iftop过滤

⑴ linux服务器流出流量过大 是否木马

不是木马，是设置问题，下面是流量的控制方法
一、Linux 流量控制过程分二种：
1、队列控制 即 QOS, 瓶颈处的发送队列的规则控制，常见的有 SFQ PRIO
2、流量控制 即带宽控制 , 队列的排队整形， 一般为 TBF HTB
二、Linux 流量控制算法分二种：
1、无类算法 用于树叶级无分支的队列，例如：SFQ
2、分类算法 用于多分支的队列，例如：PRIO TBF HTB
三、具体实现：
1. 在网卡上建立 以SFQ算法的限流

#tc qdisc add dev eth0 root handle 1: sfq
SFQ 参数有 perturb( 重新调整算法间隔 ) quantum 基本上不需要手工调整 :
handle 1: 规定算法编号 .. 可以不用设置由系统指定 ..
#tc qdisc sh dev eth0 显示算法
#tc qd del dev eth0 root 删除 注 : 默认 eht0 支持 TOS
2. 在网卡建立以 TBF算法的限流
#tc qd add dev eth1 root handle 1: tbf rate 256kbit burst 10000 latency 50ms
速率 256kbit 突发传输 10k 最大延迟 50ms
#tc -s qd sh dev eth1 统计
#tc qd del dev eth1 root 删除
3. 在网卡建立 PRIO
#tc qdisc add dev eth0 root handle 1: prio
# 此命令立即创建了类 : 1:1, 1:2, 1:3 ( 缺省三个子类 )
#tc qdisc add dev eth0 parent 1:1 handle 10: sfq
#tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000
注 : 此为 TBF 限速的另一写法 , 前文有讲解 .
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
4. WEB 服务器的流量控制为 5Mbps,SMTP 流量控制在 3Mbps 上 . 而且二者一共不得超过 6Mbps, 互相之间允许借用带宽
#tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8
#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 6Mbit weight
0.6Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded
这部分按惯例设置了根为 1:0, 并且绑定了类 1:1. 也就是说整个带宽不能超过 6Mbps.
#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 5Mbit weight
0.5Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 3Mbit weight
0.3Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000
建立了 2 个类 . 注意我们如何根据带宽来调整 weight 参数的 . 两个类都没有配置成"bounded", 但它们都连
接到了类 1:1 上 , 而 1:1 设置了"bounded". 所以两个类的总带宽不会超过 6Mbps. 别忘了 , 同一个 CBQ 下面的子
类的主号码都必须与 CBQ 自己的号码相一致 !
#tc qdisc add dev eth0 parent 1:3 handle 30: sfq
#tc qdisc add dev eth0 parent 1:4 handle 40: sfq
缺省情况下 , 两个类都有一个 FIFO 队列规定 . 但是我们把它换成 SFQ 队列 , 以保证每个数据流都公平对待 .
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid
1:3
#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid
1:4
6. 过滤器过滤示例
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是去往 22 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1
在 10: 节点添加一个过滤规则 , 优先权 1: 凡是来自 80 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1..
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
在 eth0 上的 10: 节点添加一个过滤规则 , 它的优先权是 2: 凡是上二句未匹配的 IP 数据包 , 发送到频道 10:2..
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4.3.2.1/32 flowid 10:1
去往 4.3.2.1 的包发送到频道 10:1 其它参数同上例
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1.2.3.4/32 flowid 10:1
来自 1.2.3.4 的包发到频道 10:1
#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2
凡上二句未匹配的包送往 10:2
#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4.3.2.1/32 match
ip sport 80 0xffff flowid 10:1
可连续使用 match, 匹配来自 1.2.3.4 的 80 口的数据包

⑵ centos 怎么装 iftop 小白一个

你好，方法如下：
1、安装iftop依赖软件包：
代码如下 复制代码

# yum install flex byacc libpcap ncurses ncurses-devel libpcap-devel

2、下载iftop源码包

代码如下 复制代码
# wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz

3、安装iftop
代码如下 复制代码

# tar xvf iftop-0.17.tar.gz

# cd iftop-0.17

# ./configure --prefix=/usr/local/iftop

# make

# make install

4、使用iftop
# /usr/local/iftop/sbin/iftop <可把此路径写进环境变量>
安装过程中碰到的问题

1、make: yacc: Command not found
make: *** [grammar.c] Error 127
解决方法：apt-get install byacc / yum install byacc
2、configure: error: Curses! Foiled again! www.111cn.net
(Can't find a curses library supporting mvchgat.)
Consider installing ncurses.
解决方法：apt-get install libncurses5-dev / yum install ncurses-deve

