Linux下巧用Iptraf软件进行网络病毒主机定位.PDFVIP

Linux 下巧用 Iptraf软件进行网络病毒主机定位 iptraf 是一款 linux 环境下监控网络流量的绝佳的免费小软件，特别是安 装到防火墙上，与 iftop 一起工作，定位网络中的网络流量异常主机，效果非 常好，通过 iptraf 和 iftop 的配合使用，网络管理人员可以很快的定位网络中 存在蠕虫及恶意软件的计算机主机。 一、软件的安装： 我们可以从 下载 IPTraf 。然后使用如下命令进 行源码安装 IPTraf： 解压文件 #tar zxvf Iptraf-2.4.0.tar.gz #cd iptraf-x.y.z 执行 setup 脚本，这一步要以 root 的权限进行，setup 会自动编译并把 IPTraf 安装到/usr/local/bin 目录中,同时也会建立其它的目录： ./Setup 。 当然在Debian 中我们可以使用新利得软件安装包管理器进行软件安装。如 图所示: iptraf 已经被成功的安装到了计算机上，为了能更好的检测网络流量异常 主机，我们还需要使用 iftop 软件进行直观的流量检测，因此我们也可以直接 中使用刚才的软件安装方法直接安装 iftop 软件。如图所示，iftop 也已经被 成功的进行了安装。 二、网络流量异常主机的定位 我们在 Linux 系统提示符下直接输入 iptraf 命令之后，将看到如下画面： 之后我们直接按回车键，系统将出现如下如图菜单： 我们选择 Configure...菜单下的 Logging 子菜单，并按回车键将其设置为 on ，之后按 x 键退回到主菜单并选择 IP traffic monitor ，选择 All interfaces 。 此 时 ， 系 统 提 示 日 志 记 录 文 件 目 录 为/var/log/iptraf/ip_traffic-1.log，回车键确认后iptraf进入如图运行状 态： 我们可以看到界面上半部分是网络中主机的连接状态，下半部分是网络中 各主机发出的各种网络数据包，图中是刚启动软件后检测到的本机网络通讯数 据包，通过该软件我们可以清楚的看到网络中主机开放的端口以及连接到目标 主机的端口。 之后我们同时使用 iftop -np 命令启动 iftop软件，启动之后下图所示： 通过上图我们可以清楚的看到网络中所有主机的数据通讯实时流量 ,我们 可以清楚的看到。排在前几位的计算机有大量的网络数据包发送。经过大概 10 分钟的检测，我们基本可以确定以上存在的主机肯定存在病毒或者恶意软件。 随后我们停止监测，并使用命令 less /var/log/iptraf/ip_traffic- 1.log 查看 iptraf软件监测日志，如图： 我们可以看到在日志中清楚的显示了每个数据包的源、目的地址，以及采 用的协议等详细内容，一般情况下可以确定这种大量发送广播包的机器存在病 毒，尤其出现如下图中的一台主机通过一个端口连续向目标主机发送数据的情 况时，这台主机肯定是一台病毒主机。 通过这种方法我们可以快速准确的定位局域网中存在病毒及恶意软件的主 机。方便网络管理员 网络的有效管理。 引用原文请注明出处/space.php?uid