Утилита контроля трафика в режиме online
30 Jul 2013 | Автор: dd |Есть такая хорошая тулза для наколенного анализа проходящего трафика и активных соединений на *nix, как iftop. С пмощью неё можно отмониторить трафик в режиме реального времени, причем с разделением по протоколам, интерфейсам и хостам.
Также она показывает скорость передачи сессий и расход трафа за определенный период времени.
Ставится на CentOS элементарно: сначала добавляем дополнительный репозитарий Repoforge
CentOS 6.* x86:
# rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.i686.rpm
CentOS 6.* x64:
# rpm -Uvh http://pkgs.repoforge.org/rpmforge-release/rpmforge-release-0.5.3-1.el6.rf.x86_64.rpm
После чего уже устанавливаем саму утилиту:
# yum install iftop
И переходим к её использованию для контроля трафика, начав естественно с
# man iftop
Просто вывести весь трафик интерфейсе:
# iftop -i eth0
или так,
# iftop -i eth0 -B
если мы хотим увидеть прохождение трафа в байтах, так как по дефолту iftop выводит статистику в битах. На картинке, которая выводится по тулзе- стрелки показывают в какую сторону идет трафик, слева идут локальные адреса, справа удаленные, в конце страки идут счетчики трафика и занимаемая полоса.
Утилита iftop поддерживает так называемый pcap-filter синтаксис, используемый в пакетном фильтре и с помощью флага -f мы говорим тулзе, что сейчас будем её грузить фильтрацией:
Траф идущий с локального интерфейса на Яндекс
# iftop -i eth0 -f “dst host ya.ru”
Траф идущий по ssh (можно использовать номер порта или же название протокола)
# iftop -i eth0 -f “dst port 22″
Трафик по http
# iftop -i eth0 -f “dst port http”
Трафик DNS
# iftop -i eth0 -f “dst port domain”
Трафик ICMP
# iftop -i eth0 -f “icmp”
Также можно задавать сложные фильтры, к примеру
Трафик по ssh на все кроме определенного хоста:
# iftop -i eth0 -f “port ssh and not host 7.7.7.7″
Слушать весь траф, кроме широковещательных запросов:
# iftop -i eth0 -f “not ether host ff:ff:ff:ff:ff:ff”
С синтаксисом pcap-filter можно ознакомиться прямо из командной строки, по команде:
# man pcap-filter
Если не получается установить через репы, то можно поставиться из сырцов
# yum -y install libpcap libpcap-devel ncurses ncurses-devel
# wget http://www.ex-parrot.com/pdw/iftop/download/iftop-0.17.tar.gz
# tar -zxvf iftop-0.17.tar.gz
# cd iftop-0.17
# ./configure
# make && make install
Теги: centos, Сетевые протоколы, Сети