraf的IP流量監視功能。使用這個功能，你可以即時地監視網路介面上通過的所有封包。IPTraf的監視器對IP封包進行解碼，顯示封包的特定資訊，例如：來源地址和目的地址。除此之外，它還可以辨別出IP封裝的協定(例如：TCP、UDP等)，並顯示這些協定的某些重要資訊。

IPTraf的IP流量監視器有兩個顯示視窗。每個視窗都可以使用小鍵盤的up、down鍵上下滾動。使用w可以切換活動的窗口。

2.2.1.IP流量監視器的上部窗口
2.2.1.1.IP流量監視器上部視窗顯示內容
IPTraf的流量監視器上半部的的顯示視窗顯示當前的檢測到的TCP連接。主要包括TCP連接的如下資訊：
來源地址和埠
封包計數
位元組計數
來源MAC地址
封包大小
窗口(window)大小
TCP旗標(flag)
網路介面

IP流量監視器顯示兩個方向的TCP流量，視窗最左邊的是TCP連接的兩端(以主機:埠的格式顯示)。為了方便顯示，每個TCP連接對都相鄰一起顯示。
IP流量監視器上部窗口的每個條目都包括上述資料，注意，有些資料是不顯示的，要按m鍵才能顯示。

2.2.1.2.顯示條目排序

你可以對上半部視窗的顯示條目進行排序。按s鍵可以顯示一個排序功能表。按p鍵，會以封包的數量進行排序；按b鍵，會以位元組數進行排序。

2.2.2.底部顯示視窗

IP流量監視器的底部顯示視窗顯示其他種類的網路流量。IPTraf支援以下協定：
用戶資料報協定(User Datagram Protocol，UDP)
互聯網控制封包協定(Internet Control Message Protocol，ICMP)
開放式最短路徑優先(Open Shortest-Path First，OSPF)
內部閘道路由協定(Interior Gateway Routing Protocol,IGRP)
內部閘道協定(Interior Gateway Protocol,IGP)
互聯網組管理協定(Internet Group Management Protocol,IGMP)
General Routing Encapsulation (GRE)
位址解析協定(Address Resolution Protocol, ARP)
反向位址解析協定(Reverse Address Resolution Protocol,RARP)

另外，對於不認識的IP封包，IPTraf會顯示其協定編號；對於非IP封包IPTraf會在窗口中指出。在底部顯示的條目中，UDP封包也以位址:埠的格式顯示；ICMP條目包括ICMP協定類型。為了正確區分，每種協定都使用不同的顏色。

底部顯示視窗可以容納512個條目。可以使用上下箭頭鍵滾動。如果達到了512個條目，再有新的條目加入，最老的就會被丟掉。某些條目可能很長，你也可以使用左右鍵滾動顯示。使用w切換兩個顯示窗口的活動狀態。

2.3.網路介面的一般資訊統計(General Interface Statistics)

主功能表的第二個功能表項是網路介面的一般統計功能(General Interface Statistics)。在其顯示視窗中，IPTraf會顯示被監視網路介面的一般統計資訊，包括這些網路介面上通過的IP、非IP和壞IP(校驗和錯誤)封包的數量。

2.4.網路介面的細節資訊統計(Detailed Interface Statistics)
主功能表的第三個功能選項是網路介面的細節統計(Detailed Interface Statistics)功能。除了General Interface Statistics選項提供的統計資訊之外，Detailed Interface Statistics選項還提供有關網路介面的其他一些更為詳盡的統計資訊。它提供如下統計資訊：
IP封包數和位元組數。
TCP封包數和位元組數
UDP封包數和位元組數
ICMP封包數和位元組數
非IP類型的封包數和位元組數
其他IP類型的封包數和位元組數
校驗和錯誤計數
網路介面活動狀態
IP封包(IP、TCP、UDP、ICMP以及其他IP)的位元組數包括IP表頭和負載位元組數

你如果想直接啟動網路介面的細節統計功能，可以使用如下命令：
#iptraf -d eth0(或者其他的網路介面)

