iptraf網絡監控

IPTraf 網絡監控工具使用說明

iptraf的老家： http://iptraf.seul.org 中文手冊原文： [url]http://oldsite.[/url]linuxaid.com.cn/solution/showsol.jsp?i=380 網絡監控工具：IPTraf 簡介 1.安裝 1.1.系統需求 1.2.安裝 1.3.啓動IPTraf 1.4.命令行選項 1.5.進入菜單界面 2.使用IPTraf 2.1.通常信息 2.2.IP流量監視 2.3.網絡接口的通常信息統計(General Interface Statistics) 2.4.網絡接口的細節信息統計(Detailed Interface Statistics) 2.5.統計分析(Statistical Breakdowns) 2.6.局域網工做站統計(LAN Station Statistics) 3.顯示過濾器(Display Filter) 3.1.TCP過濾器(TCP Filters) 3.2.其它協議過濾器 4.IPTraf配置 4.1.開關選項> 4.2.時鐘選項(Timers) 4.3.信息定置選項 4.4.局域網工做站標誌符(LAN Station Identifiers) 簡介 IPTraf是一個IP網絡監控工具。它攔截網絡上的報文，給出報文各個部分的信息。IPTraf可以返回的信息包括： IP、TCP、UDP、ICMP報文總數和非IP字節數。 TCP鏈接的源/目的地址和源/目的端口。 TCP報文數和字節數。 TCP標誌狀態。 UDP源/目的信息。 ICMP類型信息。 OSPF源/目的信息。 TCP和UDP服務統值。 網絡接口報文計數。 網絡接口IP校驗和錯誤數目。 網絡接×××動指示器。 LAN統計 IPTraf可以用於監視IP網絡的負載。IPTraf使用Linux內核的內置原始(raw)包捕獲接口，能夠普遍地用於以太網卡，支持FDDI適配器、ISDN適配器以及任何異步SLIP/PPP接口。 1.安裝 1.1.系統需求 編譯、使用IPTraf須要具有如下條件： 80386或者更好的計算機(要求不高)，天然是配置越高越好。配置越好，越不容易發生丟包現象。IPTraf可能也能夠用於其它體系的處理器(SPARC、Alpha、M68K、PowerPC等)，不過沒有測試過。 Linux 2.2.0以及更新版本內核 注意：你若是使用本身編譯的內核，要打開 Packet Socket內核編譯選項，不然IPTraf就沒法執行。 8M以上的內存，16M以上的虛擬內存。×××。 GNU C動態庫。預編譯的程序不須要ncurses動態庫。若是你要本身編譯，須要ncurses和panels動態庫。 /usr/share/terminfo內的Terminfo數據庫。 控制檯或者高速終端。 以太網、FDDI、ISDN、PLIP或者異步SLIP/PPP接口。 IPTraf不須要X Window系統。 1.2.安裝 你能夠從 [url]http://iptraf.seul.org[/url] 下載IPTraf。而後使用以下命令安裝IPTraf： 解壓文件 #tar zxvf Iptraf-2.4.0.tar.gz #cd iptraf-x.y.z 執行setup腳本，這一步要以root的權限進行，setup會自動編譯並把IPTraf安裝到/usr/local/bin目錄中,同時也會創建其它的目錄： ./Setup 1.3.啓動IPTraf 安全完成以後，只要在shell中輸入： #iptraf 就能夠啓動IPTraf。首先你將看到版權聲明，按任意鍵後就進入了主菜單。注意：使用iptraf須要root權限。IPTraf須要引用/usr/share/terminfo目錄中的終端信息數據庫，所以若是這個目錄位於其它的位置，IPTraf將輸出"Error opening terminal"錯誤信息以後，啓動失敗。通常在Slackware中可能出現這種錯誤，由於在Slackware發佈中，terminfo通常位於/usr/lib/terminfo。這種狀況能夠經過以下方式解決： #TERMINFO=/usr/lib/terminfo #export TERMINFO 或者填加一個鏈接： #ln -s /usr/lib/terminfo /usr/share/terminfo 另外，成IPTraf目前還不支持SIGWINCH處理功能，在xterm或者其它的終端啓動iptraf，若是終端的大小改變，IPTraf本身不會調節本身的大小。 