安全运维之:网络实时流量监测工具iftop

简介:

网络管理是基础运维中一个很重要的工作,在看似平静的网络运行中,其实暗流汹涌,要保证业务系统稳定运行,网络运维者必须要了解网络的流量状态、各个网段的使用情形,带宽的利用率、网络是否存在瓶颈等,同时,当网络发生故障时,必须能够及时发现问题,迅速定位问题,进而解决问题,这就需要一些网络监测工具的辅助,本节将介绍一款小巧但功能很强大的网络实时流量监测工具iftop。

一、iftop能做什么

iftop是一款免费的网卡实时流量监控工具,类似于Linux下面top命令。iftop可以监控指定网卡的实时流量、端口连接信息、反向解析IP等,还可以精确显示本机网络流量情况及网络内各主机与本机相互通信的流量集合,非常适合于监控代理服务器或路由器的网络流量。同时,iftop对检测流量异常的主机非常有效,通过iftop的输出可以迅速定位主机流量异常的根源,这对于网络故障排查、网络安全检测是十分有用的。


二、iftop的安装

iftop的官方网站为:http://www.ex-parrot.com/pdw/iftop/, 目前的最新稳定版本为iftop-0.17。安装iftop非常简单,有源码编译安装和yum方式安装两种方式,这里以Centos6.4版本为例,简单介绍如下。


(1)源码编译安装iftop

安装iftop必需的软件库:

[root@localhost ~]#yum install  libpcap libpcap-devel ncurses ncurses-devel

[root@localhost ~]#yum install  flex byacc


下载iftop,编译安装:

[root@localhost ~]#wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

[root@localhost ~]#tar zxvf iftop-0.17.tar.gz

[root@localhost ~]#cd iftop-0.17

[root@localhost ~]#./configure

[root@localhost ~]#make

[root@localhost ~]#make install


(2)yum方式安装

安装iftop必需的软件库:

[root@localhost ~]#yum install  libpcap libpcap-devel ncurses ncurses-devel

[root@localhost ~]#yum install  flex byacc

[root@localhost ~]#wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm

[root@localhost ~]#rpm -ivh epel-release-6-8.noarch.rpm

[root@localhost ~]#yum install iftop

这样,iftop就安装完成了。


三、使用iftop监控网卡实时流量


 安装完iftop工具后,直接输入iftop命令即可显示网卡实时流量信息。在默认情况下,iftop显示系统第一块网卡的流量信息,如果要显示指定网卡信息,可通过“-i”参数实现。

(1)iftop输出界面说明

执行“iftop -P -i em1”命令,得到如下图所示的iftop的一个典型输出界面。

wKioL1Qo8OqhZ2f4AALLXOnnZCM394.jpg

iftop的输出从整体上可以分为三大部分:

第一部分。是iftop输出中最上面的一行,此行信息是流量刻度,用于显示网卡带宽流量。

第二部分。是iftop输出中最大的一个部分,此部分又分为左、中、右三列,左列和中列记录了哪些IP或主机正在和本机的网络进行连接。其中,中列的“=>”代表发送数据,“<=”代表接收数据,通过这个指示箭头可以很清晰地知道两个IP之间的通信情况。最右列又分为三小列,这些实时参数分别表示外部IP连接到本机2秒内、10秒内和40秒内的平均流量值。另外,这个部分还有一个流量图形条,流量图形条是对流量大小的动态展示,以第一部分中的流量刻度为基准。通过这个流量图形条可以很方便地看出哪个IP的流量最大,进而迅速定位网络中可能出现的流量问题。

第三部分位于iftop输出的最下面,可以分为三行,其中,“TX”表示发送数据,“RX”表示接收数据,“TOTAL”表示发送和接收全部流量。与这三行对应的有三列,其中“cum”列表示从运行iftop到目前的发送、接收和总数据流量。“peak”列表示发送、接收以及总的流量峰值。“rates”列表示过去2s、10s、40s的平均流量值。

