Argus：IP网络事务评审工具

Argus是一款固定模型的实时的流量监视器，用来跟踪和报告数据网络通讯流中所有事务的状态和性能。Argus为流量评估定制了一种数据格式，其中包括连通性、容量、请求、丢包、延迟和波动，这些就作为评估事务的元素。这种数据格式灵活易扩展，支持常用流量标识和度量，还可以获得指定的应用程序/协议的信息。

下载链接：http://down./data/160066

>>去网络安全工具百宝箱看看其它安全工具

argus是一个网络审计系统，一开始我以为是纯粹的WEB Interface Application，后来发现，它的主要用途还是基于命令行的。包含argus和argus-client两个主要组成部分。 它由几个命令组成：

argus – audit record generation and utilization system ，负责收集网络原始数据。它可以按照给定的条件抓取IP传输数据包，也可以使用tcpdump，snoop 或者 NLANR’s Moat Time Sequence Header 抓取的原始数据。 它也可以以后台方式运行。

ra – read argus(8) data. 读取argus抓取的数据并按要求输出可理解的记录。

racount – count things from an argus(8) data file/stream. 对数据进行一些统计，如TopN 。

ragator – aggregate argus(8) data file entries. 按流进行输出。

ramon – provide RMON2 style reports from argus(8) data.

rasort – sort argus(8) data file.

raxml – convert argus(8) data to XML.

使用例子：

# argus -i bge1 -w output-file -U 10240  
 
# ra -r output-file  
07 Jan 07 19:13:07 man 229.97.122.203 v2.0 1 0 0 0 0 0 STA  
07 Jan 07 19:13:17 udp ns1.ouhai.gov.c.53 -> 10.0.11.2.49643 1 0 86 0 INT  
07 Jan 07 19:13:11 udp 10.0.11.12.20031 -> 10.0.11.255.20031 8 0 7112 0 INT  
07 Jan 07 19:13:12 udp 10.0.11.36.137 -> 10.0.11.255.netbi 1 0 92 0 INT  
07 Jan 07 19:13:07 udp 10.0.11.154.1228 -> 10.0.11.255.1228 21 0 1218 0 INT  
07 Jan 07 19:13:11 udp 10.0.11.10.20031 -> 10.0.11.255.20031 8 0 7112 0 INT  
07 Jan 07 19:13:07 udp ns1.ouhai.gov.c.53 -> 10.0.11.2.52911 1 0 210 0 INT  
07 Jan 07 19:13:07 udp 10.0.11.2.61690 < -> ns1.ouhai.gov.c.domai 1 1 86 163 CON  
07 Jan 07 19:13:07 udp 10.0.11.153.1228 -> 10.0.11.255.1228 19 0 1102 0 INT  
07 Jan 07 19:13:17 udp ns1.ouhai.gov.c.53 -> 10.0.11.2.49866 1 0 86 0 INT  
07 Jan 07 19:13:07 man 229.97.122.203 v2.0 10 0 62 0 17347 9 SHT  
07 Jan 07 20:28:07 man 229.97.122.203 v2.0 1 0 0 0 0 0 STA  
07 Jan 07 20:29:08 man 229.97.122.203 v2.0 1 0 0 0 0 0 STA  
07 Jan 07 20:29:08 tcp 10.0.110.11.2210 -> 61.153.44.87.20252 1 1 62 54 RST  
07 Jan 07 20:29:08 tcp 10.0.110.12.2191 -> 58.252.97.174.11616 1 1 62 54 RST  
07 Jan 07 20:29:08 tcp 10.0.110.13.2174 -> 61.155.72.66.62062 1 1 62 54 RST  
07 Jan 07 20:29:08 tcp 10.0.110.14.2194 -> 61.143.243.74.38255 1 1 62 54 RST  
# racount -ar output-file  
racount records total_pkts src_pkts dst_pkts total_bytes src_bytes dst_bytes  
tcp 3254 72633 35834 36799 48400614 17211911 31188703  
udp 472 20900 11109 9791 7565734 3814311 3751423  
icmp 73 137 137 0 10293 10293 0  
ip 134 570 570 0 66852 66852 0  
arp 317 1610 1610 0 96604 96604 0  
non-ip 9 2229 2229 0 241903 241903 0  
sum 4264 98079 51489 46590 56382000 21441874 34940126