從零開始學習iftop流量監控（找出服務器耗費流量最多的ip和端口）

1、iftop是什麼

iftop是相似於top的實時流量監控工具。

做用：監控網卡的實時流量（能夠指定網段）、反向解析IP、顯示端口信息等

官網：http://www.ex-parrot.com/~pdw/iftop/

2、界面說明

=>表明發送數據，<= 表明接收數據
TX：發送流量
RX：接收流量
TOTAL：總流量
Cumm：運行iftop到目前時間的總流量
peak：流量峯值
rates：分別表示過去 2s 10s 40s 的平均流量

3、經常使用參數

-i 指定須要檢測的網卡， 若是有多個網絡接口，則須要注意網絡接口的選擇，如：# iftop -i eth1
-B 將輸出以byte爲單位顯示網卡流量，默認是bit
-n 將輸出的主機信息都經過IP顯示，不進行DNS解析 
-N 只顯示鏈接端口號，不顯示端口對應的服務名稱
-F 顯示特定網段的網卡進出流量  如iftop -F 192.168.85.0/24
-h 幫助，顯示參數信息
-p 以混雜模式運行iftop，此時iftop能夠用做網絡嗅探器 ;
-P 顯示主機以及端口信息
-m 設置輸出界面中最上面的流量刻度最大值，流量刻度分5個大段顯示  如：# iftop -m 100M
-f 使用篩選碼選擇數據包來計數  如iftop -f filter code
-b 不顯示流量圖形條
-c 指定可選的配置文件   如iftop  -c config file
-t 使用不帶ncurses的文本界面，
    如下兩個是隻和-t一塊兒用的：
    -s num num秒後打印一次文本輸出而後退出，-t -s 60組合使用，表示取60秒網絡流量輸出到終端
    -L num 打印的行數
-f 參數支持tcpdump的語法，可使用各類過濾條件。

4、進入界面後操做

通常參數：

P      切換暫停/繼續顯示
h      在交互界面/狀態輸出界面之間切換
b      切換是否顯示平均流量圖形條
B      切換顯示2s 10s和40s內的平均流量
T      切換是否顯示每一個鏈接的總流量
j/k    向上或向下滾動屏幕顯示當前的鏈接信息
f      編輯篩選碼
l      打開iftop輸出過濾功能 ，如輸入要顯示的IP按回車鍵後屏幕就只顯示與這個IP相關的流量信息
L      切換顯示流量刻度範圍，刻度不一樣，流量圖形條也會不一樣
q      退出iftop

主機參數：

n      使iftop輸出結果以IP或主機名的方式顯示
s      切換是否顯示源主機信息
d      切換是否顯示遠端目標主機信息
t      切換輸出模式,一行或多行

端口顯示參數：

N      切換顯示端口號/端口號對應服務名稱
S      切換是否顯示本地源主機的端口信息
D      切換是否顯示遠端目標主機的端口信息
p      切換是否顯示端口信息

輸出排序參數：

1/2/3  經過第一列/第二列/第三列排序
<      根據左邊的本地主機名或IP地址進行排序
>      根據遠端目標主機的主機名或IP地址進行排序
o      切換是否固定顯示當前的鏈接

5、使用示例

1.顯示網卡eth0的信息，主機經過ip顯示

iftop -i eth0 -n

2.顯示端口號（添加-P參數，進入界面可經過p參數關閉）

iftop -i eth0 -n -P

3.顯示將輸出以byte爲單位顯示網卡流量,默認是bit

iftop -i eth0 -n -B

4.顯示流量進度條

iftop -i eth0 -n(進入界面後按下L)

5.顯示每一個鏈接的總流量

iftop -i eth0 -n(進入界面後按下T)

6.顯示指定ip 172.17.1.158的流量

iftop -i eth0 -n(進入界面後按下l,輸入172.17.1.158回車)

6、實操-找出最費流量的ip和端口號

網上找了一圈，全是粘貼複製的iftop命令使用，沒說到點上

接下，請欣賞真正的表演

1.進入界面

iftop -i eth0 -nNB -m 10M

-i 指定網卡，
-n 表明主機經過ip顯示不走DNS
-N 只顯示鏈接端口號，不顯示端口對應的服務名稱(不加會顯示如ssh這樣的服務名稱，不便於排查)
-B 指定顯示單位爲Kb，默認是bit，過小！
-m 設置輸出界面中最上面的流量刻度最大值，流量刻度分5個大段顯示
進入後界面以下

2.按下L顯示流量刻度

L參數直接顯示進度條，方便人類閱讀，別說你能直接經過數字感知，當心被砍死

3.按下T顯示總量

總得有個總數統計，看着方便！

4.按下3，根據最近40s統計排序

用平均值來統計最權威點

5.按下t，發送和接受合成一行

顯示兩行沒什麼意思，一行就夠了！

6.多按幾回B，查看最近2s、10s、40s的統計

沒錯，圖中的172.17.1.158就是咱們找到的流量用得最多的IP

7.篩選指定IP 172.17.1.158

按下l, 輸入172.17.1.158，出現以下

回車，生效

這下就只看到這個ip的流量監控了

8.找到這個ip哪一個端口流量用得最多

按下p,根據端口號顯示

到這裏，咱們就學會了如何找出流量用得最多的ip和端口號，這麼好乾貨你不high起來對不起哥這麼用心的截圖！