网络攻防中监控某个IP的流量和数据分析。
Windows 可以使用 tcpview 工具监控某个IP的流量信息,Linux 可以使用iftop 工具。
新版本的 tcpview 带过滤功能,可以对 IP 进行过滤。最后两列显示的是对应程序发送和接收的字节数。
tcpview 工具下载地址:
https://learn.microsoft.com/zh-cn/sysinternals/downloads/tcpview
图形化的工具使用起来比较简单,命令行的界面需要解读一下才知道各个区域都是什么意思。我们下面对 iftop 的输出做一下翻译。
iftop 监控某个IP的命令为:
iftop -n -F 10.20.1.69/32
首先我们切到命令行输出,里面有很多信息,我们需要知道怎么看。
整个输出面板分成两大块,最下面是汇总,上面是每个IP的分项明细。我们先看下汇总信息,汇总信息分成了三行,每一列都有三行,它们分别表示发送、接收和汇总的统计值。其中流量信息分为如下三块:
cum: 自 iftop 打开以后监控到的累计流量,当 iftop 关闭后会重新计算;
peak: 是处于每 40s 统计阶段的网速峰值
rates: 每 2s 10s 40s 的平均网速
每个IP显示的三列流量数值实际上就是 rates 的值。iftop 的显示界面实际上是可交互的,输入 h 可以看到命令帮助:
常用命令
d 显示或隐藏目标 IP
D 显示或隐藏目标 端口
s 显示或隐藏源 IP
S 显示或隐藏源 端口
我们分别看一下效果,下图是显示源端口和目的端口的情况,相当于显示会话明细:
iftop 还支持屏幕过滤,即对屏幕输出内容进行过滤,命令为小写的字母 l :
我们不再对单IP进行过滤,直接对所有IP进行过滤。选输入 S 将源端口显示出来,再输入 d 将目标IP隐藏,此时所有目标IP汇总为 * ,我们输入命令 l ,此时在屏幕的顶部有输入提示:screen filter> 我们输入端口号 5212 此时过滤出的就是端口 5212 的流量信息。
iftop 默认会显示流量标尺,如果不需要可以输入命令 b 关掉。默认会分行显示发送流量和接收流量,如果想切换到汇总可以输入命令 t ,以下输出是关掉标尺合并双向流量后的输出:
交互式命令帮助
Host display:
n - DNS解析 P - 暂停
s - 源IP h - 帮助
d - 目标IP b - 项部标尺
t - 数据流方向 T - 流量汇总
Port display:
N - 端口解析
S - 源端口 l - 交互式过滤
D - 目的端口 q - 退出
p - 显示所有端口
Sorting:
1/2/3 - 按第 1、2、3 列排序
< - 按源地址排序
> - 按目的地址排序
今天的文章网络攻防中监控某个ip的流量和数据分析是什么_网站流量统计分析工具[通俗易懂]分享到此就结束了,感谢您的阅读。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
如需转载请保留出处:https://bianchenghao.cn/85090.html