另外，你也可以打開日誌功能，把網路介面的細節統計資訊記錄到日誌文件中，預設的日誌檔案名是iface_stats_detailed-iface.log，其中iface以相關的網路設備名(例如：eth0)代替。

這個功能也是按x或者q鍵回到主功能表。

2.5.統計分析(Statistical Breakdowns)
使用IPTraf的統計分析(Statistical Breakdowns)功能，可以幫助你處理網路設置和監視網路的安全問題。IPTraf的統計分析包括：封包大小分析和TCP/UDP埠分析。

2.5.1.封包大小分析(Statistical Breakdown: Packet Sizes)
在主功能表的選擇：Statistical Breakdowns->By packet size就可以進入封包大小分析介面。在老版本的IPTraf中，這個功能屬於網路介面細節統計(detailed interface statistics)，後來才獨立出來。IPTraf根據網路介面最大傳輸單元(Maximum Transmission Unit，MTU)的大小，劃分出20個範圍，統計封包大小的分佈情況。

你也可以打開日誌功能，把封包大小分佈資訊記錄到日誌文件中，預設的日誌檔案名是packet_size-iface.log，其中iface以相關的網路設備名(例如：eth0)代替。

另外，使用以下命令行可以直接進入封包大小分析介面：
#iptraf -z eth0

按x或者Ctrl+X鍵退出。

2.5.2.TCP/UDP流量分析
IPTraf也可以對流過每個埠(小於1024)的TCP/UDP封包數量進行統計。

注意：顯示視窗顯示的位元組數包括IP表頭和IP負載，不包括資料連結頭。為了便於區分，TCP和UDP的顏色有所區別，TCP使用黃色，UDP使用綠色。

一些網路程式使用大於1023的埠。例如：有些WEB伺服器使用8080埠。在預設中，IPTraf不對這些埠的流量進行統計。你可以使用Configure->Additional port...功能表項填加另外的埠。

如果你打開了日誌功能，TCP/UDP流量分析的預設日誌文件是/var/log/iptraf/tcp_udp_services-iface.log，其中iface以相關的網路設備名(例如：eth0)代替。

你也可以對顯示條目進行排序。按s鍵可以顯示一個排序功能表；按p鍵，會以封包的數量進行排序；按b鍵，會以位元組數進行排序；按T鍵，以進入的封包數排序；按O鍵，以進入的位元組數排序；按F鍵，以向外的封包數進行排序；按M鍵，以向外的位元組數進行排序；按任意鍵取消排序。

另外，使用如下命令可以直接進入TCP/UDP流量分析介面：
#iptraf -s eth0

按x或者Ctrl+X鍵返回主功能表或者退出。

2.6.區域網路工作站統計(LAN Station Statistics)
使用IPTraf的區域網路工作站統計功能(LAN Station Statistics)，你可以得到區域網路節點(在混雜模式下能夠監聽到的節點，如果是交換機連接網路可能無法統計流入、流出的封包數量，這項功能對於乙太網、FDDI、PLIP有效，但是不能用於本地回路(lo)、ISDN和SLIP/PPP網路。統計資訊包括：
進入的封包數目
流入IP封包數
流入總位元組數
流入速率
流出封包總數
流出封包數
流出總位元組數
流出速率。

這裏的位元組數包括資料連結層表頭。速率的單位可以是kbits/s或者kbytes/s，由Activity mode設定選項決定。

你如果打開了日誌功能，所有的統計資訊就會被保存到/var/log/iptraf/lan_statistics-n.log文件中，n是實例號(iptraf可以在同一台主機上運行多次切互不干擾)。

為了管理方便，IPTraf區域網路工作站統計功能的顯示視窗內的條目也可進行排序。按s就可以彈出一個排序對話。，然後，按P鍵，以流入的封包數進行排序；按I鍵，以流入的IP封包數排序；按B鍵，以流入的位元組數進行排序；按K鍵盤，以流出的封包數排序；按O鍵，以流出的IP封包數排序；按Y鍵，以流出的位元組數排序。按任意鍵取消排序。