1.4.命令行選項 與大多數UNIX系統的命令同樣，IPTraf還支持一些命令行參數，雖然很少。如下是iptraf支持的全部功能選項： -i 網絡接口 讓IPTraf監視特定的網絡接口，例如：eth0。-i all表示監視系統的全部網絡接口。 -g 網絡接口的通常統計信息。 -d 網絡接口 顯示特定網絡接口的詳細統計信息。 -s 網絡接口 對特定網絡接口的TCP/UDP數據流量進行監視。 -z 網絡接口 監視局域網的特定網絡接口。-l all表示所有。 -t timeout    使IPTraf在指定的時間後，自動退出。若是沒有設置IPTraf就會一直運行，直到用戶按下退出鍵(x)才退出。 -B 使IPTraf在後臺運行。單獨使用無效(被忽略直接進入菜單界面)，只能和-i、-g、-d、-s、-z、-l中的某個參數一塊使用。 -L filename 若是使用-B參數，使用-L filename使IPTraf把日誌信息寫入其它的文件(filename)中。若是filename不包括文件的絕對路徑，就把文件放在默認的日誌目錄(/var/log/iptraf)。 -q 這個參數如今已經不用了。原來，若是IPTraf運行在使用IP地址假裝(IP Masquerading)的內核上時，會出現大量的警告信息。如今新版的IP Masquerading代碼已經沒有這個問題了。 -f 使IPTraf強制清除全部的加鎖文件，重置全部實例計數器。 -h 顯示簡短的幫助信息 1.5.進入菜單界面 前面已經講過，不使用任何參數運行IPTraf就會進入菜單界面。使用上、下箭頭鍵移動菜單選擇條。還可使用每一個菜單項中加亮的字母做爲運行某個菜單選項的快捷鍵。 2.使用IPTraf 2.1.通常信息 2.1.1.數字表示 IPTraf可以計量接經過的報文數和字節數。由於數字的增加會很快，因此IPTraf使用了一些符號來表示較大的數字，這些符號包括：K(1x10E3)、M(1x10E6)、G(1x10E九、T(1x10E12)。這些符號和它們一般表示的數目不同。例如： 1024K=1024000 1024M=1024000000 1024G=1024000000000 1024T=1024000000000000 2.1.2.實例和日誌 IPTraf容許同時運行多個進程，可是一次只有一個進程監聽某個或者全部的網絡接口。不過通常接口統計(General Interface Statistics)功能除外，一次只能有一個進程執行這個操做。 IPTraf的這個特性帶來了一個問題，每一個進程都要產生日誌文件。若是你打開了IPTraf的日誌功能，在你使用某個功能時，它都會提示你設置日誌文件的名字。這時，你須要本身指定每一個示例的日誌文件。若是日誌文件發生衝突，可能會有沒法預料的事情發生。若是你沒有指定日誌文件的絕對路徑，它們就會被記錄到默認的日誌目錄：/var/log/iptraf。 2.1.3.支持的網絡接口 IPTraf目前支持以下網絡接口: lo 本機迴環接口。每臺機器都有這個接口，IP地址是127.0.0.1。 ethn(n>=0) 以太網接口，n是從0開始的整數。eth0是第一個以太網接口，eth1是第二個網絡接口。 fddin(n>=0) FDDI(光纖分佈式數字接口)接口，n是從0開始的整數。 pppn(n>=0) PPP(點到點協議)接口，n是從0開始的整數。 slin(n>=0) SLIP(串行線路接口協議)接口，n是從0開始的整數。 ipppn(n>=0) 使用ISDN的同步PPP接口，n是從0開始的整數。 isdnn(n>=0) ISDN(綜合業務數字網)接口。不過ISDN接口的命名比較隨意，只有以isdnn命名才能被IPTraf使用。IPTraf支持同步PPP接口、原始IP和Cisco-HDLC encapsulation。 plipn(n>=0) PLIP接口。使用PC並口的一種點到點IP鏈接協議。 2.2.IP流量監視 執行IPTraf的IP Traffic Monitor菜單項或者使用-i命令行，你就可使用IPTraf的IP流量監視功能。使用這個功能，你能夠實時地監視在被監聽網絡接口上經過的全部報文。