网络攻防中监控某个IP的流量和数据分析。
Windows 可以使用 tcpview 工具监控某个IP的流量信息,Linux 可以使用iftop 工具。
新版本的 tcpview 带过滤功能,可以对 IP 进行过滤。最后两列显示的是对应程序发送和接收的字节数。
tcpview 工具下载地址:
/zh-cn/sysinternals/downloads/tcpview
图形化的工具使用起来比较简单,命令行的界面需要解读一下才知道各个区域都是什么意思。我们下面对 iftop 的输出做一下翻译。
iftop 监控某个IP的命令为:
iftop -n -F 10.20.1.69/32
首先我们切到命令行输出,里面有很多信息,我们需要知道怎么看。
整个输出面板分成两大块,最下面是汇总,上面是每个IP的分项明细。我们先看下汇总信息,汇总信息分成了三行,每一列都有三行,它们分别表示发送、接收和汇总的统计值。其中流量信息分为如下三块:
cum: 自 iftop 打开以后监控到的累计流量,当 iftop 关闭后会重新计算;
peak: 是处于每 40s 统计阶段的网速峰值
rates: 每 2s 10s 40s 的平均网速
每个IP显示的三列流量数值实际上就是 rates 的值。iftop 的显示界面实际上是可交互的,输入 h 可以看到命令帮助:
常用命令
d 显示或隐藏目标 IP
D 显示或隐藏目标 端口
s 显示或隐藏源 IP
S 显示或隐藏源 端口
我们分别看一下效果,下图是显示源端口和目的端口的情况,相当于显示会话明细:
iftop 还支持屏幕过滤,即对屏幕输出内容进行过滤,命令为小写的字母 l :
我们不再对单IP进行过滤,直接对所有IP进行过滤。选输入 S 将源端口显示出来,再输入 d 将目标IP隐藏,此时所有目标IP汇总为 * ,我们输入命令 l ,此时在屏幕的顶部有输入提示:screen filter> 我们输入端口号 5212 此时过滤出的就是端口 5212 的流量信息。
iftop 默认会显示流量标尺,如果不需要可以输入命令 b 关掉。默认会分行显示发送流量和接收流量,如果想切换到汇总可以输入命令 t ,以下输出是关掉标尺合并双向流量后的输出:
交互式命令帮助
Host display: n - DNS解析 P - 暂停s - 源IP h - 帮助d - 目标IPb - 项部标尺t - 数据流方向 T - 流量汇总Port display:N - 端口解析S - 源端口 l - 交互式过滤D - 目的端口q - 退出p - 显示所有端口 Sorting:1/2/3 - 按第 1、2、3 列排序< - 按源地址排序> - 按目的地址排序
如果觉得《网络攻防中监控某个IP的流量和数据分析》对你有帮助,请点赞、收藏,并留下你的观点哦!
