TCP Traffic Analyzer

TCP Traffic Analyzer 工具
yahoo 发布的一款开源网络分析工具,可以分析网络应用在服务器端与客户端之间的运行状态
Yconalyzer保持与tcpdump兼容,两者生成的抓取文件能够彼此识别和分析。Yconalyzer支持tcpdump的所有过滤条件,并适用于TCP协议之上的所有网络协议,如HTTP、SMTP、POP、IMAP等等。

能做的几点
1、持续时间超过(或者小于)某阈值(或在某个区间内)的TCP连接数。
2、尝试次数超过N次才成功的TCP连接数。
3、TCP连接持续时间和吞吐量的分布情况。
4、数据包超过N字节的TCP连接分布情况。 -Y
5、持续时间在特定阈值内的IP地址和端口分布情况。 -D 区间开始值

Yconalyzer会根据不同的选项显示出不同的分析结果

下载、安装
yum install *pcap* 基于pcap库
wget http://nchc.dl.sourceforge.net/project/yconalyzer/yconalyzer-1.0.4.tar.bz2
tar -xvf yconalyzer-1.0.4.tar.bz2
./configure </dir>
gmake && gmake install

命令参数:使用时必带参数 -p 端口号

等价的命令:
tcpdump -w http.pcap ‘(tcp port 80)&&((tcp[tcpflags] & (tcp-syn|tcp-fin|tcp-rst)) != 0)‘

yconalyzer -w http.pcap -p 80

-d: Debug on (default off) 实时输出
-c: 打印尝试次数超过指定次数才成功的连接 Print connections that took >= num_attempts to establish
-R: 原始格式输出分布 Raw format output. Useful for scripts
-r: 从文件读取数据而不是从接口实时读 Data is read from file instead of live interface
-w: 数据保存到文件中 Data is written to a file.
-i: 接口 Interface name (default is ethernet interface)
-n: 显示多少个区间 Number of buckets for getting the distribution. Default 20
-s: 区间大小 Bucket size (connection life time). Default 20ms
-t: 抓包运行时间 ms Run time in seconds (default 60)

-X: 只显示服务器端发送的数据小于 N bytes 的连接.
-Y: 只显示服务器端发送的数据大于 N bytes 的连接

-x: 只显示客户端发送的数据小于 N bytes 的连接
-y: 只显示客户端发送的数据大于 N bytes 的连接

仅仅指定 -x 或 -X 也可以
Only one of -x or -X can be specified
-T: Attempt to estimate round trip time 预估每个连接的 RTT,
Estimates may be wrong if the command is run on the server side. See man page.

-D: 打印出指定区间中的IP及端口号,从文件读取时有效。 Print connection filters for the bucket starting with this value

-p: 要监控的端口号,必须指定。 port number you want to monitor. Must be specified

-I: 在指定时间之前不抓取数据,指定时间之后才抓取连接 Consider pkts newer than this time. Specify in HH:MM:SS or YYYY-MM-DD.HH:MM:SS format
-P 以吞吐量区间输出分布(KB/s) for sorting the output by throughput
-C 以客户端发送大小为区间输出分布(KB) for sorting the output by number of bytes sent by client
-S 以服务器端发送大小为区间输出分布(KB) for sorting the output by number of bytes sent by server

Total Connections (terminated by FIN) 完整流从开始到结束,
连接总数 (通过 FIN 标记终止的)

客户端平均发送bytes
Avg Client Data

服务器端平均发送bytes
Avg Server Data

所有连接平均持续时间
Avg conn duration

平均 RTT
Avg Round Trip Time

SYN 总数 求证过
Total number of SYNs

Connections terminated by RESET
连接被 RESET 重置的数量

Number of SYNs taken to establish connections
拿 SYN 建立连接的数量

Number of unique connections dropped by the server
通过服务器丢弃的唯一连接 的数量

Number of SYNs from incomplete connections
不完整的连接的 SYN 的数量

Number of established connections in progress:0 (0 may have been discarded by the client)
正在建立连接的数量 (可能由客户端丢弃的)