IPTraf的監視器對IP報文進行解碼，顯示報文的特定信息，例如：源地址和目的地址。除此以外，它還能夠辨別出IP封裝的協議(例如：TCP、UDP等)，並顯示這些協議的某些重要信息。 IPTraf的IP流量監視器有兩個顯示窗口。每一個窗口均可以使用小鍵盤的up、down鍵上下滾動。使用w能夠切換活動的窗口。 2.2.1.IP流量監視器的上部窗口 2.2.1.1.IP流量監視器上部窗口顯示內容 IPTraf的流量監視器上部的的顯示窗口顯示當前的檢測到的TCP鏈接。主要包括TCP鏈接的以下信息： 源地址和端口 報文計數 字節計數 源MAC地址 報文大小 窗口(window)大小 TCP標誌(flag) 網絡接口 使用up、down鍵滾動TCP窗口能夠看到更多的鏈接信息。IPTraf的IP流量監視器不區分鏈接的客戶端和服務器端。它能夠在混雜模式下工做，監視局域網的鏈接狀態。 IP流量監視器顯示兩個方向的TCP流量，窗口最左邊的是TCP鏈接的兩端(以主機:端口的格式顯示)。爲了方便顯示，每一個TCP鏈接對都使用[鏈接到了一塊兒。 IP流量監視器上部窗口的每一個條目都包括以下域，注意：在默認狀況下，有些域是不顯示的，要按m鍵才能顯示： 源地址。端口(Source address and port) 以源地址:端口的格式顯示。表示數據的來源。目的地址和端口是[另外一頭的源地址:端口對。 報文計數(Packet count) 接收到的報文數目。 字節計數(Byte count) 收到的字節數。這個數目包括IP、TCP頭信息和實際的數據。數據鏈路層的報頭不包括在內。 MAC源地址(Source MAC address) 投遞這個報文的MAC地址。要使用這個功能首先要使用配置菜單(Configure)打開Source MAC addrs in traffic monitor功能，而後按m鍵就能夠了。 報文大小(Packet Size) 最近收到報文的大小。要使用m鍵才能顯示。這個值只是IP報文的大小，數據鏈路包頭不包括在內。 窗口大小(Window Size) 最近收到報文的窗口大小。這個項也須要按M鍵盤才能顯示。 標誌狀態(Flag statuses) 最近收到的報文的TCP標誌 S 同步標誌(SYN)，用於創建鏈接。S---表示發起鏈接，S-A-表示對鏈接請求的迴應。 A 確認有效標誌(ACK)。 P PSH。本報文段請求一次推進(PUSH)。對於發送方，強制協議軟件不等一個緩衝區填滿就發送全部數據；對於接收方，使TCP不加延遲地將數據提供給應用程序。 U URG。表示這個報文包含緊急數據。 RESET RST。重置鏈接標誌。 DONE FIN。發送放再也不發送任何數據，關閉鏈接。 CLOSED FIN被另外一端主機確認。 2.2.1.2.rvnamed進程 在使用IP流量監視功能時，IPTraf會啓動一個精靈進程rvnamed來加速域名反查的速度。在rvnamed的域名反查完成以後，IPTraf就會使用報文來源的域名來代替IP地址。之因此在IPTraf中使用獨一的域名反查程序是由於標準的域名反查調用會阻塞進程，直到域名反查功能完成，比較浪費時間。 2.2.1.3.IP轉發和IP地址假裝 若是內核具備IP假裝功能，老版本的IPTraf須要處理警告信息。不過，新版本內核已經對IP轉發和IP假裝功能進行了改寫，IPTraf再也不須要處理有關的錯誤信息了。所以，-q命令選項已經失去做用。 對於沒有IP地址假裝的IP轉發，轉發主機會在同一個TCP鏈接出現兩次，不過進、出的網絡接口是不一樣的；對於進行IP地址假裝的主機，每一個TCP鏈接的兩端分別是內部/外部網地址和接口。 2.2.1.4.鏈接的關閉(closed)、空閒(idle)和超時(time out) 實際應用過程當中，常常會出現一些被關閉、被重置，或者空閒時間很長的鏈接。若是這些鏈接太多，IPTraf會自動把活動的鏈接提到顯示窗口的上面。你還能夠經過configure->timer->TCP closed/idle persistence...配置菜單設置IPTraf自動清理這些鏈接的時間，或者使用f鍵手工清理。 2.2.1.5.顯示條目排序 你能夠對上部窗口的顯示條目進行排序。按s鍵能夠顯示一個排序菜單。按p鍵，會以報文的數量進行排序；按b鍵，會以字節數進行排序。 