网络攻防中监控某个IP的流量和数据分析。

Windows 可以使用 tcpview 工具监控某个IP的流量信息，Linux 可以使用iftop 工具。

新版本的 tcpview 带过滤功能，可以对 IP 进行过滤。最后两列显示的是对应程序发送和接收的字节数。

tcpview 工具下载地址：

https://learn.microsoft.com/zh-cn/sysinternals/downloads/tcpview

图形化的工具使用起来比较简单，命令行的界面需要解读一下才知道各个区域都是什么意思。我们下面对 iftop 的输出做一下翻译。

iftop 监控某个IP的命令为：

iftop -n -F 10.20.1.69/32

首先我们切到命令行输出，里面有很多信息，我们需要知道怎么看。

整个输出面板分成两大块，最下面是汇总，上面是每个IP的分项明细。我们先看下汇总信息，汇总信息分成了三行，每一列都有三行，它们分别表示发送、接收和汇总的统计值。其中流量信息分为如下三块：

cum: 自 iftop 打开以后监控到的累计流量，当 iftop 关闭后会重新计算；

peak: 是处于每 40s 统计阶段的网速峰值

rates: 每 2s 10s 40s 的平均网速

每个IP显示的三列流量数值实际上就是 rates 的值。iftop 的显示界面实际上是可交互的，输入 h 可以看到命令帮助：

常用命令

d 显示或隐藏目标 IP

D 显示或隐藏目标 端口

s 显示或隐藏源 IP

S 显示或隐藏源 端口

我们分别看一下效果，下图是显示源端口和目的端口的情况，相当于显示会话明细：

iftop 还支持屏幕过滤，即对屏幕输出内容进行过滤，命令为小写的字母 l ：

我们不再对单IP进行过滤，直接对所有IP进行过滤。选输入 S 将源端口显示出来，再输入 d 将目标IP隐藏，此时所有目标IP汇总为 * ，我们输入命令 l ，此时在屏幕的顶部有输入提示：screen filter> 我们输入端口号 5212 此时过滤出的就是端口 5212 的流量信息。

iftop 默认会显示流量标尺，如果不需要可以输入命令 b 关掉。默认会分行显示发送流量和接收流量，如果想切换到汇总可以输入命令 t ，以下输出是关掉标尺合并双向流量后的输出：

交互式命令帮助

Host display:       
 n - DNS解析         P - 暂停
 s - 源IP            h - 帮助
 d - 目标IP          b - 项部标尺
 t - 数据流方向       T - 流量汇总
            
Port display:                         
 N - 端口解析          
 S - 源端口            l - 交互式过滤
 D - 目的端口          q - 退出
 p - 显示所有端口       

Sorting:
 1/2/3 - 按第 1、2、3 列排序
 < - 按源地址排序
 > - 按目的地址排序