使用 iftop对网络流量进行监控
概述
iftop是一个免费的网卡实时流量监控工具,类似于Linux下的top命令。
iftop可以监控指定网卡的实时流量、端口连接信息、反向解析IP等,还可以精确显示本机网络流量情况及网络内各主机与本机相互通信的流量集合,非常适合于监控代理服务器或路由器的网络流量。同时iftop对检测流量异常的主机非常有效,通过iftop的输出可以迅速定位主机流量异常的根源,这对于网络故障排查、网络安全检测是十分有用的。在iftop的实时监控界面中,还可以对输出结果进行交互式操作,用于对输出信息进行整理和过滤。
iftop的强大之处在于它能够实时显示网络的流量状态,监控网卡流量的来源IP和目标地址,这对于检测服务器网络故障、流量异常是非常有用的,只需通过一个命令就能把流量异常或网络故障的原因迅速定位,因此,对于运维人员来说,iftop是必不可少的一个网络故障排查工具。
安装
在Linux 中,可以使用 iftop 命令来对服务器网卡的网络流量进行监控,iftop 并不是Linux操作系统中本身就有的工具,需要单独进行安装。
iftop的官方网站为 http://www.ex-parrot.com/pdw/iftop/,目前最新稳定版本为iftop-0.17。
安装 iftop非常简单,有源码编译安装和yum源方式安装两种方式,这里以CentOS 7.6版本为例。
yum源方式安装
执行yum安装命令
yum install iftop -y
一般上述命令执行完毕 iftop 工具就安装完成了,如果在安装过程中报缺少依赖库的错误,请执行下面的命令提前安装 iftop 所依赖的软件库
yum install libpcap libpcap-devel ncurses ncurses-devel
yum install flex byacc
wget http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
rpm -ivh epel-release-6-8.noarch.rpm
yum install iftop -y
源码编译安装
1、安装iftop依赖的软件库
yum install libpcap libpcap-devel ncurses ncurses-devel
yum install flex byacc
2、下载iftop,进行解压:
wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
tar zxvf iftop-0.17.tar.gz
cd iftop-0.17
3、下载完成后,首先执行 ./configure 命令进行安装前的自动安装配置检查。
./configure
4、配置安装检查通过后,执行 make && make install 命令对源码先进行编译,然后再进行安装
make && make install
5、命令执行完成后,可以看到 iftop 已经被安装到 /usr/local/sbin 目录下,通过命令 whereis iftop 进行查看
运行
安装完 iftop 工具后,直接输入 iftop 命令即可显示网卡实时流量信息。在默认情况下,iftop显示系统第一块网卡的流量信息,如果要显示指定网卡信息,可通过“-i”参数实现。
这个命令执行后,就可以看到网络流量使用信息,如下图,按q进行退出。
iftop界面说明
第一部分是iftop输出中最上面的一行,此行是流量刻度尺,刻度分五个大段显示,用于显示网卡带宽流量,即为了显示流量图形条(下边每行的白色横条)的流量作标尺用的。
第二部分是iftop输出中最大的一个部分,此部分又分为左中右三列(最左边的表示当前服务器,中间为外网ip或者域名),左列和中列记录了哪些IP或主机正在与本机的网络进行连接。其中中列的 =>和<=代表网络流量的流转方向,=>代表发送数据,<=代表接收数据,通过这个指示箭头可以很清晰的知道两个IP之间的通信情况。最右列又分为三个小列,这些实时参数分别表示外部IP连接到本机2s 10s和40s的平均流量值。另外这个部分还有一个流量图形条(白色横条),流量图形条是对流量大小的动态展示,以第一部分中的流量刻度尺为基准,通过这个流量图形条可以很方便的看出哪个IP的流量最大,从而迅速定位网络中可能出现的流量问题。
