CENTOS6.3下使用Iptraf進行基于端口的網絡流量的分析

Iptraf相比于nload是一款linux環境下，監控具體端口網絡流量的一款絕佳的免費小軟體.

系統環境：centos6.3

Iptraf：  iptraf-3.0.0

二、檢視依賴包：

# rpm -qa | grep gcc

# rpm -qa | grep glibc

# rpm -qa | grep ncurses

假如沒有，則請安裝相應開發包(centos預設安裝源)

# yum install gcc glibc ncurses

三、安裝

# wget ftp://iptraf.seul.org/pub/iptraf/iptraf-3.0.0.tar.gz

# tar zxf Iptraf-3.0.0.tar.gz

# cd Iptraf-3.0.0

# ./Setup

至此，安裝完畢。

　　安裝程式會将執行程式安裝到 /usr/local/bin 目錄下，并創 /var/local/Iptraf 目錄放置Iptraf的配置文檔，同時建立 /var/log/Iptraf 目錄放置Iptraf産生的日志文檔。

四、運作Iptraf

# /usr/local/bin/iptraf

運作I後會産生一個字元界面的菜單，點選x能夠退出 Iptraf，各菜單說明如下：

1、菜單Configure...

在這裡能夠對 Iptraf 進行配置，任何的修改都将儲存在文檔：/var/local/Iptraf/Iptraf.cfg 中

--- Reverse DNS Lookups 選項，對IP位址反查 DNS名，預設是關閉的。

--- TCP/UDP Service Names 選項，使用伺服器代替端口号，例如用www 代替80，預設是關閉的。

--- Force promiscuous 混雜模式，此時網卡将接受任何到達的資料，不管是不是發給自己的。

--- Color 終端顯示彩色，當然用telnet ,ssh連接配接除外，也就是用不支援顔色的終端連接配接肯定還是沒有顔色。

--- Logging 同時産生日志文檔，在/var/log/Iptraf 目錄下。

--- Activity mode 能夠選擇統計機關是kbit/sec 還是 kbyte/sec 。

--- Source MAC addrs in traffic monitor 選擇後，會顯示資料包的源MAC位址。

2、菜單Filters...

　　在這裡能夠配置過濾規則，這是最有用的選項了，當您從遠端連入監控機時，自己的機器和監控機會産生源源不斷的tcp資料包，有時很令人讨厭，此時您就能夠将自己的ip位址排除在外。

　　他包括六個選項，分别是：Tcp、Udp、Other IP、ARP、RARP、Non-ip。我們以TCP為例說明，其他選項的配置都很相似。

--- Defining a New Filter

　　選擇Defining a New Filter後，會出來一對話框，需要填入對所建的目前規則的描述名，然後回車确定，Ctrl＋x取消。再接着出現的對話框裡，Host name/IP address:的First裡面填源位址，Second裡填目标位址，Wildcard mask的兩個框裡面分别是源位址和目标位址所對應的掩碼，注意，這裡的位址即能夠是單個位址，也能夠是個網段，假如是單個IP，則相應的子網路遮罩要填成255.255.255.255，假如是個網段，則填寫相應的子網路遮罩：例如，想表示192.168.0.0，有256個IP位址的網段，則填寫192.168.0.0，子網是：255.255.255.0，其他類推，All則用0.0.0.0，子網也是0.0.0.0表示。

　　Port：欄需要填入要過濾的端口号，0表示任意端口号。Include/Exclude欄需要填入I或E，I表示包括，E表示排除。填寫完畢，回車确認，Ctrl x取消。

--- Applying a Filter

　　我們在上一步定義的一個或多個過濾規則會存儲為一個過濾清單，在沒有應用之前并不起作用，我們能夠在這裡選擇我們應用那些過濾規則。任何應用的規則會一直起作用，即使重新啟動Iptraf。我們能夠執行Detaching a Filter來取消執行目前任何應用的規則。

--- Editing a Defined Filter 編輯一個已存在的規則

--- Deleting a Defined Filter 删除一個已定義的規則

--- Detaching a Filter 取消執行目前任何應用的規則

3、菜單IP Traffic Monitor

　　IP資料包流量實時監控視窗，注意這裡會監控任何的來往資料包，包括自己的，是以，假如您使用遠端終端連接配接上來的話，您和監控機将會源源不斷的産生資料流，是以建議在Filters...菜單中将自己的IP過濾掉，是他不産生影響。在這裡能夠實時的看到每一個連接配接的流量狀态，他有兩個視窗，上面的是TCP的連接配接狀态，下面的視窗能夠看到UDP、ICMP、OSPF、IGRP、IGP、IGMP、GRE、ARP、RARP的資料包。能夠點選s鍵選擇排序，能夠按照包的數量排序，也可按照位元組的大小排序，假如因為他是實時變化的而導緻看不太清楚的話，能夠在Configure菜單中把Logging功能打開，他就會在/var/log/Iptraf 目錄中記錄日志，以友善您在日後檢視，當Logging功能打開後，當您開始監控Iptraffic時，程式會提示您輸入Log文檔的文檔名，預設的是ip_traffic-1.log。

　　在一個比較繁忙的網絡裡，顯示的結果可能很亂，以至于您很難找到自己感興趣的資料，這時能夠使用Filters菜單，來過濾顯示的資料。

4、菜單General Interface Statistics

　　這裡顯示每個網絡裝置出去和進入的資料流量統計資訊，包括總計、IP包、非IP包、Bad IP包、更有每秒的流速，機關是kbit/sec或是kbyte/sec ，這由Configure菜單的Activity選項決定。

假如配置了Filter選項，這裡也受到影響。

5、菜單Detailed Interface Statistics

這裡包括了每個網絡裝置的周詳的統計資訊，很簡單，不再贅述。

6、Statistical Breakdowns

這裡提供更周詳的統計資訊，能夠按包的大小分類，分别統計；也能夠按Tcp/Udp的服務來分類統計，也不再贅述。

7、LAN Station Statistics

提供對每個網絡位址通過本機的資料的統計資訊。

     本文轉自 showerlee 51CTO部落格，原文連結：http://blog.51cto.com/showerlee/1190365，如需轉載請自行聯系原作者