linux服務器使用iftop查看帶寬流量IP

20元現金領取地址：http://jdb.jiudingcapital.com/phone.html
內部邀請碼：C8E245J （不寫邀請碼，沒有現金送）

國內私募機構九鼎控股打造，九鼎投資是在全國股份轉讓系統掛牌的公眾公司，股票代碼為430719，為“中國PE第一股”，市值超1000億元。

 

Linux下使用iftop工具結合iptables服務來解決帶寬資源被惡意請求滿的問題，主要通過2個步驟來實現；

1.  使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元凶
2.  找出耗帶寬的IP地址或者段，分析是out方向還是in方向，使用iptables規則來進行控制

具體的詳細操作方法如下；

一但出現帶寬被惡意請求，在帶寬被請滿的情況下基本上很難通過網絡登入到服務器上進行操作跟維護，這時我們需要通過阿里雲提供的“連接管理終端”服務來登入系統
一般建議在主機正常的時候直接在服務器內部安裝好iftop工具，這樣出現惡意請求的時候直接可以使用該工具來進行排查，下面介紹下iftop的2中安裝方法

1.使用yum 安裝iftop工具
使用yum安裝的話比較簡單，只要直接執行 yum install iftop –y命令即可，如果沒問題的話系統就會自動執行安裝，但是有使用yum可能安裝不了，這時就需要使用編譯安裝了

2.編譯安裝iftop工具
(1)下載iftop工具的源碼包；
http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz

(2)CentOS下安裝所需的依賴包
yum install flex byacc  libpcap ncursesncurses-devel libpcap-devel

(3 解壓縮下載的iftop文件
tarzxvf iftop-0.17.tar.gz

(4 進入到解壓的的iftop目錄中
cdiftop-0.17

配置並制定安裝目錄為/usr/local/iftop目錄下
(5./configure –prefix=/usr/local/iftop

(6)編譯並安裝
make && make install

安裝完成以后直接使用/usr/local/iftop/sbin/iftop 啟動iftop程序查看流量使用情況，如果想使用iftop的方式直接開啟程序，需要將iftop的程序添加到環境變量中即可

結合使用iptables服務來限制惡意請求的流量；

iftop –i eth1  查看eth1這塊外網網卡的流量使用情況

通過上面這張信息很清楚的看到，121.199這台服務器一直往192.230.123.101 這個地址發送流量，而且出去產生的流量相當大，幾乎把整個出網帶寬都給耗盡了
查到了惡意請求的原因跟目標主機以后，我們就可以使用iptables服務來對這種惡意行為進行限制了，因為從查看到的數據看主要的流量是從out方向出去的，那就直接在OUT方向設置策略

Iptables  -A  OUTPUT  -d  192.230.123.101 –j  REJECT

這里可能還會發現一個情況就是禁用了這個1個IP以后可能這個段的其它IP地址都有可能馬上就接上繼續請求，那就可以針對一個段來進行限制
iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT

策略加上以后可以再使用iftop –i eth1 來查看流量的請求情況；

可以查看到流量已經恢復了正常，之前的惡意請求的地址都已經被防火牆給屏蔽了，效果比較好

另外iftop還有很多的參數可以實現比較多的功能，有時間的話可以研究研究，對排查網絡流量攻擊以及掌控流量使用很有幫助的

相關參數及說明

1、iftop界面相關說明

界面上面顯示的是類似刻度尺的刻度范圍，為顯示流量圖形的長條作標尺用的。

中間的<= =>這兩個左右箭頭，表示的是流量的方向。

TX：發送流量
RX：接收流量
TOTAL：總流量
Cumm：運行iftop到目前時間的總流量
peak：流量峰值
rates：分別表示過去 2s 10s 40s 的平均流量

2、iftop相關參數

常用的參數

-i設定監測的網卡，如：# iftop -i eth1

-B 以bytes為單位顯示流量(默認是bits)，如：# iftop -B

-n使host信息默認直接都顯示IP，如：# iftop -n

-N使端口信息默認直接都顯示端口號，如: # iftop -N

-F顯示特定網段的進出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0

-h（display this message），幫助，顯示參數信息

-p使用這個參數后，中間的列表顯示的本地主機信息，出現了本機以外的IP信息;

-b使流量圖形條默認就顯示;

-f這個暫時還不太會用，過濾計算包用的;

-P使host信息及端口信息默認就都顯示;

-m設置界面最上邊的刻度的最大值，刻度分五個大段顯示，例：# iftop -m 100M

進入iftop畫面后的一些操作命令(注意大小寫)

按h切換是否顯示幫助;

按n切換顯示本機的IP或主機名;

按s切換是否顯示本機的host信息;

按d切換是否顯示遠端目標主機的host信息;

按t切換顯示格式為2行/1行/只顯示發送流量/只顯示接收流量;

按N切換顯示端口號或端口服務名稱;

按S切換是否顯示本機的端口信息;

按D切換是否顯示遠端目標主機的端口信息;

按p切換是否顯示端口信息;

按P切換暫停/繼續顯示;

按b切換是否顯示平均流量圖形條;

按B切換計算2秒或10秒或40秒內的平均流量;

按T切換是否顯示每個連接的總流量;

按l打開屏幕過濾功能，輸入要過濾的字符，比如ip,按回車后，屏幕就只顯示這個IP相關的流量信息;

按L切換顯示畫面上邊的刻度;刻度不同，流量圖形條會有變化;

按j或按k可以向上或向下滾動屏幕顯示的連接記錄;

按1或2或3可以根據右側顯示的三列流量數據進行排序;

按<根據左邊的本機名或IP排序;

按>根據遠端目標主機的主機名或IP排序;

按o切換是否固定只顯示當前的連接;

按f可以編輯過濾代碼，這是翻譯過來的說法，我還沒用過這個！

按!可以使用shell命令，這個沒用過！沒搞明白啥命令在這好用呢！

按q退出監控。