(2) iftop使用参数说明

iftop还有很多附加参数和功能。执行“iftop -h”即可显示iftop可使用的所有参数信息。iftop常用的参数以及含义如下表所示。

参数含义                     示例

-i指定需要监测的网卡iftop –i em1

-n将输出的主机信息都通过IP显示,不进行DNS反向解析iftop -n

-B将输出以bytes为单位显示网卡流量,默认是bitsiftop –B

-p以混杂模式运行iftop,此时iftop可以作为网络嗅探器使用iftop –p

-N只显示连接端口号,不显示端口对应的服务名称iftop –N

-P显示主机以及端口信息,这个参数非常有用iftop –P

-F显示特定网段的网卡进出流量iftop –F 192.168.12.0/24

-m设置iftop输出界面中最上面的流量刻度最大值,流量刻度分五个大段显示iftop –m

(3)iftop的交互操作

在iftop的实时监控界面中,还可以对输出结果进行交互式操作,用于对输出信息进行整理和过滤,在上图所示界面中,按键“h”即可进入交互选项界面,如下图所示。

wKioL1Qo8R3g0rIcAAJuO3uznh4579.jpg

 


iftop的交互功能和Linux下的top命令非常类似,交互参数主要分为4个部分,分别是一般参数、主机显示参数、端口显示参数和输出排序参数。相关参数的含义如下表所示。


参数     含义

P通过此键可切换暂停/继续显示

h通过此键可在交互参数界面/状态输出界面之间来回切换

b通过此键可切换是否显示平均流量图形条

B通过此键可切换显示2秒、10秒、40秒内的平均流量

T通过此键可切换是否显示每个连接的总流量

j/k按j键或k键可以向上或向下滚动屏幕显示当前的连接信息

l通过此键可打开iftop输出过滤功能,比如输入要显示的IP,按回车后,屏幕就只显示与这个IP相关的流量信息

L通过此键可切换显示流量刻度范围,刻度不同,流量图形条会跟着变化

q通过此键可退出iftop流量监控界面

n通过此键可使iftop输出结果以IP或主机名的方式显示

s通过此键可切换是否显示源主机信息

d通过此键可切换是否显示远端目标主机信息

t通过此键可切换iftop显示格式,连续按此键可依次显示:以两行方式显示发送接收流量、以一行方式显示发送接收流量、只显示发送流量/只显示接收流量

N通过此键可切换显示端口号/端口号对应服务名称

S通过此键可切换是否显示本地源主机的端口信息

D通过此键可切换是否显示远端目标主机的端口信息

p通过此键可切换是否显示端口信息

<通过此键可根据左边的本地主机名或IP地址进行排序

>通过此键可根据远端目标主机的主机名或IP地址进行排序

o通过此键可切换是否固定显示当前的连接

iftop的强大之处在于它能够实时显示网络的流量状态,监控网卡流量的来源IP和目标地址,这对于检测服务器网络故障、流量异常是非常有用的,只需通过一个命令就能把流量异常或网络故障的原因迅速定位,因此对于运维人员来说,iftop命令是必不可少的一个网络故障排查工具。





















本文转自南非蚂蚁51CTO博客,原文链接: http://blog.51cto.com/ixdba/1559362,如需转载请自行联系原作者



相关文章
|
12天前
|
运维 监控 网络协议
|
8天前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
8天前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
|
8天前
|
网络协议 安全 NoSQL
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-2):scapy 定制 ARP 协议 、使用 nmap 进行僵尸扫描-实战演练、就怕你学成黑客啦!
|
8天前
|
网络协议 安全 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
实战:WireShark 抓包及快速定位数据包技巧、使用 WireShark 对常用协议抓包并分析原理 、WireShark 抓包解决服务器被黑上不了网等具体操作详解步骤;精典图示举例说明、注意点及常见报错问题所对应的解决方法IKUN和I原们你这要是学不会我直接退出江湖;好吧!!!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(9):WireShark 简介和抓包原理及实战过程一条龙全线分析——就怕你学成黑客啦!
|
13天前
|
SQL 安全 网络安全
网络防线的守护者:深入网络安全与信息安全的世界
【10月更文挑战第20天】在数字时代的海洋中,网络安全和信息安全是保护我们免受信息泄露、数据窃取和隐私侵犯的重要屏障。本文将带领读者探索网络安全漏洞的成因,加密技术如何成为我们的盾牌,以及安全意识在抵御网络攻击中的核心作用。通过深入浅出的解释和生动的案例分析,我们将一起学习如何加强个人和组织的网络防御,确保数字世界的安全。
13 4
|
8天前
|
人工智能 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(4-2):渗透测试行业术语扫盲完结:就怕你学成黑客啦!)作者——LJS
|
8天前
|
安全 大数据 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(3-2):渗透测试行业术语扫盲)作者——LJS
|
8天前
|
SQL 安全 网络协议
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS
网络空间安全之一个WH的超前沿全栈技术深入学习之路(1-2):渗透测试行业术语扫盲)作者——LJS