Trafshow – очень простая и очень эффективная утилита для просмотра сетевой активности в реальном времени на определенном интерфейсе. Одна из многих программ, предназначенных для того, чтобы осуществлять мониторинг и выявлять неполадки, возникающие в сетях.
С помощью trafshow очень удобно просматривать загрузку на сетевом интерфейсе маршрутизатора, например, для определения, пользователей, которые в настоящий момент скачивают новый сезон любимого сериала с торрента.
Описание ключей приложения Trafshow
trafshow [-vpnb] [-a len] [-c conf] [-i name] [-s str] [-u port] [-R refresh] [-P purge] [-F file| expr]
-v Напечатать информацию о версии данной утилиты и выйти;
-p Запрет перевода сетевых карточек в promiscuous режиме;
-n Отображать IP адреса и номера портов вместо имени хостов и названия протоколов
-a len Позволяет выводить агрегированный траффик и порты, используя префикс сетевой маски len;
-с conf Использовать альтернативную от первоначальный цветовую схему, расположенную по адресу /usr/local/etc/trafshow;
-i name Прослушивать сетевой интерфейс, если параметр не задан, отслушает все активные интерфейсы;
-s strИщет искомую строку str в данных, при совпадении подсвечивает ее курсором.
-u port Слушает заданный UDP порт для снятия статистики Cisco Netflow, по умолчанию равен 9995. Для отключения следует задать номер порта 0;
-R refresh Задает интервал обновления, по умолчанию равен 2 секундам;
-P purge Задает временной интервал для очистки устаревших записей, по умолчанию равен 2;
-F file Используйте файл в качестве входных данных для выражения фильтра;
exprУказывает, какие пакеты будут отображаться. Если не задано - будет показано все.
Файлы
/etc/trafshow
Определяет конфигурацию цветов по умолчанию. В конце статье приведем пример изменения цвета.
$HOME/.trafshow
Определяет персональную конфигурацию цветов.
Использование выражений И, ИЛИ и ИЛИ НЕ
trafshow как и tcpdump позволяет комбинировать выражения при помощи логических выражений
И
and или &&
ИЛИ
or или ||
ИЛИ НЕ
not или !
Установка Debian/Ubuntu
apt-get install netdiag
Установка CentOS/RedHat
yum install trafshow
Пример использования Trafshow
Ниже приведены несколько примеров, которые помогут вам проще понять и упростить работу с приложением Trafshow.
Промониторить определенный интерфейс
trafshow -i eth0
Если мы не хотим преобразовывать адреса хостов и номера портов в имена, добавим –n. Не переводить сетевую карту в promiscuous mode -з
trafshow -i eth0 –p -n
Если необходимо просмотреть соединения с конкретного ip
trafshow -i eth0 net 192.168.1.201
Посмотреть активность определенного хоста на интерфейсе и только на определенном порту 5060
trafshow -p -i eth0 -n dst host 109.11.21.11 and port 5060
Посмотреть активность определенного хоста на сетевом интерфейсе сервера, исключив порты 22,80,443
trafshow -p -i eth0 -n dst host 109.11.21.11 and not port 22 &&! port 80 &&! port 443
Посмотреть активность определенной подсети (172.16.0.0/24) на сетевом интерфейсе eth0, исключив хост 172.16.0.10.
trafshow -p -i eth0 -n dst net 172.16.0.0 mask 255.255.255.0 and not 172.16.0.10
Поиграемся с расцветкой трафика. Переходим в /etc/trafshow и в самом конце добавим
sip red
Теперь весь трафик по порту 5060 у нас будет окрашиваться в красный цвет.
trafshow -p -i eth0 -n port 5060
В этом файле вы можете исправить default расцветку и добавить цвета любому ip, подсети или порту.
Если вы в статье нашли ошибки или несоответствия, мы будем благодарны, если вы напишите нам о них в комментариях.