Bro是测量面向连接的统计信息的适当工具。您可以记录您的应用程序通信的痕迹或分析它实时:
bro -r <trace>
bro -i <interface>
此后,看看在发送的字节数量相同的目录连接日志(conn.log
)和应用程序接收。具体而言,您对TCP有效负载大小感兴趣,conn.log
通过列orig_bytes
和resp_bytes
公开。下面是一个例子:
bro-cut id.orig_h id.resp_h conn_state orig_bytes resp_bytes < conn.log | head
这产生以下输出:
192.168.1.102 192.168.1.1 SF 301 300
192.168.1.103 192.168.1.255 S0 350 0
192.168.1.102 192.168.1.255 S0 350 0
192.168.1.103 192.168.1.255 S0 560 0
192.168.1.102 192.168.1.255 S0 348 0
192.168.1.104 192.168.1.255 S0 350 0
192.168.1.104 192.168.1.255 S0 549 0
192.168.1.103 192.168.1.1 SF 303 300
192.168.1.102 192.168.1.255 S0 - -
192.168.1.104 192.168.1.1 SF 311 300
的每一行代表一个单独的连接,传输层端口删去。最后两列表示始发者(第一列)和响应者(第二列)发送的字节。列conn_state
代表连接状态。有关所有可能的字段值,请参阅documentation。一些重要的参数是:
- S0:看到连接尝试,没有回答。
- S1:已建立连接,未终止。
- SF:正常建立和终止。请注意,这与符号S1的符号相同。你可以将两者区分开来,因为对于S1来说,汇总中不会有任何字节数,而对于SF则会有。
- REJ:连接尝试被拒绝。
我会详细介绍一下文档,但是快照中的最后两列代表在该行列出的主机之间分别发送和recd的净字节数? – AnkurVj 2012-04-08 21:31:42
正确。每个流程表示一个连接/流程。 (我澄清了答案。) – mavam 2012-04-08 21:52:01
你能告诉我,一旦我开始bro使用bro -i eth0,我该如何停止捕获数据包。我目前使用Ctrl + C来停止进程并希望所有统计信息都已写入文件。 – AnkurVj 2012-04-13 08:40:27