-
简介
iftop 是什么
在 Linux 系统下即时监控服务器的网络带宽使用情况,有很多工具,比如 iptraf、nethogs 等等,但是推荐使用小巧但功能很强大的 iftop 工具。
iftop 是 Linux 系统一个免费的网卡实时流量监控工具,类似于 top 命令。iftop 可以监控指定网卡的实时流量、端口连接信息、反向解析 IP 等,还可以精确显示本机网络流量及网络内各主机和本机相互通信的流量集合,非常适合于监控代理服务器或路由器的网络流量。
同时,iftop 对检测流量异常的主机非常有效,通过 iftop 的输出可以迅速定位主机流量异常的根源,这对于网络故障排查、网络安全检测是十分有用的。缺点就是无报表功能,且必须以 root 身份才能运行。
-
安装
这里使用Centos完成下面的实验
[root@pro-176 ~]# yum -y install iftop -
常用参数
-i指定需要检测的网卡, 如果有多个网络接口,则需要注意网络接口的选择,如:# iftop -i eth0,默认是选择第一块网卡-B将输出以 byte 为单位显示网卡流量,默认是 bit- -
n将输出的主机信息都通过 IP 显示,不进行 DNS 解析 -N只显示连接端口号,不显示端口对应的服务名称-F显示特定网段的网卡进出流量 如: iftop -F 192.168.85.0/24-h帮助,显示参数信息-p以混杂模式运行 iftop,此时 iftop 可以用作网络嗅探器-P显示主机以及端口信息-m设置输出界面中最上面的流量刻度最大值,流量刻度分 5 个大段显示 如:# iftop -m 100M-f使用筛选码选择数据包来计数 如 iftop -f filter code-b不显示流量图形条-c指定可选的配置文件,如:iftop -c config file-t使用不带 ncurses 的文本界面,
以下两个是只和 -t 一起用的:
-snum num 秒后打印一次文本输出然后退出,-t -s 60 组合使用,表示取 60 秒网络流量输出到终端
-Lnum 打印的行数-f参数支持 tcpdump 的语法,可以使用各种过滤条件。
-
界面操作
4.1. 界面信息
安装完 iftop 工具后,直接输入 iftop 命令即可显示网卡实时流量信息。在默认情况下,iftop 显示系统第一块网卡的流量信息,如果要显示指定网卡信息,可通过“-i”参数实现。执行“iftop -P -i eth0”命令,得到如下图所示的 iftop 的一个典型输出界面。iftop -P -i eth0
-
-i指定网卡 -
-P显示主机以及端口信息
-
第一部分
iftop 输出中最上面的一行,此行信息是流量刻度,用于显示网卡带宽流量。
-
第二部分
此部分为分割线中间的部分,其中又分别分为左、中、右三列。左列和中列,记录了哪些 IP 或主机正在和本机的网络进行连接。其中,中列的“=>”代表发送数据,“<=”代表接收数据,通过这个指示箭头可以很清晰地知道两个 IP 之间的通信情况。最右列又分为三小列,这些实时参数分别表示外部 IP 连接到本机 2 秒内、10 秒内和 40 秒内的平均流量值。
另外,这个部分还有一个流量图形条,流量图形条是对流量大小的动态展示,以第一部分中的流量刻度为基准。通过这个流量图形条可以很方便地看出哪个 IP 的流量最大,进而迅速定位网络中可能出现的流量问题。
=> 向客户端发送数据
<= 接收客户端的数据连续点击
t可以切换模式 -
第三部分
位于 iftop 输出的最下面,可以分为三行,其中,“TX”表示发送数据,“RX”表示接收数据,“TOTAL”表示发送和接收全部流量。与这三行对应的有三列,其中“cum”列表示从运行 iftop 到目前的发送、接收和总数据流量。“peak”列表示发送、接收以及总的流量峰值。“rates”列表示过去 2s、10s、40s 的平均流量值。
TX: 发送给客户端的数据
RX: 接收来自客户端的数据
TOTAL: 表示发送和接收全部流量cum: 表示从运行 iftop 到目前的发送、接收和总数据流量
peak: 表示发送、接收、以及总的流量峰值。
rates: 表示过去 2s、10s、40s 的平均流量值。
4.2. 交互操作
在 iftop 的实时监控界面中,还可以对输出结果进行交互式操作,用于对输出信息进行整理和过滤,在上图所示界面中,按键 “h” 即可查看,选择参数后按h返回,如下图所示。iftop 的交互功能和 Linux 下的 top 命令非常类似,交互参数主要分为 4 个部分,分别是一般参数、主机显示参数、端口显示参数和输出排序参数。相关参数的含义如下表所示。
| 参数 | 含义 |
|---|---|
| P | 通过此键可切换暂停/继续显示 |
