從零開始學習iftop流量監控（找出服務器耗費流量最多的ip和端口）

目錄

• 一、iftop是什么
• 二、界面說明
• 三、常用參數
• 四、進入界面后的操作
  • 一般參數
  • 主機參數
  • 端口顯示參數
  • 輸出排序參數
• 五、使用示例
  • 1.顯示網卡eth0的信息，主機通過ip顯示
  • 2.顯示端口號（添加-P參數，進入界面可通過p參數關閉）
  • 3.顯示將輸出以byte為單位顯示網卡流量,默認是bit
  • 4.顯示流量進度條
  • 5.顯示每個連接的總流量
  • 6.顯示指定ip 172.17.1.158的流量
• 六、實戰-找出最費流量的ip和端口號
  • 1.進入界面
  • 2.按下L顯示流量刻度
  • 3.按下T顯示總量
  • 4.按下3，根據最近40s統計排序
  • 5.按下t，發送和接受合成一行
  • 6.多按幾次B，查看最近2s、10s、40s的統計
  • 7.篩選指定IP 172.17.1.158
  • 8.找到這個ip哪個端口流量用得最多

一、iftop是什么

iftop是類似於top的實時流量監控工具。

作用：監控網卡的實時流量（可以指定網段）、反向解析IP、顯示端口信息等

官網：http://www.ex-parrot.com/~pdw/iftop/

二、界面說明

=>代表發送數據，<= 代表接收數據
TX：發送流量
RX：接收流量
TOTAL：總流量
Cumm：運行iftop到目前時間的總流量
peak：流量峰值
rates：分別表示過去 2s 10s 40s 的平均流量

三、常用參數

-i 指定需要檢測的網卡， 如果有多個網絡接口，則需要注意網絡接口的選擇，如：# iftop -i eth1
-B 將輸出以byte為單位顯示網卡流量，默認是bit
-n 將輸出的主機信息都通過IP顯示，不進行DNS解析 
-N 只顯示連接端口號，不顯示端口對應的服務名稱
-F 顯示特定網段的網卡進出流量  如iftop -F 192.168.85.0/24
-h 幫助，顯示參數信息
-p 以混雜模式運行iftop，此時iftop可以用作網絡嗅探器 ;
-P 顯示主機以及端口信息
-m 設置輸出界面中最上面的流量刻度最大值，流量刻度分5個大段顯示  如：# iftop -m 100M
-f 使用篩選碼選擇數據包來計數  如iftop -f filter code
-b 不顯示流量圖形條
-c 指定可選的配置文件   如iftop  -c config file
-t 使用不帶ncurses的文本界面，
    以下兩個是只和-t一起用的：
    -s num num秒后打印一次文本輸出然后退出，-t -s 60組合使用，表示取60秒網絡流量輸出到終端
    -L num 打印的行數
-f 參數支持tcpdump的語法，可以使用各種過濾條件。

四、進入界面后的操作

一般參數

P      切換暫停/繼續顯示
h      在交互界面/狀態輸出界面之間切換
b      切換是否顯示平均流量圖形條
B      切換顯示2s 10s和40s內的平均流量
T      切換是否顯示每個連接的總流量
j/k    向上或向下滾動屏幕顯示當前的連接信息
f      編輯篩選碼
l      打開iftop輸出過濾功能 ，如輸入要顯示的IP按回車鍵后屏幕就只顯示與這個IP相關的流量信息
L      切換顯示流量刻度范圍，刻度不同，流量圖形條也會不同
q      退出iftop

主機參數

n      使iftop輸出結果以IP或主機名的方式顯示
s      切換是否顯示源主機信息
d      切換是否顯示遠端目標主機信息
t      切換輸出模式,一行或多行

端口顯示參數

N      切換顯示端口號/端口號對應服務名稱
S      切換是否顯示本地源主機的端口信息
D      切換是否顯示遠端目標主機的端口信息
p      切換是否顯示端口信息

輸出排序參數

1/2/3  通過第一列/第二列/第三列排序
<      根據左邊的本地主機名或IP地址進行排序
>      根據遠端目標主機的主機名或IP地址進行排序
o      切換是否固定顯示當前的連接

五、使用示例

1.顯示網卡eth0的信息，主機通過ip顯示

iftop -i eth0 -n

2.顯示端口號（添加-P參數，進入界面可通過p參數關閉）

iftop -i eth0 -n -P

3.顯示將輸出以byte為單位顯示網卡流量,默認是bit

iftop -i eth0 -n -B

4.顯示流量進度條

iftop -i eth0 -n(進入界面后按下L)

5.顯示每個連接的總流量

iftop -i eth0 -n(進入界面后按下T)

6.顯示指定ip 172.17.1.158的流量

iftop -i eth0 -n(進入界面后按下l,輸入172.17.1.158回車)

六、實戰-找出最費流量的ip和端口號

網上找了一圈，全是粘貼復制的iftop命令使用，沒說到點上

接下，請欣賞真正的表演

1.進入界面

iftop -i eth0 -nNB -m 10M

-i 指定網卡，
-n 代表主機通過ip顯示不走DNS
-N 只顯示連接端口號，不顯示端口對應的服務名稱(不加會顯示如ssh這樣的服務名稱，不便於排查)
-B 指定顯示單位為Kb，默認是bit，太小！
-m 設置輸出界面中最上面的流量刻度最大值，流量刻度分5個大段顯示
進入后界面如下

2.按下L顯示流量刻度

L參數直接顯示進度條，方便人類閱讀，別說你能直接通過數字感知，小心被砍死

3.按下T顯示總量

總得有個總數統計，看着方便！

4.按下3，根據最近40s統計排序

用平均值來統計最權威點

5.按下t，發送和接受合成一行

顯示兩行沒什么意思，一行就夠了！

6.多按幾次B，查看最近2s、10s、40s的統計

沒錯，圖中的172.17.1.158就是我們找到的流量用得最多的IP

7.篩選指定IP 172.17.1.158

按下l, 輸入172.17.1.158，出現如下

回車，生效

這下就只看到這個ip的流量監控了

8.找到這個ip哪個端口流量用得最多

按下p,根據端口號顯示

到這里，我們就學會了如何找出流量用得最多的ip和端口號，這么好干貨你不high起來對不起哥這么用心的截圖！