Darkstat 是一個開源網絡監測工具，能夠實時監測網絡流量，包括流入和流出的數據。它能夠幫助你了解網絡的整體狀況。

監測網絡上各種應用程序的使用情況，識別潛在的安全威脅等。Darkstat 支持多種操作系統，包括 Linux、FreeBSD、Windows 等。

在本教程中，我們將說明如何在 Linux 使用 Darkstat 能夠實時監測網絡流量，包括流入和流出的數據。

安裝 darkstat

darkstat 并沒有預安裝在大多數 Linux 發行版。要檢查你的 Linux 發行版是否已安裝 darkstat，請按快捷鍵 CTRL+ALT+T 打開終端，鍵入 darkstat，然后按 Enter。

如果你還沒有安裝 darkstat ，終端將會打印消息 Command 'darkstat' not found，你可以運行以下命令安裝 darkstat 。

如果你的計算機運行的是基于 Debian 的 Linux 發行版，例如 Ubuntu，Linux Mint等。請運行 sudo apt install darkstat 命令安裝 darkstat。

如果你的計算機運行的是基于 Redhat的 Linux 發行版，例如 CentOS，Fedora 等。請運行 sudo yum install darkstat 命令安裝 darkstat。

sudo apt install darkstat

#RedHat CentOS
sudo yum install epel-release
sudo yum install darkstat

darkstat 用法

安裝完成后，Darkstat 服務將自動啟動。您可以通過運行 systemctl 命令查看 Darkstat 服務的狀態，從而確定 Darkstat 服務是否正常啟動。

sudo systemctl status darkstat

darkstat 默認監控接口 eth0 ，如果你的計算機沒有網絡接口 eth0 或者你想修改監聽的接口，請修改 darkstat 配置文件 etc/darkstat/init.cfg。

選擇一個你喜歡的編輯器，例如vim，nano，gedit 等。在本教程中，我們使用 vim 編輯器編輯文件 etc/darkstat/init.cfg 修改監控的接口。

sudo vim etc/darkstat/init.cfg

# Turn this to yes when you have configured the options below.
START_DARKSTAT=yes


# Don't forget to read the man page.


# You must set this option, else darkstat may not listen to
# the interface you want
INTERFACE="-i wlp2s0"


#DIR="/var/lib/darkstat"
PORT="-p 666"
#BINDIP="-b 127.0.0.1"
#LOCAL="-l 192.168.0.0/255.255.255.0"


# File will be relative to $DIR:
#DAYLOG="--daylog darkstat.log"


# Don't reverse resolve IPs to host names
#DNS="--no-dns"


#FILTER="not (src net 192.168.0 and dst net 192.168.0)"


# Additional command line Arguments:
# OPTIONS="--syslog --no-macs"

在此示例中，我們將 START_DARKSTAT 選項的值修改為 yes，將網絡接口 INTERFACE 修改 wlp2s0。

你可能會注意到 wlp2s0 前面還有一個 -i ，其實這是 darkstat 命令的選項，-i 表示指定網絡接口。darkstat 允許你在終端以命令的方式啟動。

如果你不知道如何在 Linux 發行版，查看或者列出網絡的接口的名稱，請閱讀我們的教程：Linux ip 命令。也可以直接運行下面的命令：

ip link ls

1: lo:

除了指定網絡接口的名稱，還有一個非常必須要指定的選項就是 PORT，指定 darkstat 監聽的端口。

PORT="-p 666"

當完成配置后，保存文件并退出vim。請運行 systemctl 命令重新啟動 darkstat 服務使配置文件生效。

sudo systemctl restart darkstat
sudo systemctl status darkstat

重啟 darkstat 服務后，這意味著 darkstat 開始監控指定網絡接口網絡流量。你可以打開 Web 瀏覽器，并輸入網址 http://localhost:667 來查看 Darkstat 的流量報告。

如果你是在遠程服務器運行 Darkstat，你可以將 localhost 替換為服務器的IP地址。至此你已完成 Darkstat 的部署。

Darkstat 常用選項

前面提到 darkstat 也支持在終端以命令行的方式啟動， 這里介紹一下 darkstat 命令行選項，可以讓你更好地控制它的行為。以下是一些常用的選項：

• -i, --interface=INTERFACE：

  指定Darkstat要監控的網絡接口。

• -p, --port=PORT：

  為 Web 報告界面指定 Darkstat 監聽端口。

• -b, --bind-address=ADDRESS：

  指定 Darkstat 的監聽 IP 地址。

• -f, --filter=FILTER：

  指定 Darkstat 的過濾規則。

• -s, --save=FILE：

  將 Darkstat 的數據保存到指定文件。

• -r, --restore=FILE：

  從文件中恢復 Darkstat 的數據。

你也可以運行命令 darkstat --help 查看完整的選項列表。

Darkstat 報告解讀

Darkstat Web 界面的報告中包含大量的信息，可以幫助你了解網絡的使用情況。當你打開 Darkstat 報告界面。

你將會看的是 Darkstat 圖形報告，報告包括過去 60 秒，60分鐘，24，31天的報告。頂部顯示的是監控時間和通過流量與數據包總數。

默認情況下，圖形報告不會自動刷新，可以點擊下方的 automatic reload 按鈕打開自動刷新。

當你點擊頂部導航欄 host 鏈接時，你將看到當前系統和已連接的遠程主機的出口和入口以及總流量的信息。

最左側的是 IP 地址，Hostname 主機名，Mac 地址， In 入口流量，Out 出口流量，Total 總流量，在數字列默認單位字節 byte。

如果你需要繼續深入分析，指定主機，端口，協議 (包括 TCP、UDP、ICMP等)，出口與入口的流量信息。請點擊 IP 地址查看。

Darkstat 應用場景

Darkstat 可以應用于多種場景，以下是一些常見的應用場景：

• 監測網絡流量：

  Darkstat 可以幫助你實時監測網絡流量，了解網絡的整體狀況。

• 識別安全威脅：

  Darkstat 可以識別一些潛在的安全威脅，例如異常的流量、頻繁的掃描等。

• 優化網絡性能：

  Darkstat 可以幫助你了解各種應用程序的使用情況，優化網絡帶寬分配。

• 追蹤網絡問題：

  Darkstat 可以記錄網絡流量，幫助你追蹤網絡問題，例如網絡擁塞、丟包等。

Darkstat 局限性

Darkstat雖然是一個非常有用的網絡監測工具，但是它也有一些局限性，以下是一些常見的局限性：

• 只能監測流量：

  Darkstat 只能監測網絡流量，無法監測其他類型的網絡活動，例如DNS查詢、HTTP請求等。

• 不支持深度分析：

  Darkstat 只能提供流量的基本統計信息，無法進行深度分析，例如查看具體的數據包內容等。

• 對高流量環境支持不足：

  在高流量環境下，Darkstat 可能會出現性能問題，導致監測結果不準確。

• 對網絡拓撲有依賴性：

  Darkstat 需要在正確的網絡拓撲結構下運行，如果網絡拓撲結構不正確，可能會導致監測結果不準確。

結論

Darkstat 是一個非常有用的網絡監測工具，能夠幫助你實時監測網絡流量，了解網絡的整體狀況，識別潛在的安全威脅。

通過本文的介紹，你可以了解 Darkstat 的基本使用方法和常用選項，以及Darkstat的應用場景和局限性。如果你需要監測網絡流量，Darkstat將是一個非常有用的工具。