| h | 通过此键可在交互参数界面/状态输出界面之间来回切换 |
| b | 通过此键可切换是否显示平均流量图形条 |
| B | 通过此键可切换显示2秒、10秒、40秒内的平均流量 |
| T | 通过此键可切换是否显示每个连接的总流量 |
| j/k | 按j键或k键可以向上或向下滚动屏幕显示当前的连接信息 |
| l | 通过此键可打开iftop输出过滤功能,比如输入要显示的IP,按回车后,屏幕就只显示与这个IP相关的流量信息 |
| L | 通过此键可切换显示流量刻度范围,刻度不同,流量图形条会跟着变化 |
| q | 通过此键可退出iftop流量监控界面 |
| n | 通过此键可使iftop输出结果以IP或主机名的方式显示 |
| s | 通过此键可切换是否显示源主机信息 |
| d | 通过此键可切换是否显示远端目标主机信息 |
| t | 通过此键可切换iftop显示格式,连续按此键可依次显示:以两行显示发送接收流量、以一行显示发送接收流量、只显示发送流量/接收流量 |
| N | 通过此键可切换显示端口号/端口号对应服务名称 |
| S | 通过此键可切换是否显示本地源主机的端口信息 |
| D | 通过此键可切换是否显示远端目标主机的端口信息 |
| p | 通过此键可切换是否显示端口信息 |
| 1/2/3 | 根据最近 2 秒、10 秒、40 秒的平均网络流量排序 |
| < | 通过此键可根据左边的本地主机名或IP地址进行排序 |
| > | 通过此键可根据远端目标主机的主机名或IP地址进行排序 |
| o | 通过此键可切换是否固定显示当前的连接 |
-
使用示例
5.1. 显示网卡eth0的信息,主机通过ip显示[root@pro-176 ~]# iftop -i eth0 -n
-i指定网卡- -
n将输出的主机信息都通过 IP 显示,不进行 DNS 解析
5.2. 显示端口号(添加-P参数,进入界面可通过p参数)
[root@pro-176 ~]# iftop -i eth0 -n -P
-
-i指定网卡 -
-n将输出的主机都通过IP显示,不进行DNS解析 -
-P显示主机以及端口号信息
5.3. 显示将输出以byte为单位显示网卡流量,默认是bit[root@pro-176 ~]# iftop -i eth0 -n -B -
-i指定网卡 -
-n将输出的主机都通过IP显示,不进行DNS解析 -
-B将输出以byte为单位显示
5.4. 显示流量进度条iftop -i eth0 -n在交互界面按
L显示流量进度条 -
-i指定网卡名称 -
-n将输出的主机都通过IP显示,不进行DNS解析
5.5. 显示每个连接的总流量
iftop -i eth0 -n在交互界面按
T显示每个连接的总流量 -
-i指定网卡名称 -
-n将输出的主机都通过IP显示,不进行DNS解析
5.6. 显示指定IP 192.168.0.71的流量iftop -i eth0 -n在交互界面按
l筛选你要查看的ip地址,回车确定 -
-i指定网卡名称 -
-n将输出的主机都通过IP显示,不进行DNS解析
-
实战
下面我们将通过找出最耗费流量的 IP 和端口号这一具体实例,来演示 iftop 强大的功能。
6.1. 进入界面iftop -i eth0 -nNB -m 10M
-i指定网卡名称-n将输出的主机都通过IP显示,不进行DNS解析-N只显示连接端口号,不显示端口对应的服务名称(不加会显示如ssh这样的服务名称,不便于排查)B指定显示单位为Kb,默认是bit,不利于计算-m设置输出界面中最上面的流量刻度最大值,流量刻度分5个大段显示
6.2. 按L显示流量刻度
可以找出流量峰值最高的ip
6.3. 按T显示总量
可以查看接收和发送的流量总和
6.4. 按下3,根据最新40s统计排序
用平均值来统计最权威点
交互界面下
-
1/2/3根据最近 2 秒、10 秒、40 秒的平均网络流量排序
6.5. 按下t,发送和接收合成一行
6.6. 多按几次B,查看最近2s,10s,40s的统计交互界面下
-
B通过此键可切换显示2秒、10秒、40秒内的平均流量
通过这里就能查看出 192.168.0.71是最耗费流量的ip
6.7. 赛选指定IP 192.168.0.71
按下l筛选192.168.0.71,回车确认
交互界面下
l筛选指定内容
到这里就能查看到192.168.0.71这个ip的流量监控了
6.8. 找出这个IP下,哪个端口流量用的最多
按下p回车确认
交互界面下
p通过此键可切换是否显示端口信息B通过此键可切换显示2秒、10秒、40秒内的平均流量
到此使用iftop监控流量使用情况就已经学会了
参考链接: http://t.cn/A6tM3oLg
