linux服務器使用iftop查看帶寬流量IP

20元現金領取地址：http://jdb.jiudingcapital.com/phone.html
內部邀請碼：C8E245J （不寫邀請碼，沒有現金送）

國內私募機構九鼎控股打造，九鼎投資是在全國股份轉讓系統掛牌的公衆公司，股票代碼爲430719，爲「中國PE第一股」，市值超1000億元。

 

Linux下使用iftop工具結合iptables服務來解決帶寬資源被惡意請求滿的問題，主要經過2個步驟來實現；

1.  使用iftop工具查出來是哪些個IP地址在請求主機的帶寬資源，找出耗帶寬的元兇
2.  找出耗帶寬的IP地址或者段，分析是out方向仍是in方向，使用iptables規則來進行控制

具體的詳細操做方法以下；

一但出現帶寬被惡意請求，在帶寬被請滿的狀況下基本上很難經過網絡登入到服務器上進行操做跟維護，這時咱們須要經過阿里雲提供的「鏈接管理終端」服務來登入系統
通常建議在主機正常的時候直接在服務器內部安裝好iftop工具，這樣出現惡意請求的時候直接可使用該工具來進行排查，下面介紹下iftop的2中安裝方法

1.使用yum 安裝iftop工具
使用yum安裝的話比較簡單，只要直接執行 yum install iftop –y命令便可，若是沒問題的話系統就會自動執行安裝，可是有使用yum可能安裝不了，這時就須要使用編譯安裝了

2.編譯安裝iftop工具
(1)下載iftop工具的源碼包；
http://oss.aliyuncs.com/aliyunecs/iftop-0.17.tar.gz

(2)CentOS下安裝所需的依賴包
yum install flex byacc  libpcap ncursesncurses-devel libpcap-devel

(3 解壓縮下載的iftop文件
tarzxvf iftop-0.17.tar.gz

(4 進入到解壓的的iftop目錄中
cdiftop-0.17

配置並制定安裝目錄爲/usr/local/iftop目錄下
(5./configure –prefix=/usr/local/iftop

(6)編譯並安裝
make && make install

安裝完成之後直接使用/usr/local/iftop/sbin/iftop 啓動iftop程序查看流量使用狀況，若是想使用iftop的方式直接開啓程序，須要將iftop的程序添加到環境變量中便可

結合使用iptables服務來限制惡意請求的流量；

iftop –i eth1  查看eth1這塊外網網卡的流量使用狀況

經過上面這張信息很清楚的看到，121.199這臺服務器一直往192.230.123.101 這個地址發送流量，並且出去產生的流量至關大，幾乎把整個出網帶寬都給耗盡了
查到了惡意請求的緣由跟目標主機之後，咱們就可使用iptables服務來對這種惡意行爲進行限制了，由於從查看到的數據看主要的流量是從out方向出去的，那就直接在OUT方向設置策略

Iptables  -A  OUTPUT  -d  192.230.123.101 –j  REJECT

這裏可能還會發現一個狀況就是禁用了這個1個IP之後可能這個段的其它IP地址都有可能立刻就接上繼續請求，那就能夠針對一個段來進行限制
iptables-A OUTPUT -d 192.230.0.0/16 -j REJECT

策略加上之後能夠再使用iftop –i eth1 來查看流量的請求狀況；

能夠查看到流量已經恢復了正常，以前的惡意請求的地址都已經被防火牆給屏蔽了，效果比較好

另外iftop還有不少的參數能夠實現比較多的功能，有時間的話能夠研究研究，對排查網絡流量攻擊以及掌控流量使用頗有幫助的

相關參數及說明

一、iftop界面相關說明

界面上面顯示的是相似刻度尺的刻度範圍，爲顯示流量圖形的長條做標尺用的。

中間的<= =>這兩個左右箭頭，表示的是流量的方向。

TX：發送流量
RX：接收流量
TOTAL：總流量
Cumm：運行iftop到目前時間的總流量
peak：流量峯值
rates：分別表示過去 2s 10s 40s 的平均流量

二、iftop相關參數

經常使用的參數

-i設定監測的網卡，如：# iftop -i eth1

-B 以bytes爲單位顯示流量(默認是bits)，如：# iftop -B

-n使host信息默認直接都顯示IP，如：# iftop -n

-N使端口信息默認直接都顯示端口號，如: # iftop -N

-F顯示特定網段的進出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0

-h（display this message），幫助，顯示參數信息

-p使用這個參數後，中間的列表顯示的本地主機信息，出現了本機之外的IP信息;

-b使流量圖形條默認就顯示;

-f這個暫時還不太會用，過濾計算包用的;

-P使host信息及端口信息默認就都顯示;

-m設置界面最上邊的刻度的最大值，刻度分五個大段顯示，例：# iftop -m 100M

進入iftop畫面後的一些操做命令(注意大小寫)

按h切換是否顯示幫助;

按n切換顯示本機的IP或主機名;

按s切換是否顯示本機的host信息;

按d切換是否顯示遠端目標主機的host信息;

按t切換顯示格式爲2行/1行/只顯示發送流量/只顯示接收流量;

按N切換顯示端口號或端口服務名稱;

按S切換是否顯示本機的端口信息;

按D切換是否顯示遠端目標主機的端口信息;

按p切換是否顯示端口信息;

按P切換暫停/繼續顯示;

按b切換是否顯示平均流量圖形條;

按B切換計算2秒或10秒或40秒內的平均流量;

按T切換是否顯示每一個鏈接的總流量;

按l打開屏幕過濾功能，輸入要過濾的字符，好比ip,按回車後，屏幕就只顯示這個IP相關的流量信息;

按L切換顯示畫面上邊的刻度;刻度不一樣，流量圖形條會有變化;

按j或按k能夠向上或向下滾動屏幕顯示的鏈接記錄;

按1或2或3能夠根據右側顯示的三列流量數據進行排序;

按<根據左邊的本機名或IP排序;

按>根據遠端目標主機的主機名或IP排序;

按o切換是否固定只顯示當前的鏈接;

按f能夠編輯過濾代碼，這是翻譯過來的說法，我還沒用過這個！

按!可使用shell命令，這個沒用過！沒搞明白啥命令在這好用呢！

按q退出監控。