2.2.2.底部顯示窗口 IP流量監視器的底部顯示窗口顯示其它種類的網絡流量。IPTraf支持如下協議： 用戶數據報協議(User Datagram Protocol，UDP) 互聯網控制報文協議(Internet Control Message Protocol，ICMP) 開放式最短路徑優先(Open Shortest-Path First，OSPF) 內部網關路由協議(Interior Gateway Routing Protocol,IGRP) 內部網關協議(Interior Gateway Protocol,IGP) 互聯網組管理協議(Internet Group Management Protocol,IGMP) General Routing Encapsulation (GRE) 地址解析協議(Address Resolution Protocol, ARP) 反向地址解析協議(Reverse Address Resolution Protocol,RARP) 另外，對於不認識的IP報文，IPTraf會顯示其協議號；對於非IP報文IPTraf會在窗口中指出。在底部顯示的條目中，UDP報文也以地址:端口的格式顯示；ICMP條目包括ICMP協議類型。爲了正確區分，每種協議都使用不一樣的顏色。 底部顯示窗口能夠容納512個條目。可使用上下箭頭鍵滾動。若是達到了512個條目，再有新的條目加入，最老的就會被丟掉。某些條目可能很長，你也可使用左右鍵滾動顯示。使用w切換兩個顯示窗口的活動狀態。 你若是打開了配置菜單(Configure)的Source MAC addrs in traffic monitor功能，IPTraf也會顯示收到的非IP報文的來源MAC地址。 2.3.網絡接口的通常信息統計(General Interface Statistics) 主菜單的第二個菜單項是網絡接口的通常統計功能(General Interface Statistics)。在其顯示窗口中，IPTraf會顯示被監視網絡接口的一些通常統計信息，包括這些網絡接口上經過的IP、非IP和壞IP(校驗和錯誤)報文的的數量。還有一個活動指示器顯示每秒經過每一個網絡接口的報文數目，這個活動指示器使用Activity mode配置選項控制開/關的。若是你打開了日誌功能(配置菜單的logging選項)，全部的統計信息將被複制到/var/log/iptraf/iface_stats_general.log文件中。 你能夠按x或者q鍵回到主菜單。 2.4.網絡接口的細節信息統計(Detailed Interface Statistics) 主菜單的第三個功能選項是網絡接口的細節統計(Detailed Interface Statistics)功能。除了General Interface Statistics選項提供的統計信息以外，Detailed Interface Statistics選項還提供有關網絡接口的其它一些更爲詳盡的統計信息。它提供以下統計信息： IP報文數和字節數。 TCP報文數和字節數 UDP報文數和字節數 ICMP報文數和字節數 非IP類型的報文數和字節數 其它IP類型的報文數和字節數 校驗和錯誤計數 網絡接×××動狀態 IP報文(IP、TCP、UDP、ICMP以及其它IP)的字節數包括IP包頭和負載字節數，而數據鏈路包頭不包括在內；在總(total)字節數和非IP報文計數數中包括數據鏈路包頭的字節數。 你若是想直接啓動網絡接口的細節統計功能，可使用以下命令： #iptraf -d eth0(或者其它的網絡接口) 另外，你也能夠打開日誌功能，把網絡接口的細節統計信息記錄到日誌文件中，默認的日誌文件名是iface_stats_detailed-iface.log，其中iface以相關的網絡設備名(例如：eth0)代替。 這個功能也是按x或者q鍵回到主菜單。 2.5.統計分析(Statistical Breakdowns) 使用IPTraf的統計分析(Statistical Breakdowns)功能，能夠幫助你優化網絡設置和監視網絡的安全問題。IPTraf的統計分析包括：報文大小分析和TCP/UDP端口分析。 2.5.1.報文大小分析(Statistical Breakdown: Packet Sizes) 在主菜單的選擇：Statistical Breakdowns->By packet size就能夠進入報文大小分析界面。