Number of connections in closing state
closing 状态下的连接数量

Distribution of SYNs to establsh connections (nSYNs:nConns): 1:46,
尝试次数跟已建立连接 的分布情况 : 尝试次数:已建立的连接

时间: 2024-10-16 16:44:20

TCP Traffic Analyzer的相关文章

开发与测试分析工具集锦(网络摘要)不断更新

一.测试工具 (一)软件测试工具 (二)网络分析工具 1.TcpDump工具(网络安全分析工具 ):抓包分析                     tcpdump 是一个运行在命令行下的嗅探工具.它允许用户拦截和显示发送或收到过网络连接到该计算机的TCP/IP和其他数据包.tcpdump 是一个在BSD许可证下发布的自由软件.                     tcpdump是非常强大的网络安全分析工具,可以将网络上截获的数据包保存到文件以备分析.可以定义过滤规则,只截获感兴趣的数据包,

[转]Rapidly detecting large flows, sFlow vs. NetFlow/IPFIX

Figure 1: Low latency software defined networking control loop The articles SDN and delay and Delay and stability describe the critical importance of low measurement delay in constructing stable and effective controls. This article will examine the d

Rapidly detecting large flows, sFlow vs. NetFlow/IPFIX

Figure 1: Low latency software defined networking control loop The articles SDN and delay and Delay and stability describe the critical importance of low measurement delay in constructing stable and effective controls. This article will examine the d

Linux中的涉及网络基本知识

Linux中的涉及网络基本知识: TCP/IP: 物理层: 链路层:MAC  从设备到设备主机通信,MAC地址,IP<-->MAC(ARP/RARP)                        MTU: 网络层:IP报文 从源主机到目标主机之间通信,IP地址,IP报文 传输层:从源主机进程到目标主机特定进程之间通信,TCP/UDP 应用层: ISO/OSI:七层 1-4:通信 5-7:资源 会话层 表示层 应用层 TCP:有连接协议,建立逻辑连接 SYN, ACK, FIN, RST, P

Nginx Announcing NGINX Plus R7

https://www.nginx.com/blog/nginx-plus-r7-released/?_ga=1.70204696.981062698.1445605275 https://www.nginx.com/ Announcing NGINX Plus R7 NGINX, Inc. is proud to announce the availability of NGINX Plus Release 7 (R7), the latest release of our applicati

DDoS ATTACK PROCESSING APPARATUS AND METHOD IN OPENFLOW SWITCH

An OpenFlow switch in an OpenFlow environment includes an?attack determination module to collect statistical information on packet processing with respect to incoming packets to be processed in the OpenFlow switch at a predetermined period interval t

Tcpdump用法

1.监听所有非echo requests/replies的ICMP数据包 //ICMP ECHO(Type 8) 和ECHO Reply (Type 0) #tcpdump "icmp[0] != 8 and icmp[0] != 0" 2.监听非本地网络的每次TCP会话开始和结束数据包 #tcpdump 'tcp[13] & 3 != 0 and not src and dst net localnet' 3.监听网关snup上长度大于576字节的IP数据包 #tcpdump

Chapel 2.Network interfaces

Note: Copy from TCP/IP Tutorial and Technical Overview (IBM Redbook GG24-3376-07)[000] 2.1 Ethernet and IEEE 802 local area networks (LANs) 2.1.1 Gigabit Ethernet 2.2 Fiber Distributed Data Interface (FDDI) 2.3 Serial Line IP (SLIP) 2.4 Point-to-Poin

linux下rpm包和命令使用简介

一.rpm包简介 RPM[1] 是RPM Package Manager(RPM软件包管理器)的缩写,这一文件格式名称虽然打上了RedHat的标志,但是其原始设计理念是开放式的,现在包括OpenLinux.S.u.S.E.以及Turbo Linux等Linux的分发版本都有采用,可以算是公认的行业标准了. 二.rpm包的安装 首先本例实在CentOS中进行的,若是别的发行版不在本篇文件的介绍范围内,同时在找rpm安装包时最好是发行商提供或者是从官方下载,最后还可以从国内比较常用的镜像网站中下载,