流量

程序：

您的姓名

tcpflow - TCP 流记录器

概要

流量 [-aBcCDhpsvVZ[-b 最大字节数[-d 调试级别[-[EE] 扫描器[-f 最大频率]
[-F[ctTXMkmg][-i Iface[-L 铁锁[-m 最小字节[-o 外向[-r 文件1.pcap]
[-R 文件0.pcap[-S名称=值[-T[文件名 模板][-w文件[-x 扫描器[-X 文件.xml]
[表达]

商品描述

流量 是一个程序，它捕获作为 TCP 连接（流）的一部分传输的数据，
并以便于协议分析或调试的方式存储数据。
tcpflow 不是逐包显示信息，而是重建实际数据
流并将每个流存储在单独的文件中以供以后分析。 tcpflow 理解
TCP 序列号并将正确地重建数据流，而不管
重传或乱序传送。 tcpflow 提供对文件名的控制
按协议、IP 地址或连接号自动分箱连接，并具有
用于解压缩压缩的 HTTP 连接、撤消 MIME 的复杂插件系统
编码，或调用用户提供的程序进行后处理。

默认情况下，tcpflow 将所有捕获的数据存储在具有以下格式名称的文件中：

192.168.101.102.02345-010.011.012.013.45103

...上述文件的内容将是从主机传输的数据
192.168.101.102 端口 2345，到主机 10.11.12.13 端口 45103。

如果你想简单地处理几十万个数据包，看看你有什么，试试
这个：

流量 -a -o 外向 -Fk -r 数据包.pcap

这将导致 tcpflow 执行 (-a) 所有处理，将输出存储在一个目录中
被称为 外地， 将输出放入每个包含 1000 个连接的目录中，并读取其输入
从文件 数据包.pcap. 当然，更复杂的处理是可能的。

配置

-a 启用所有处理。 与...一样 -e 所有。

-B 即使打印到控制台时也强制二进制输出 -C or -C。

-b 最大字节数
指定捕获流的最大大小。 超出的任何字节 最大字节数 来自
捕获的第一个字节将被丢弃。 默认是存储无限数量
每个流的字节数。 请注意： 以前的版本 流量 最多只能存储
每个流 4GiB，但 1.4 及以上版本确实可以存储无限量
字节。 现代磁盘这么大是件好事，嗯？

-c 控制台打印。 在接收到数据包时将其内容打印到标准输出，
不将任何捕获的数据存储到文件中（意味着

-C 控制台打印，但不打印数据包源和目标详细信息。
将数据包的内容在接收到时打印到标准输出，不存储任何
捕获的数据到文件（意味着 -e 当输出到控制台时，每个流都将是
不同颜色的输出（蓝色表示客户端到服务器流，红色表示服务器到
客户端流，绿色表示未定流）。 -s ).

-D 控制台输出应为十六进制。

-d 调试级别。 将打印到 stderr 的调试消息的级别设置为 调试级别.
更高的数字会产生更多的消息。 -d 0 导致完全静音操作。 -d
1 ，默认情况下，产生最少的状态消息。 -d 10 产生详细的输出
相当于 -v . 大于10的数字会产生大量的调试
仅对开发人员有用的信息。

-E 姓名
禁用所有扫描仪，然后启用扫描仪 姓名

-e 姓名
启用扫描仪 名称。

-e 所有 启用所有扫描仪。 与...一样 -a

-e HTTP
执行 HTTP 后处理（“After”处理）。 如果输出文件是

208.111.153.175.00080 192.168.001.064.37314，

然后后处理将创建文件：

208.111.153.175.00080-192.168.001.064.37314-HTTP
208.111.153.175.00080-192.168.001.064.37314-HTTPBODY

如果 HTTPBODY 是用 GZIP 压缩的，你可能还会得到第三个文件：
208.111.153.175.00080-192.168.001.064.37314-HTTPBODY-GZIP

关于这些流的附加信息，例如它们的 MD5 哈希值，也是
写入 DFXML 文件

-F[格式]
指定输出文件名的格式。 格式说明符： c 附加连接
反对所有文件名。 t 在每个文件名前加上 Unix 时间戳。 T
在每个文件名前加上 ISO-8601 时间戳。 X 不输出任何文件
（除了 报告.xml 报告文件）。

-调频 在 DFXML 输出中包含每个流的 MD5。

-FX 完全禁止文件输出（仍然生成 DFXML 文件）。

-Fk 1K 目录中的 bin 输出

-调频 1M 目录中的 bin 输出（2 级）

-Fg 1G目录下的bin输出（3级） -T[格式] 指定任意模板
对于文件名。 %A 扩展到源 IP 地址。 %a 扩展到源 IP 端口。 %B
扩展到目标 IP 地址。 %a 扩展到目的 IP 端口。 %T 展开
到 ISO8601 格式的时间戳。 %t 扩展为 Unix time_t 格式的时间戳。 %V
如果存在 VLAN，则扩展为“--”。 %v 如果 VLAN 是，则扩展到 VLAN 编号
当下。 %C 如果连接数>0，则扩展为“c”。 %c 扩展到
如果连接计数> 0，则连接计数。 %# 总是扩展到连接
算。 %% 打印一个“%”。