在老版本的IPTraf中，這個功能屬於網絡接口細節統計(detailed interface statistics)，後來才獨立出來。IPTraf根據網絡接口最大傳輸單元(Maximum Transmission Unit，MTU)的大小，劃分出20個範圍，統計報文大小的分佈狀況。 你也能夠打開日誌功能，把報文大小分佈信息記錄到日誌文件中，默認的日誌文件名是packet_size-iface.log，其中iface以相關的網絡設備名(例如：eth0)代替。 另外，使用如下命令行能夠直接進入報文大小分析界面： #iptraf -z eth0 按x或者Ctrl+X鍵退出。 2.5.2.TCP/UDP流量分析 IPTraf也能夠對流過每一個端口(小於1024)的TCP/UDP報文數量進行統計。 注意：顯示窗口顯示的字節數包括IP包頭和IP負載，不包括數據鏈路頭。爲了便於區分，TCP和UDP的顏色有所區別，TCP使用×××，UDP使用綠色。 一些網絡程序使用大於1023的端口。例如：有些WEB服務器使用8080端口；htts使用443端口。在默認設置中，IPTraf不對這些端口的流量進行統計。你可使用Configure->Additional port...菜單項填加另外的端口。 若是你打開了日誌功能，TCP/UDP流量分析的默認日誌文件是/var/log/iptraf/tcp_udp_services-iface.log，其中iface以相關的網絡設備名(例如：eth0)代替。 你也能夠對顯示條目進行排序。按s鍵能夠顯示一個排序菜單；按p鍵，會以報文的數量進行排序；按b鍵，會以字節數進行排序；按T鍵，以進入的報文數排序；按O鍵，以進入的字節數排序；按F鍵，以向外的報文數進行排序；按M鍵，以向外的字節數進行排序；按任意鍵取消排序。 另外，使用以下命令能夠直接進入TCP/UDP流量分析界面： #iptraf -s eth0 按x或者Ctrl+X鍵返回主菜單或者退出。 2.6.局域網工做站統計(LAN Station Statistics) 使用IPTraf的局域網工做站統計功能(LAN Station Statistics)，你能夠獲得局域網節點(在混雜模式下可以監聽到的節點，若是是交換網絡可能沒法實現)流入、流出的報文數量，這項功能對於以太網、FDDI、PLIP有效，可是不能用於本地迴環(lo)、ISDN和SLIP/PPP網絡。統計信息包括： 進入的報文數目 流入IP報文數 流入總字節數 流入速率 流出報文總數 流出報文數 流出總字節數 流出速率。 這裏的字節數包括數據鏈路層包頭。速率的單位能夠是kbits/s或者kbytes/s，由Activity mode配置選項決定。 你若是打開了日誌功能，全部的統計信息就會被保存到/var/log/iptraf/lan_statistics-n.log文件中，n是實例號(iptraf能夠在同一臺主機上運行屢次切互不干擾)。 爲了管理方便，你也IPTraf局域網工做站統計功能的顯示窗口內的條目進行排序。按s就能夠彈出一個排序對話。，而後，按P鍵，以流入的報文數進行排序；按I鍵，以流入的IP報文數排序；按B鍵，以流入的字節數進行排序；按K鍵盤，以流出的報文數排序；按O鍵，以流出的IP報文數排序；按Y鍵，以流出的字節數排序。按任意鍵取消排序。 按X或者Q鍵盤能夠從局域網工做站統計顯示界面退出到主菜單。使用如下命令行能夠直接進入局域網工做站統計顯示界面： #iptraf -e 3.顯示過濾器(Display Filter) 在實際的使用中，IP流量監視器會快速顯示大量信息，而這其中的大部分信息你可能並不關心。這時，你就可使用顯示過濾器來控制IP流量監視器的顯示信息。 3.1.TCP過濾器(TCP Filters) 使用這個功能，你能夠定義一些參數決定在IP流量監視器顯示界面中顯示的TCP鏈接。 3.1.1.定義一個新的過濾器(Defining a New Filter) 默認安裝的IPTraf沒有任何的過濾器，所以你須要定義本身的過濾器。選擇TCP Display Filters->Define new filter...菜單項，會彈出一個對話框讓你輸入一個簡短的過濾器描述。輸入完成以後，按回車，會彈出另一個對話框，要求你輸入源地址和目的地址、子網掩碼和服務端口。 