一、说明

tcptrack是一个嗅探器，它将显示特定接口上TCP连接的信息。 tcptrack将监视发生的所有连接，并在一个漂亮的界面中显示信息。 虽然它是在一个文本用户界面，但它是简单易懂的。

二、安装

apt-get install tcptrack

三、使用

你必须是超级用户来运行tcptrack，tcptrack的基本用法是使用这样的命令：

tcptrack -i networkinterface

例如：

tcptrack -i eth0

在调用这样的命令之后，将运行tcptrack，捕获所有TCP连接，并使用易于理解的界面将其显示给您。 另一个可能有用的选项是-r和port 。 -r将使tcptrack等待给定时间（以秒为单位），然后从屏幕中删除已关闭的连接。 例如：

tcptrack -i eth0 -r 10

端口将根据端口号为您进行过滤。 例如：

tcptrack -i eth1 port 22

四、选项

-d
    仅跟踪在tcptrack启动后启动的连接。不要试图检测现有连接。
-f
    启用快速平均重新计算。tcptrack将使用运行平均值计算连接的平均速度。tcptrack将使用更多的内存和CPU时间，但平均值似乎更接近实时，并且每秒更新一次以上，在重载下可能更准确。以快速模式重新计算平均值的每秒次数是一个编译时设置，默认为10次/秒。
-h
    显示命令行帮助
-i [interface]
    从指定的网络接口嗅探数据包。
-T [pcap file]
    从指定的文件读取数据包，而不是从网络嗅探。用于测试。
-p
    不要将被嗅探的接口置于混乱模式。
-r [seconds]
    在从显示器上删除关闭的连接之前，请等待几秒钟。默认为2秒。另请参见暂停交互命令（如下）。
-v
    显示TCPRACK版本

五、交互式命令

运行tcptrack以更改运行时选项时，可以按下以下键：

P
    暂停/取消暂停显示。没有新的连接将添加到显示器，并且所有当前显示的连接将保留在显示器中。
Q
    退出tcptrack。
s
    循环使用排序选项：未排序、按速率排序、按总字节排序。

如果您正在观看一个非常繁忙的网络，并且希望在不切换连接（由于正在添加排序和新连接）和DISAP的情况下查看显示，暂停和切换排序选项非常有用。

Pearing（由于关闭了一段时间）。

当暂停（通过p命令）时，不会显示新的连接，但是tcptrack仍会监视和跟踪它看到的所有连接。此选项仅影响显示，不影响内部。当你不听话时，

显示将更新为tcptrack一直收集的所有当前信息。