iftop 是 linux 系统中用于实时监控网络流量的工具,能显示源地址、目标地址、上传下载速度等信息;安装方式为 yum install iftop 或 apt-get install iftop;常用参数包括 -i 指定网卡、-p 显示端口、-n 不解析 dns、-f 过滤 ip;界面显示 src、dst、tx、rx、total 等流量数据;使用时需 root 权限,并可结合 tcpdump、netstat 分析异常流量,按 f6 可设置排序方式以便快速定位高流量连接。
如果你想知道当前 Linux 系统中哪个 IP 或端口正在大量传输数据,iftop 是一个非常实用的工具。它能实时显示网卡流量情况,包括源地址、目标地址、上传下载速度等信息,适合排查异常流量或分析网络瓶颈。
安装 iftop
iftop 通常不在系统默认安装列表中,需要手动安装:
- CentOS / RHEL 系统:
yum install iftop
- Ubuntu / Debian 系统:
apt-get install iftop
安装完成后,直接输入 iftop 就会开始监控默认网卡(通常是 eth0 或 enpXsY)的流量。
常用命令和参数
运行 iftop 时,可以加上一些常用参数来更精准地查看信息:
- 指定网卡:
iftop -i eth1,适用于多网卡服务器。 - 显示端口号:
iftop -P,可以看到具体连接是来自哪个服务(如80、443)。 - 不反向解析 DNS:
iftop -n,加快加载速度,避免因DNS查询导致延迟。 - 过滤特定IP:
iftop -F 192.168.1.0/24,只看某个子网内的流量。
界面中主要列出了以下几项内容:
- Src:源IP地址
- Dst:目标IP地址
- TX:发送的数据量(上传)
- RX:接收的数据量(下载)
- TOTAL:双向总流量
使用技巧与注意事项
使用过程中有几点需要注意,可以让你更快定位问题:
- 权限问题:iftop 需要 root 权限才能运行,普通用户执行会报错。
- 快速识别异常IP:如果看到某个IP的TX或RX持续很高,可能是被攻击或程序异常外联。
-
结合其他工具使用:比如用
tcpdump抓包进一步分析可疑连接,或者用netstat查看具体连接状态。 -
远程服务器建议加
-n参数:避免因为DNS解析慢导致界面卡顿。
此外,在排查问题时,可以先按 F6 设置排序方式(按TX、RX或TOTAL),让高流量连接一目了然。
基本上就这些,iftop 虽然功能不算复杂,但用好了能快速发现网络异常,特别是在排查突发流量或带宽瓶颈时非常实用。