網絡地址能夠是單一主機、網絡以及整個網絡地址空間，由子網掩碼決定。例如： 單一主機 207.0.115.44： IP 地址: 207.0.115.44 子網掩碼: 255.255.255.255 屬於網絡202.47.132.x的全部主機： IP地址: 202.47.132.0 子網掩碼: 255.255.255.0 全部IP地址: IP 地址: 0.0.0.0 子網掩碼 0.0.0.0 Include(包括)/Exclude(排除)域決定是否在顯示窗口中顯示這類條目。 3.1.2.TCP過濾器應用示例 監視202.47.132.1和207.0.115.44之間的TCP鏈接 Host name/IP Address 202.47.132.2 207.0.115.44 Wildcard mask 255.255.255.255 255.255.255.255 Port 0 0 Include/Exclude I 監視主機207.0.115.44和網絡202.47.32.0之間的TCP鏈接： Host name/IP Address 207.0.115.44 202.47.132.0 Wildcard mask 255.255.255.255 255.255.255.0 Port 0 0 Include/Exclude I 監視全部的WEB鏈接： Host name/IP Address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 80 0 Include/Exclude I 監視從任意地址到主機202.47.132.2的SMTP端口的流量： Host name/IP Address 202.47.132.2 0.0.0.0 Wildcard mask 255.255.255.255 0.0.0.0 Port 25 0 Include/Exclude I 監視主機sunsite.unc.edu之間cebu.mozcom.com的流量： Host name/IP Address sunsite.unc.edu cebu.mozcom.com Wildcard mask 255.255.255.255 255.255.255.255 Port 0 0 Include/Exclude I 忽略網絡140.66.5.x和任意地址之間的流量 Host name/IP Address 140.66.5.x 0.0.0.0 Wildcard mask 255.255.255.0 0.0.0.0 Port 0 0 Include/Exclude E 若是定義了過濾器，IPTraf的IP流量監視器將只顯示過濾器指定鏈接的流量，其它一概不顯示。這相似於防火牆的默認禁止策略。所以，若是你想監視除了某個地址以外的全部鏈接，你只能首先定義一個排除類型的過濾器，最後定義一個包括(include)類型的過濾器(全部的域所有是0)。 例如：咱們想顯示全部TCP鏈接上的網絡流量，除了SMTP、WEB端口以及207.0.115.44的鏈接： Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 25 0 Include/Exclude E Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 80 0 Include/Exclude E Host name/IP address 207.0.115.44 0.0.0.0 Wildcard mask 255.255.255.255 0.0.0.0 Port 0 0 Include/Exclude?E Host name/IP address 0.0.0.0 0.0.0.0 Wildcard mask 0.0.0.0 0.0.0.0 Port 0 0 Include/Exclude I 3.1.3.其它菜單項 過濾器定義完成以後，咱們須要使用Applying a Filter菜單項使其生效；能夠選擇Editing a Defined Filter菜單項，編輯現有的過濾器；選擇Deleting a Defined Filter菜單項，刪除一個過濾器；選擇Detaching a Filter菜單項使一個過濾器失活。這都比較簡單，在此就很少作贅述了。 