第三部分位于iftop输出的最下面,可以分为三行,其中TX表示发送的总流量,RX表示接收的总流量,TOTAL表示发送和接收的总流量。与这三行对应的有三列,其中cum列表示从运行iftop到目前时间的发送,接收和总数据流量;peak列表示发送,接收以及总的流量峰值;rates列表示过去2s 10s和40s的平均流量值。
iftop相关参数说明
-i 指定需要监测的网卡,如:iftop -i eth1
-B 以bytes(字节)为单位显示流量,默认是bits(比特)(1 Byte = 8 bits 即 1B=8b),如:iftop -B
-n 将输出的主机信息都通过IP显示,不进行DNS反向解析,如:iftop -n
-N 只显示连接端口号,不显示端口对应的服务名称,如: iftop -N
-F 显示特定网段的网卡进出流量,如:iftop -F 172.30.1.0/24 或 iftop -F 172.30.1.0/255.255.255.0
-h(display this message),帮助,显示参数信息
-p 以混杂模式运行iftop,此时iftop可用作网络嗅探器。
-b 使流量图形条默认就显示;
-f 这个暂时还不太会用,过滤计算包用的;
-P 显示主机以及端口信息,这个参数非常有用;
-m 设置界面最上边的流量刻度的最大值,刻度分五个大段显示,例:# iftop -m 100M
iftop 交互操作命令(注意大小写哟~)
在iftop的实时监控界面中,还可以对输出结果进行交互式操作,用于对输出信息进行整理和过滤,在监控界面中,按“h”键即可进入交互选项界面。iftop的交互功能和Linux下的top命令非常类似,交互参数主要分为四个部分,分别是一般参数、主机显示参数、端口显示参数和输出排序参数,相关参数的含义如下图所示。
主要操作有:
按h 可在交互参数界面与状态输出界面之间来回切换
按n 可使iftop的输出结果以IP或主机名的方式显示(来回切换);
按s 切换是否显示本机的host信息,即是否显示源主机信息
按d 切换是否显示远端目标主机的host信息;
按t 通过此键可切换iftop的显示格式,连续按此键可依次显示:以两行方式显示发送、接收流量,以一行方式显示发送、接收流量,只显示发送流量/只显示接收流量
按N 切换显示端口号或端口号对应的服务名称;
按S 切换是否显示本地源主机的端口信息;
按D 切换是否显示远端目标主机的端口信息;
按p 切换是否显示端口信息;
按P 切换暂停/继续显示;
按b 切换是否显示平均流量图形条和流量刻度尺;
按B 切换计算2秒或10秒或40秒内的平均流量;
按T 切换是否显示每个连接的总流量;
按l 打开iftop输出过滤功能,输入要过滤的字符,比如输入要显示的IP,按回车键后,屏幕就只显示与这个IP相关的流量信息
按L 切换显示画面上边的流量刻度范围,刻度不同,流量图形条也会不同;
按j或按k 可以向上或向下滚动屏幕显示当前的连接信息;
按1或2或3可以根据右侧显示的三列流量数据进行排序;
按< 根据左边的本地主机名或IP地址进行排序;
按> 根据远端目标主机的主机名或IP地址进行排序;
按o 切换是否固定只显示当前的连接;
按f可以编辑过滤代码,这是翻译过来的说法,我还没用过这个!
按!可以使用shell命令,这个没用过!没搞明白啥命令在这好用呢!
按q退出监控,即退出iftop流量监控界面。
结合其它参数使用示例
1、iftop -i 指定网卡名:可以用来监控指定网卡的网络流量信息,例如,执行 iftop -i eth0命令,可以监控eth0这块网卡的网络流量使用。在默认情况下,iftop显示系统第一块网卡的流量信息,如果要显示指定网卡信息,可通过“-i”参数实现。
2、iftop -P: 可以在网络流量信息中显示host信息和对应的端口信息,如下图
3、显示特定网段的进出流量,并将流量刻度尺设置为最大100M:iftop -F 106.11.79.0/24 -m 100M
4、不以实时监控界面的方式运行,监听eth0网卡,每隔5s后打印一次流量信息,打印两次输出:iftop -i eth0 -n -t -s 5 -L 2
iftop排查流量异常进程步骤
1、执行 iftop -nNP 命令会出现以下界面
可以看出来10.0.8.12:6443 的进程流量最大,下一步要根据端口号确定对应的进程PID。
2、根据指定的端口号查找对应的应用进程PID
lsof -i:6443 或者 netstat -atunp | grep 6443(这个命令执行结果看着比较直观)
3、根据进程PID查找进程的名称
cat /proc/进程ID/cmdline
4、检查该进程是否正常跑业务,如果不正常需要及时进行处理