Linux网络监控工具 - iftop

iftop 是一个基于 libpcap 库的网络流量监控工具。它通过监听指定网络接口上的数据包，并分析这些数据包的源地址、目标地址、源端口、目标端口、协议等信息，从而实时显示网络流量的相关统计信息。

安装

在大多数Linux发行版中，您可以使用包管理器来安装 iftop。例如，在Ubuntu/Debian上，可以使用以下命令安装：

复制代码

sudo apt-get install iftop

启动

在终端中输入 iftop 命令即可启动 iftop。默认情况下，它会显示所有正在进行的网络连接的信息。

界面说明

标准视图，端口显示关闭，每对主机两行

主机名隐藏，显示源端口，每对主机一行=按服务划分的网络流量

顶部：流量刻度尺，刻度分五个大段显示。数据行的流量条与之对应。
数据行：显示实时的网络流量信息，每一行表示一个网络连接。
- 本主机信息；
- 目标主机信息； => 箭头表示流量方向，=>代表发送数据，<=代表接收数据；
- 流量数据，这些实时参数分别表示主机间 2秒内、10秒内和40秒内的平均流量值;
底部:显示当前的总发送和接收流量、平均发送和接收速率，以及当前的流量峰值。
- TX 表示发送数据
- RX 表示接收数据
- TOTAL 表示发送和接收全部流量
- cum 表示从运行iftop到目前的发送、接收和总数据流量
- peak 表示发送、接收以及总的流量峰值
- rates 表示过去2s、10s、40s的平均流量值

用法

语法

复制代码

 iftop -h | [-npblNBP] [-i interface] [-f filter code]  [-F net/mask] [-G net6/mask6]

选项

-h
display this message
帮助信息
-n
don't do hostname lookups
不要进行主机名查找，第一列默认显示的是hostname，加上该参数后就直接显示为IP
-N
don't convert port numbers to services
只显示连接端口号，不显示端口对应的服务名称
-p
run in promiscuous mode (show traffic between other hosts on the same network segment)
以混杂模式运行（显示其他同一网段上的主机）
-b
don't display a bar graph of traffic
不显示流量条形图
-B
display bandwidth in bytes
以字节为单位的显示带宽
-a
display bandwidth in packets
以数据包形式显示带宽
-i interface
listen on named interface
指定需要检测的网卡,默认为第一个活动网卡, 一般为 eth0
-f filter code
use filter code to select packets to count (default: none, but only IP packets are counted)
设置过滤规则，只显示符合规则的网络流量。
过滤规则可以使用BPF（Berkley Packet Filter）语法，它允许您根据源IP地址、目标IP地址、端口号等条件进行过滤。
例如，要只显示源IP地址为192.168.1.10的流量，可以使用以下过滤规则：iftop - -f "src host 192.168.1.10"
-F net/mask
show traffic flows in/out of IPv4 network
显示进出IPv4网络的流量
-G net6/mask6
show traffic flows in/out of IPv6 network
显示进出IPv6网络的流量
-l
display and count link- -local IPv6 traffic (default: off)
显示和计数链路本地IPv6流量（默认值：关闭）
-P
show ports as well as hosts
显示端口和主机
-m limit
sets the upper limit for the bandwidth scale
设置条形图带宽范围的上限，流量刻度分 5 个大段显示如：# iftop - -m 100M
-c config file
specifies an alternative configuration file
指定可选的配置文件
-t
use text interface without ncurses
使用没有ncurses的文本界面
排序选项
-o 2s
Sort by first column (2s traffic average)
按第一列(2秒流量平均值)排序
-o 10s
Sort by second column (10s traffic average) [default]
按第二列(10s 流量平均值)[默认值]排序
-o 40s
Sort by third column (40s traffic average)
按第三列(平均流量40秒)排序
-o source
Sort by source address
按源地址排序
-o destination
Sort by destination address
按目标地址排序

以下选项仅与- -t组合使用

-s num
print one single text output afer num seconds, then quit
在数秒内打印一个文本输出，然后退出；，-t -s 60 组合使用，表示取 60 秒网络流量输出
-L num
number of lines to print
要打印的行数

运行时命令

Host display

n - toggle DNS host resolution 切换DNS主机解析
s - toggle show source host 切换显示本主机Host
d - toggle show destination host 切换显示目标主机Host
t - cycle line display mode 切换显示模式，没对主机显示1/2行

Port display

N - toggle service resolution 切换显示端口号或端口服务名称
S - toggle show source port 切换是否显示本机的端口信息
D - toggle show destination port 切换是否显示远端目标主机的端口信息
p - toggle port display 切换是否显示端口信息

General

P - pause display 暂停/继续显示
h - toggle this help display 切换帮助信息和主页面
b - toggle bar graph display 切换是否显示平均流量图形条
B - cycle bar graph average 切换流量图形条为 2秒或10秒或40秒内的平均流量
T - toggle cumulative line totals 切换是否显示每个连接的总流量
j/k - scroll display 可以向上或向下滚动屏幕显示的连接记录
f - edit filter code 编辑过滤代码
l - set screen filter 打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息
L - lin/log scales 切换显示画面上边的刻度
! - shell command 使用shell命令
q - quit 退出

Sorting

1/2/3 - sort by 1st/2nd/3rd column 根据右侧显示的三列流量数据进行排序
< - sort by source name 根据本主机信息列排序
> - sort by dest name 根据远端目标主机列排序
o - freeze current order 切换是否固定只显示当前的连接

工作原理

iftop 的工作原理可以概括为以下几个步骤：

打开指定的网络接口：iftop 首先会打开用户指定的网络接口，如 eth0、wlan0 等。
抓取数据包：iftop 使用 libpcap 库来抓取从指定网络接口上收到的数据包。libpcap 是一个网络数据包捕获库，它可以在不同的操作系统上进行网络数据包捕获。
解析数据包：iftop 对抓取到的数据包进行解析，提取出数据包中的源地址、目标地址、源端口、目标端口、协议等信息。
统计流量信息：iftop 根据解析到的数据包信息，统计并计算出每个网络连接的发送速率和接收速率，以及总的发送流量和接收流量。
实时显示信息：iftop 将统计的流量信息以实时更新的方式显示在终端界面上，以便用户实时监控网络流量。