流量监控---iftop

一、iftop是什么？

iftop是类似于top的实时流量监控工具。

官方网站：http://www.ex-parrot.com/~pdw/iftop/

二、iftop有什么用？

iftop可以用来监控网卡的实时流量（可以指定网段）、反向解析IP、显示端口信息等，详细的将会在后面的使用参数中说明。

三、安装iftop

安装方法1、编译安装

如果采用编译安装可以到iftop官网下载最新的源码包。

安装前需要已经安装好基本的编译所需的环境，比如make、gcc、autoconf等。安装iftop还需要安装libpcap和libcurses。

CentOS上安装所需依赖包：

yum install flex byacc  libpcap ncurses ncurses-devel libpcap-devel

Debian上安装所需依赖包：

apt-get install flex byacc  libpcap0.8 libncurses5

下载iftop

wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

tar zxvf iftop-0.17.tar.gz

cd iftop-0.17

./configure

make && make install

安装方法2：(懒人办法，最简单)

直接省略上面的步骤

按https://www.vpser.net/manage/centos-rhel-linux-third-party-source-epel.html 这个教程安装好EPEL，直接yum install iftop

Debian系统 运行：apt-get install iftop

四、运行iftop

直接运行： iftop

效果如下图：

五、相关参数及说明

1、iftop界面相关说明

界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的。

中间的<= =>这两个左右箭头，表示的是流量的方向。

TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量

2、iftop相关参数

常用的参数

-i设定监测的网卡，如：# iftop -i eth1

-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B

-n使host信息默认直接都显示IP，如：# iftop -n

-N使端口信息默认直接都显示端口号，如: # iftop -N

-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0

-h（display this message），帮助，显示参数信息

-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;

-b使流量图形条默认就显示;

-f这个暂时还不太会用，过滤计算包用的;

-P使host信息及端口信息默认就都显示;

-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

进入iftop画面后的一些操作命令(注意大小写)

按h切换是否显示帮助;

按n切换显示本机的IP或主机名;

按s切换是否显示本机的host信息;

按d切换是否显示远端目标主机的host信息;

按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;

按N切换显示端口号或端口服务名称;

按S切换是否显示本机的端口信息;

按D切换是否显示远端目标主机的端口信息;

按p切换是否显示端口信息;

按P切换暂停/继续显示;

按b切换是否显示平均流量图形条;

按B切换计算2秒或10秒或40秒内的平均流量;

按T切换是否显示每个连接的总流量;

按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;

按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;

按j或按k可以向上或向下滚动屏幕显示的连接记录;

按1或2或3可以根据右侧显示的三列流量数据进行排序;

按<根据左边的本机名或IP排序;

按>根据远端目标主机的主机名或IP排序;

按o切换是否固定只显示当前的连接;

按f可以编辑过滤代码，这是翻译过来的说法，我还没用过这个！

按!可以使用shell命令，这个没用过！没搞明白啥命令在这好用呢！

按q退出监控。

4.2 iftop的输出从整体上可以分为三大部分：

第一部分是iftop输出中最上面的一行，此行是流量刻度，用于显示网卡带宽流量；

第二部分是iftop输出中最大的一个部分，此部分又分为左中右三列，左列和中列记录了哪些IP或主机正在本机的网络进行连接。其中中列的 => 代表发送数据，<=代表接收数据，通过这个指示箭头可以很清晰的知道两个IP之间的通信情况。最右列又分为三个小列，这些实时参数分别表示外部IP连接到本机2s 10s和40s的平均流量。另外这个部分还有一个流量图形条，流量图形条是对流量大小的动态展示，以第一部分中的流量刻度为基准。通过这个流量图形条可以很方便的看出那个IP的流量最大，今儿迅速定位网络中可能出现的流量问题；

第三部分位于iftop输出的最下面，可以分为三行，其中TX表示发送的数据，RX表示接受的数据，TOTAL表示发送和接收的全部流量。与这三行对应的有三列，其中cum列表示从运行iftop到目前的发送，接收和总数据流量；peak列表示发送，接收以及总的流量峰值；rates列表示过去2s 10s和40s的平均流量值；

4.3iftop使用的参数(iftop -h)

参数                  含义

-i              指定需要检测的网卡

-n    将输出的主机信息都通过IP显示，不进行DNS解析

-B          将输出以byte为单位显示网卡流量，默认是bit

-p    以混杂模式运行iftop，此时iftop可以用作网络嗅探器

-N    只显示连接端口号，不显示端口对应的服务名称

-P                  显示主机以及端口信息

-F               显示特定网段的网卡进出流量  如iftop -F 192.168.85.0/24

-m    设置输出界面中最上面的流量刻度最大值，流量刻度分5个大段显示  如iftop  -m limit

-f    使用筛选码选择数据包来计数  如iftop -f filter code

-b                  不显示流量图形条

-c    指定可选的配置文件   如iftop  -c config file

-t    使用不带ncurses的文本界面，

如下两个是只和-t一起用的：

-s num        num秒后打印一次文本输出然后退出

-L num        打印的行数

效果如图：

4.4交互操作

再进入iftop检测界面后按h键即可进入交互选项界面，如图

交互参数主要分为四个部分，分别为一般参数，主机参数，端口显示参数和输出排序参数；

一般参数：

P     切换暂停/继续显示

h     在交互界面/状态输出界面之间切换

b     切换是否显示平均流量图形条

B     切换显示2s 10s和40s内的平均流量

T     切换是否显示每个连接的总流量

j/k   向上或向下滚动屏幕显示当前的连接信息

f     编辑筛选码

l     打开iftop输出过滤功能 ，如输入要显示的IP按回车键后屏幕就只显示与这个IP相关的流量信息

L     切换显示流量刻度范围，刻度不同，流量图形条也会不同

q     退出iftop

主机参数：

n     使iftop输出结果以IP或主机名的方式显示

s     切换是否显示源主机信息

d     切换是否显示远端目标主机信息

t     切换输出模式

端口显示参数：

N     切换显示端口号/端口号对应服务名称

S     切换是否显示本地源主机的端口信息

D     切换是否显示远端目标主机的端口信息

p     切换是否显示端口信息

输出排序参数：

1/2/3    通过第一列/第二列/第三列排序

<       根据左边的本地主机名或IP地址进行排序

>       根据远端目标主机的主机名或IP地址进行排序

o       切换是否固定显示当前的连接

补充：如何将iftop的输出导出到文本中呢？

iftop的man手册中-t选项说可以将输出定向到标准输出中，可是试了不行，也不知道如何做。

-t text output mode

Use text interface without ncurses and print the output to STDOUT.

但是找到了一个可以实现的方法：http://www.weiruoyu.cn/?p=2638

nohup iftop -i eth0 > /filename 2>&1 &