iftop – 侦测网路连线状态软体

iftop: display bandwidth usage on an interface

刚刚看了一下logwatch才有点吓到，居然这两天有人不断的try我的SSH、HTTP跟FTP端口! ? 这才花现流量也有点暴增，平常一天6~700MB，这几天跑到1GB以上 ???

我早就移走小忧ㄟ部落格了丫! 那A安ㄋㄟ ??? 想说这台VPS上也装了APF跟BFD之类的安全软体，应该是没什么大问题，YUM该更新的也早就有做定时更新了，档案权限设定也看了一次，这次帽子系列的漏洞应该弄不到我才对，不过始终还是不太放心，还是把APF的安全性调高一点，另外装了iftop方便监视。 ?

iftop是一套可以即时侦测网路连线状态并且分析流量的小软体，当机器没有完善的防火墙措施或安全软体设置，有时候光看连线数也不太确定有没有问题，指令是netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n

但却又疑似遭到DDoS攻击的时候，可以先采用这方式把凶手找出来再丢去给CSF之类的安全软体处理。

iftop的安装方式如下：

先安装基本套件

yum install -y libpcap libpcap-devel

开始安装iftop

cd cd /usr/src
wget http://www.ex-parrot.com/~pdw/iftop/download/iftop-0.17.tar.gz
tar -xzvf iftop-0.17.tar.gz
cd iftop-0.17
./configure
make
make install
cd ..
rm -rf iftop-0.17*

iftop程式参数说明：

-i：监控网路卡介面
-B：以bytes为单位
-n：以IP显示不用DNS反解
-N：只显示port不显示服务名称
-F：监视特定网段的网路状态
像是OpenVZ系统要启动iftop的时候就要用iftop -i venet0，不然iftop 0.17预设是侦测eth0，没指定好要侦测网路介面的话iftop就会跟你耍冷 ? 要侦测其他的网路介面就用iftop -i eth1之类的。
iftop主画面指令说明：

General:

P – 暂停显示
h – 显示帮助
b – 切换显示流量条
B – 切换流量条2/10/40秒的平均数
T – 切换显示总流量栏位
j/k – 水平向下卷动 j向上滚动 / k向下滚动
f – 编辑筛选条件码
l – 筛选条件显示设定
L – 比例条显示设定
! – 执行shell指令
q – 离开

Host display:

n – 切换解析来源DNS
s – 切换显示目地IP
d – 切换显示来源IP
t – 切换流量进出的显示模式

Port display:

N – 切换解析主机端口
S – 切换显示主机端口
D – 切换显示来源端口
p – 切换端口的显示模式

Sorting:

1/2/3 – 排序 1/2/3 栏位
< - 以来源端做排序 > – 以目地端做排序
o – 冻结目前排列

 列印本文