3.2.其它協議過濾器 IPTraf還支持其它類型的過濾器。不過，除了UDP過濾器以外，其它協議過濾器都只是開關(是否顯示這類協議)而已。UDP協議過濾器的設置和TCP過濾器的設置差很少，這裏就很少作贅述了。 4.IPTraf配置 你可使用Configure配置菜單對IPTraf進行配置，全部的配置都會保存在/var/local/iptraf/iptraf.cfg或者/var/iptraf/iptraf.cfg。若是找不到配置文件，IPTraf就使用默認的配置。在IPTraf的主菜單中選擇Configure菜單項，就能夠進入配置界面： 4.1.開關選項 4.1.1.反向查詢(Reverse Lookup) IPTraf支持反向域名解析，把IP地址轉換爲主機名。不過，因爲域名反向解析比較慢，所以可能形成丟包。在默認狀況下，這個選項是關閉的。 4.1.2.TCP/UDP服務名(TCP/UDP service Names) IPTraf可使用/etc/services文件把端口號轉換爲對應的服務名，例如：80端口對應WWW服務。默認狀況下，這個選項也是關閉的。 4.1.3.強制混雜模式(Force promiscuous) 打開了這個選項，可使你本身的網絡設備進入混雜模式。這樣能夠捕獲你所在局域網的全部報文，這個選項對以太網和FDDI有效， 4.1.4.色彩(Color) 決定是否採用彩色顯示方式。 4.1.5.日誌(logging) 打開日誌功能，可使IPTraf把統計和分析結果保存到磁盤，便於之後的分析。有關日誌文件的設置，咱們在前面已經穿插介紹過了 4.1.6.活動模式(Activity mode) 切換速率單位(kbits/s和kbytes/s)。默認的速率單位是kbits/s。 4.1.6.Source MAC addrs in traffic monitor 決定是否在IP流量監視器中顯示報文的MAC源地址，對於以太網、FDDI或者PLIP網絡接口有效。對於非TCP報文(IP流量監視器的下部分顯示窗口)報文的MAC源地址直接在窗口中顯示，對於TCP報文(IP流量監視器的上部分顯示窗)，須要按M鍵。 4.2.時鐘選項(Timers) 你可使用Timers子菜單設置IPTraf的各類時間間隔和超時時間。 4.2.1.TCP超時(TCP Timeout) 設置空閒鏈接條目保留的時間，超過這個時間就被一個新的鏈接代替。默認值是15分鐘。 4.2.2.日誌更新間隔(Log Interval) 這個選項設置每一個多少分鐘保存日誌信息，默認值是60分鐘。 4.2.3.屏幕刷新頻率(Screen Update Interval 這個選項設置每間隔多少秒鐘刷新屏幕。默認值是0，表示儘量快地刷新屏幕。 4.2.4.TCP關閉/空閒保留時間(TCP closed/idle persistence) 這個參數決定關閉、空閒和超時的TCP鏈接在IP流量監視器顯示窗口中保留多少分鐘。默認值是0，表示一直保留這些鏈接，直到被新的鏈接代替。 4.3.信息定置選項 4.3.1.額外的端口(Additional port) 上面講過，默認狀況下，IPTraf只對小於1024的端口號進行流量分析，使用這個選項能夠填加你須要進行流量分析的端口。這個選項還能夠定義端口範圍。 4.3.2.刪除端口/端口範圍(Delete port/range) 天然是和上面的選項相反了，刪除上一個選項定義的端口或者端口範圍。 4.4.局域網工做站標誌符(LAN Station Identifiers) IPTraf的局域網工做站統計是基於MAC地址的。可是十六進制的MAC地址很是難以記憶，所以IPTraf引入了局域網工做站標誌符(LAN Station Identifiers)。使用局域網工做站標誌符(LAN Station Identifiers)能夠幫助你更好地區別局域網內的工做站。 在主菜單中選擇Ethernet/PLIP host descriptions or FDDI host descriptions菜單選項，就會出現一個子菜單，你能夠經過這個子菜單填加、編輯刪除.局域網工做站標誌符。   本文來自ChinaUnix博客，若是查看原文請點：[url]http://blog.chinaunix.net/u2/61207/showart_724783.html[/url]