-f最大频率
使用的最大文件描述符。 将 tcpflow 使用的文件描述符数量限制为
最大频率. 更高的数字使用更多的系统资源，但通常性能更好。 如果
底层操作系统支持 设置限制（） 系统调用，操作系统将
被要求强制执行请求的限制。 默认是让 tcpflow 使用
操作系统允许的最大文件描述符数。 这 -v 选项将报告
tcpflow 使用了多少文件描述符。

-h 帮助。 打印使用信息并退出。

-hh 更多帮助。 打印更多使用信息并退出。

-i Iface
接口名称。 从名为的网络接口捕获数据包 Iface。 如果不
接口指定为 -i , libpcap 将使用合理的默认值
自动。

-L semlock_name
规定 semlock_name 应该用作 Unix 信号量以防止两个
tcpflow 的不同副本在两个不同的进程中运行但输出到
打印在彼此之上的相同标准输出。 这是一个应用
Unix 命名信号量； 打赌你以前从未见过。

-l 将以下参数视为具有假定的文件名 -r 在每个命令之前
一。 这允许您使用 shell globbing 一次读取大量文件。 为了
例如，要处理当前目录中的所有 pcap 文件，请使用：

流量 -o 输出 -a -l *.pcap

-J 以多种颜色将流信息输出到控制台。 注意: 本篇 选项 是
变 在 流量 1.3.

-m 最小尺寸
当 TCP 会话中有跳过时强制一个新的连接输出文件
最小尺寸 字节或更多。

-o 外向
指定将写入脚本文件的输出目录。

-P 没有净化。 通常 tcpflow 在完成后从哈希表中删除连接
连接用 FIN 关闭。 这可以节省内存，但需要额外的 CPU
时间。 选择这个选项会导致 std::tr1:unordered_map 在没有
边界，就像 tcpflow 在 1.1 版之前所做的那样。 如果有的话，这会使 tcpflow 运行得更快
少于 10 万个连接，但可能导致内存不足错误。

-p 没有混杂模式。 通常，tcpflow 尝试将网络接口放入
捕获数据包之前的混杂模式。 这 -p 选项告诉 tcpflow 而不去 把
界面进入混杂模式。 请注意，它可能已经处于混杂状态
模式出于其他原因。

-q 安静模式 --- 不打印警告。 目前唯一的警告是 流量 打印
当创建了超过 10,000 个用户应该拥有的文件时是一个警告
提供了 -Fk, -调频或 -Fg 选项。 我们将来可能会有其他警告。

-r 从文件中读取。 从中读取数据包 文件，这是使用 -w 选项
转储(1). 此选项可以重复任意次。 标准输入是
如果使用 文件 是 ”-”。 请注意，要使此选项有用，tcpdump 的 -s 选项
应该用于将 snaplen 设置为接口的 MTU（例如，1500），而
捕获数据包。

-R 从文件中读取，但仅用于完成 TCP 流。 此选项用于以下情况 流量
用于处理随时间捕获的一系列文件。 对于每一次
期间 n, 文件 文件名 应该处理 R -r 文件名, 而
文件(n-1).pcap 应该 be 处理 - R -R 文件(n-1).pcap。

-S姓名=折扣值
设置一个 姓名 参数等于 折扣值 对于插件。 用 -hh 找出所有
可设置的参数。

-s 剥离不可印刷品。 将所有不可打印的字符转换为“.” 特点
在将数据包打印到控制台或将它们存储到文件之前。

-V 打印版本号并退出。

-v 详细操作。 详细描述tcpflow的操作。 相当于 -d 10.

-w 文件名.pcap
将未处理的数据包写入 文件名.pcap. 通常这将是 UDP
包。

-X 文件名.xml
将 DFXML 报告文件写入 文件名.xml. 该文件包含每个 tcp 的记录
连接，tcpflow 程序是如何编译的，tcpflow 所在的计算机
被运行。

-Z 不要解压缩 gzip 压缩的流。

示例

记录所有到达或离开的数据包 日落 并提取所有的 HTTP
附件：
流量 -e 扫描http -o 外向 主持人 日落

记录之间的流量 赫利俄斯 ，要么 高温 or 高手 并将结果装箱成 1000 个文件
每个目录并计算每个流的MD5：
流量 -X 报告.xml -e 扫描_md5 -o 外向 -Fk 主持人 赫利俄斯 和 \( 高温 or 高手 \)

使用 onworks.net 服务在线使用 tcpflow