iftop – 偵測網路連線狀態軟體

作者: | 2010-10-25
Logo

iftop: display bandwidth usage on an interface

Free Image Hosting at www.ImageShack.us

剛剛看了一下logwatch才有點嚇到,居然這兩天有人不斷的try我的SSH、HTTP跟FTP端口! :| 這才花現流量也有點暴增,平常一天6~700MB,這幾天跑到1GB以上 :er 我早就移走小憂ㄟ部落格了丫! 那A安ㄋㄟ :kao 想說這台VPS上也裝了APF跟BFD之類的安全軟體,應該是沒什麼大問題,YUM該更新的也早就有做定時更新了,檔案權限設定也看了一次,這次帽子系列的漏洞應該弄不到我才對,不過始終還是不太放心,還是把APF的安全性調高一點,另外裝了iftop方便監視。 ;)

iftop是一套可以real-time偵測網路連線狀態並且分析流量的小軟體,當機器沒有完善的防火牆措施或安全軟體設置,有時候光看連線數(指令是netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n)也不太確定有沒有問題,但卻又疑似遭到DDoS攻擊的時候,可以先採用這方式把兇手找出來再丟去給APFCSF之類的安全軟體處理,如果真的啥都沒有的話也可以用iptable做阻檔,指令如下

iptables -A INPUT -s 要阻檔的IP位置 -j DROP
iptables -A INPUT -s 4.23.63.87 -j DROP

iftop的安裝方式如下:

先安裝基本套件

yum install -y libpcap libpcap-devel

開始安裝iftop

cd cd /usr/src
wget http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.17.tar.gz
tar -xzvf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make
make install
cd ..
rm -rf iftop-0.17*

iftop程式參數說明

-i:監控網路卡介面
-B:以bytes為單位
-n:以IP顯示不用DNS反解
-N:只顯示port不顯示服務名稱
-F:監視特定網段的網路狀態

像是OpenVZ系統要啟動iftop的時候就要用iftop -i venet0,不然iftop 0.17預設是偵測eth0,沒指定好要偵測網路介面的話iftop就會跟你耍冷 :-# 要偵測其他的網路介面就用iftop -i eth1之類的。

iftop主畫面指令說明

General:
P – 暫停顯示
h – 顯示幫助
b – 切換顯示流量條
B – 切換流量條2/10/40秒的平均數
T – 切換顯示總流量欄位
j/k – 水平向下捲動 j向上滾動 k向下滾動
f – 編輯篩選條件碼
l – 篩選條件顯示設定
L – 比例條顯示設定
! – 執行shell指令
q – 離開

Host display:
n – 切換解析來源DNS
s – 切換顯示目地IP
d – 切換顯示來源IP
t – 切換流量進出的顯示模式

Port display:
N – 切換解析主機端口
S – 切換顯示主機端口
D – 切換顯示來源端口
p – 切換端口的顯示模式

Sorting:
1/2/3 – 排序 1/2/3 欄位
< - 以來源端做排序 > – 以目地端做排序
o – 凍結目前排列

臉書回應

篇回應

2 thoughts on “iftop – 偵測網路連線狀態軟體

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *

(A)  :@  (brb)  (U)  (:cc)  :S  (H)  :-(  :cute  (6)  :-#  :$  :er  8-)  FUCK 
(})  ({)  GY  (L)  :kao  (K)  :cc  :pu  (F)  :(  ^o)  :-*  :O  +o(  |-) 
:)  (*)  :D  *-)  (N)  (Y)  :P  :|  (W)  ;)  XD