zoukankan      html  css  js  c++  java
  • iftop流量监控

    iftop流量监控

    找出服务器耗费流量最多的ip和端口

    进入界面

    iftop界面:
    中间的<= =>这两个左右箭头,表示的是流量的方向
    =>代表发送数据,<= 代表接收数据
    TX:发送流量
    RX:接收流量
    TOTAL:总流量
    Cumm:运行iftop到目前时间的总流量
    peak:流量峰值
    rates:分别表示过去 2s 10s 40s 的平均流量
    
    iftop常用参数:
    -i 指定需要检测的网卡, 如果有多个网络接口,则需要注意网络接口的选择,如:# iftop -i eth1
    -B 将输出以byte为单位显示网卡流量,默认是bit
    -n 将输出的主机信息都通过IP显示,不进行DNS解析 
    -N 只显示连接端口号,不显示端口对应的服务名称
    -F 显示特定网段的网卡进出流量  如iftop -F 192.168.85.0/24
    -h 帮助,显示参数信息
    -p 以混杂模式运行iftop,此时iftop可以用作网络嗅探器 ;
    -P 显示主机以及端口信息
    -m 设置输出界面中最上面的流量刻度最大值,流量刻度分5个大段显示  如:# iftop -m 100M
    -f 使用筛选码选择数据包来计数  如iftop -f filter code
    -b 不显示流量图形条
    -c 指定可选的配置文件   如iftop  -c config file
    -t 使用不带ncurses的文本界面,
        以下两个是只和-t一起用的:
        -s num num秒后打印一次文本输出然后退出,-t -s 60组合使用,表示取60秒网络流量输出到终端
        -L num 打印的行数
    -f 参数支持tcpdump的语法,可以使用各种过滤条件。
    

    进入iftop画面后的一些操作命令(区分大小写)

    按h切换是否显示帮助;
    
    按n切换显示本机的IP或主机名;
    
    按s切换是否显示本机的host信息;
    
    按d切换是否显示远端目标主机的host信息;
    
    按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
    
    按N切换显示端口号或端口服务名称;
    
    按S切换是否显示本机的端口信息;
    
    按D切换是否显示远端目标主机的端口信息;
    
    按p切换是否显示端口信息;
    
    按P切换暂停/继续显示;
    
    按b切换是否显示平均流量图形条;
    
    按B切换计算2秒或10秒或40秒内的平均流量;
    
    按T切换是否显示每个连接的总流量;
    
    按l打开屏幕过滤功能,输入要过滤的字符,比如ip,按回车后,屏幕就只显示这个IP相关的流量信息;
    
    按L切换显示画面上边的刻度;刻度不同,流量图形条会有变化;
    
    按j或按k可以向上或向下滚动屏幕显示的连接记录;
    
    按1或2或3 可以根据右侧显示的三列流量数据进行排序;
    
    按< 根据左边的本机名或IP排序;
    
    按>根据远端目标主机的主机名或IP排序;
    
    按o切换是否固定只显示当前的连接;
    
    按f可以编辑过滤代码
    
    按!可以使用shell命令
    
    按q退出监控。
    
    

    使用方式:

    1.显示网卡eth0的信息,主机通过ip显示
    iftop -i eth0 -n
    
    2.显示端口号(添加-P参数,进入界面可通过p参数关闭)
    iftop -i eth0 -n -P
    
    3.显示将输出以byte为单位显示网卡流量,默认是bit
    iftop -i eth0 -n -B
    
    4.显示流量进度条
    iftop -i eth0 -n(进入界面后按下L)
    
    5.显示每个连接的总流量
    iftop -i eth0 -n(进入界面后按下T)
    
    6.显示指定ip 172.17.23.15的流量
    iftop -i eth0 -n(进入界面后按下l,输入172.17.23.15回车)
    
    7.显示某个网段进出封包流量
    iftop -F 172.17.23.0/24  
    

    实操

    流量排查的时候总会用到这个工具,查到哪个ip用的流量最多,这个ip的哪个端口.

    1.首先进入页面

    iftop -i eth0 -n -P
    

    按下L后显示流量刻度,如上图.

    2.接下来按下T显示合计流量,看起来很直观.

    3.按3,根据最近40s统计排序

    4.按t,发送和接收合并成一行

    5.然后我们要找出流量用得最多的ip,我们就多按几次B,会出现最近2s,10s,40s的统计.

    发现是180.167.225.125

    6.然后进行筛选指定的ip :180.167.225.125

    按l.输入ip,如下:

    7.找这个ip哪个端口流量用得最多

    很明显是ssh

  • 相关阅读:
    shell 1>&2 2>&1 &>filename重定向的含义和区别
    Nginx日志切割
    mycli工具mysql命令自动补全
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp9 Web安全基础
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp8 Web基础
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp7 网络欺诈防范
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp6 MSF基础应用
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp5 信息搜集与漏洞扫描
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp4 恶意代码分析
    2019-2020-2 20175317钟睿文《网络对抗技术》Exp3 免杀原理与实践
  • 原文地址:https://www.cnblogs.com/longren/p/12957667.html
Copyright © 2011-2022 走看看