按X或者Q鍵盤可以從區域網路工作站統計顯示介面退出到主功能表。使用以下命令行可以直接進入區域網路工作站統計顯示介面：
#iptraf -e

3.顯示篩檢程式(Display Filter)

在實際的使用中，IP流量監視器會快速顯示大量資訊，而這其中的大部分資訊你可能並不關心。這時，你就可以使用顯示篩檢程式來控制IP流量監視器的顯示資訊。

3.1.TCP篩檢程式(TCP Filters)
使用這個功能，你可以定義一些參數決定在IP流量監視器顯示介面中顯示的TCP連接。

3.1.1.定義一個新的篩檢程式(Defining a New Filter)
預設安裝的IPTraf沒有任何的篩檢程式，因此你需要定義自己的篩檢程式。選擇TCP Display Filters->Define new filter...功能表項，會彈出一個對話方塊讓你輸入一個簡短的篩檢程式描述。輸入完成之後，按回車，會彈出另外一個對話方塊，要求你輸入來源地址和目的地址、子網路遮罩和服務埠。

網路位址可以是單一主機、網路以及整個網路位址空間，由子網路遮罩決定。例如：
單一主機 207.0.115.44：
IP 地址: 207.0.115.44
子網路遮罩: 255.255.255.255

屬於網路202.47.132.x的所有主機：
IP地址: 202.47.132.0
子網路遮罩: 255.255.255.0

所有IP地址:
IP 地址: 0.0.0.0
子網路遮罩 0.0.0.0

Include(包括)/Exclude(排除)域決定是否在顯示視窗中顯示這類條目。

3.1.2.TCP篩檢程式應用示例
監視202.47.132.1和207.0.115.44之間的TCP連接
Host name/IP Address 202.47.132.2 207.0.115.44
Wildcard mask 255.255.255.255 255.255.255.255
Port 0 0
Include/Exclude I

監視主機207.0.115.44和網路202.47.32.0之間的TCP連接：
Host name/IP Address 207.0.115.44 202.47.132.0
Wildcard mask 255.255.255.255 255.255.255.0
Port 0 0
Include/Exclude I

監視所有的WEB連接：
Host name/IP Address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 80 0
Include/Exclude I

監視從任意位址到主機202.47.132.2的SMTP埠的流量：
Host name/IP Address 202.47.132.2 0.0.0.0
Wildcard mask 255.255.255.255 0.0.0.0
Port 25 0
Include/Exclude I

監視主機sunsite.unc.edu之間cebu.mozcom.com的流量：
Host name/IP Address sunsite.unc.edu cebu.mozcom.com
Wildcard mask 255.255.255.255 255.255.255.255
Port 0 0
Include/Exclude I

忽略網路140.66.5.x和任意地址之間的流量
Host name/IP Address 140.66.5.x 0.0.0.0
Wildcard mask 255.255.255.0 0.0.0.0
Port 0 0
Include/Exclude E

如果定義了篩檢程式，IPTraf的IP流量監視器將只顯示篩檢程式指定連接的流量，其他一律不顯示。這類似於防火牆的預設禁止策略。因此，如果你想監視除了某個位址之外的所有連接，你只能首先定義一個排除類型的篩檢程式，最後定義一個包括(include)類型的篩檢程式。

例如：我們想顯示所有TCP連接上的網路流量，除了SMTP、WEB埠以及207.0.115.44的連接：
Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 25 0
Include/Exclude E

Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 80 0
Include/Exclude E

Host name/IP address 207.0.115.44 0.0.0.0
Wildcard mask 255.255.255.255 0.0.0.0
Port 0 0
Include/Exclude E

Host name/IP address 0.0.0.0 0.0.0.0
Wildcard mask 0.0.0.0 0.0.0.0
Port 0 0
Include/Exclude I

3.1.3.其他功能表項
篩檢程式定義完成之後，我們需要使用Applying a Filter功能表項使其生效；可以選擇Editing a Defined Filter功能表項，編輯現有的篩檢程式；選擇Deleting a Defined Filter功能表項，刪除一個篩檢程式；選擇Detaching a Filter功能表項使一個篩檢程式失效。