1、iftop界面相关说明
界面上面显示的是类似刻度尺的刻度范围，为显示流量图形的长条作标尺用的
中间的这两个左右箭头，表示的是流量的方向
TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量
2、常用的参数：
-i设定监测的网卡，如：# iftop -i eth1
-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B
-n使host信息默认直接都显示IP，如：# iftop -n
-N使端口信息默认直接都显示端口号，如: # iftop -N
-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
-h（display this message），帮助，显示参数信息
-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;
-b使流量图形条默认就显示;
-P使host信息及端口信息默认就都显示;
-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M
3、运行iftop后的常用交互命令：
按h切换是否显示帮助;
按n切换显示本机的IP或主机名;
按s切换是否显示本机的host信息;
按d切换是否显示远程目标主机的host信息;
按t切换显示格式为2行/1行/只显示发送流量/只显示接收流量;
按N切换显示端口号或端口服务名称;
按S切换是否显示本机的端口信息;
按D切换是否显示远程目标主机的端口信息;
按p切换是否显示端口信息;
按P切换暂停/继续显示;
按b切换是否显示平均流量图形条;
按B切换计算2秒或10秒或40秒内的平均流量;
按T切换是否显示每个连接的总流量;
按l打开屏幕过滤功能，输入要过滤的字符，比如ip,按回车后，屏幕就只显示这个IP相关的流量信息;
按L切换显示画面上边的刻度;刻度不同，流量图形条会有变化;
按j或按k可以向上或向下滚动屏幕显示的连接记录;
按1或2或3可以根据右侧显示的三列流量数据进行排序;
按根据远程目标主机的主机名或IP排序;
按o切换是否固定只显示当前的连接;
按q退出监控

⑶ 宝塔linux 能检测出具体每个网站的流量吗

iftop 很强大的，完全 可以做到
-i设定监测的网卡，如：# iftop -i eth1
-B 以bytes为单位显示流量(默认是bits)，如：# iftop -B
-n使host信息默认直接都显示IP，如：# iftop -n
-N使端口信息默认直接都显示端口号，如: # iftop -N
-F显示特定网段的进出流量，如# iftop -F 10.10.1.0/24或# iftop -F 10.10.1.0/255.255.255.0
-h（display this message），帮助，显示参数信息
-p使用这个参数后，中间的列表显示的本地主机信息，出现了本机以外的IP信息;
-b使流量图形条默认就显示;
-f这个暂时还不太会用，过滤计算包用的;
-P使host信息及端口信息默认就都显示;
-m设置界面最上边的刻度的最大值，刻度分五个大段显示，例：# iftop -m 100M

⑷ linux下面有什么工具可以查看每个进程的网络流量

ntop或bandwitch得到端口的流量。而进程间的网络通讯是依靠端口的，这样也就得到了进程的流量。但是对于动态端口的进程这个是有难度的。linux下面有什么工具可以查看每个进程的网络流量

⑸ linux系统下如何查看数据包

可以用 tcpmp 命令来抓包，比如

tcpmp-ieth0

其中，eth0就是你要抓包的网口。或者你可以用

tcpmp-ieth0-ne

其中 -ne 表示显示不要省略MAC地址。

也可以抓包到文件，例如

tcpmp-ieth0-wtest.pcap

把抓下来的包保存到test.pcap文件中，可以用Wireshark打开来查看，慢慢分析包中的数据。

⑹ linux 如何查看当前进程占用的网速

1. 没办法查看进程的网速，可以看当前的网速流量

   使用iftop命令；

2. 安装iftop,如果默认找不到就安装个epel源（此处是centos6的）

   cd/usr/local/src
   wgethttp://mirrors.sohu.com/fedora-epel/6/i386/epel-release-6-8.noarch.rpm
   rpm-ivhepel-release-6-8.noarch.rpm
   yumcleanall
   yummakecache

yum -y install iftop

iftop

=》 《=箭头指示出是进还是出的流量

TX: 发送流量

RX: 接收流量

⑺ 在地址为192.168.1.44的主机上,要检查到另一台主机的端到端连接性,可通过CLI执行哪个命令

1
通过SSH连接

打开计算机上的SSH客户端（例如Mac OS X上的Terminal，或者Windows下使用PuTTY）

在PuTTY登录界面输入主机名称或者IP地址，EdgeOS默认的IP地址为192.168.1.1。在初次登录的时候，会显示一个主机密钥。你会被询问确认保存主机密钥到本地数据库。点击“是”可以在以后略过这个消息。

在用户名和密码提示符处，输入用户名和密码，默认是ubnt/ubnt。

对于命令帮助，你可以按下?键或者输入show然后按下?键。

回第一步

⑻ linux下面有什么工具可以查看每个进程的网络流量

ntop或bandwitch得到端口的流量。而进程间的网络通讯是依靠端口的，这样也就得到了进程的流量。但是对于动态端口的进程这个是有难度的。