3.2.其他協定篩檢程式
IPTraf還支援其他類型的篩檢程式。不過，除了UDP篩檢程式之外，其他協定篩檢程式都只是開關(是否顯示這類協定)而已。UDP協定篩檢程式的設置和TCP篩檢程式的設置差不多，這裏就不多做贅述了。

4.IPTraf功能設定
你可以使用Configure功能表對IPTraf進行設定，所有的設定都會保存在/var/local/iptraf/iptraf.cfg或者/var/iptraf/iptraf.cfg。如果找不到設定文件，IPTraf就使用預設的設定。在IPTraf的主功能表中選擇Configure功能表項，就可以進入設定介面：

4.1.開關選項

4.1.1.反向查詢(Reverse Lookup)

IPTraf支援反向名稱解析，把IP位址轉換為主機名。不過，由於名稱反向解析比較慢，因此可能造成丟包。在預設情況下，這個選項是關閉的。

4.1.2.TCP/UDP服務名(TCP/UDP service Names)

IPTraf可以使用/etc/services文件把埠號轉換為對應的服務名，例如：80埠對應WWW服務。預設情況下，這個選項也是關閉的。

4.1.3.強制混雜模式(Force promiscuous)
打開了這個選項，可以使你自己的網路設備進入混雜模式。這樣可以捕獲你所在區域網路的所有封包，這個選項對乙太網和FDDI有效，

4.1.4.色彩(Color)
決定是否採用彩色顯示方式。

4.1.5.日誌(logging)
打開日誌功能，可以使IPTraf把統計和分析結果保存到磁片，便於以後的分析。

4.1.6.活動模式(Activity mode)
切換速率單位(kbits/s和kbytes/s)。預設的速率單位是kbits/s。

4.1.6.Source MAC addrs in traffic monitor
決定是否在IP流量監視器中顯示封包的MAC來源位址，對於乙太網路、FDDI或者PLIP網路介面有效。對於非TCP封包(IP流量監視器的下部分顯示視窗)封包的MAC來源位址直接在視窗中顯示，對於TCP封包(IP流量監視器的上部分顯示窗)，需要按M鍵。

4.2.時鐘選項(Timers)
你可以使用Timers子功能表設置IPTraf的各種時間間隔和超時時間。

4.2.1.TCP超時(TCP Timeout)

設置空閒連接條目保留的時間，超過這個時間就被一個新的連接代替。預設值是15分鐘。

4.2.2.日誌更新間隔(Log Interval)

這個選項設置每個多少分鐘保存日誌資訊，預設值是60分鐘。

4.2.3.螢幕更新頻率(Screen Update Interval

這個選項設置每間隔多少秒鐘更新螢幕。預設值是0，表示盡可能快地更新螢幕。

4.2.4.TCP關閉/空閒保留時間(TCP closed/idle persistence)

這個參數決定關閉、空閒和超時的TCP連接在IP流量監視器顯示視窗中保留多少分鐘。預設值是0，表示一直保留這些連接，直到被新的連接代替。

4.3.埠號設定選項

4.3.1.額外的埠(Additional port)

預設情況下，IPTraf只對小於1024的埠號進行流量分析，使用這個選項可以填加你需要進行流量分析的埠。這個選項還可以定義埠範圍。

4.3.2.刪除埠/埠範圍(Delete port/range)

自然是和上面的選項相反了，刪除上一個選項定義的埠或者埠範圍。

4.4.區域網路工作站識別號(LAN Station Identifiers)

IPTraf的區域網路工作站統計是基於MAC位址的。但是十六進位的MAC位址非常難以記憶，因此IPTraf引入了區域網路工作站識別號(LAN Station Identifiers)。使用區域網路工作站識別號(LAN Station Identifiers)可以幫助你更好地區別區域網路內的工作站。

在主功能表中選擇Ethernet/PLIP host descriptions or FDDI host descriptions功能表選項，就會出現一個子功能表，你可以通過這個子功能表填加、編輯刪除.區域網路工作站識別號。

5. 參考資訊

1. http://iptraf.seul.org/ 網站﹐ 有最完整的程式及文件。