独学而无友,则孤陋而寡闻!
分类: BSD
2011-01-13 19:33:21
iftop:
选项:
-h 打印使用说明
-n 不对IP进行域名解析
-N 不把端口号解析为服务名称
-p 运行于“混杂”模式,不直接通过指定网卡的流量也可以记录下来
-P 显示端口
-b 不显示流量条
-B 用字节来显示流量
-i interface
监听指定的网卡
-f filter code
用来选择要记录的数据包。因为只记录IP包,所以默认的规则就是:(filter code) and ip
(译注:如果filter为:udp,则相当于 udp and ip)
-F net/mask
指定一个要进行流量分析的网络。如果指定,iftop只记录从指定网络进出的流量,注意进和出是相对于网络边界来说的,不是相对于指定的网卡。可以用句点格式或者是位数格式来表示网络掩码,如/255.255.255.0和/24。
-c config file
指定配置文件。如果没有指定,如果存在~/.iftoprc,则使用~/.iftoprc。配置规则可以参看下面的描述。
显示:
在显示的时候,iftop使用整个屏幕来显示网络利用情况。在最上方显示的是一个网络刻度尺,指明一个可视的流量大小。(译注:一般是10M、100M、1000M中的最大值,
主要的部分是一个列表,对于每一对连接,分别显示在2秒、10秒和40秒的间隔中,发送和接收的流量。方向用=>和<=来表示。例如:
foo.example.com => bar.example.com 1Kb 500b 100b
<= 2Mb 2Mb 2Mb
第一行,显示从foo.example.com到bar.example.com的流量。在2秒内,平均1kbit/s,后面显示的是10秒中流量的一半和40秒中流量的五分之一。在整个发送的过程中,流量都为2Mbit/s。
在实际的显示中,一个图形化的长方形表示10秒内的平均流量。
在实际的分析中,可能会看出,foo对于bar的http请求,充满了整个2Mbit/s的连接。
默认情况下,在连接对列表中,10秒内平均流量最大的那条会显示在最上方。
在底端,显示多个统计信息,包括最后40秒的峰值,总传输流量和在2秒、10秒、40秒内的平均流量。
运行时的命令:
源 / 目标 合计
s或者d键,用来把同一源或目标的所有流量合计在一起。这一个命令在混杂模式下,或者是在网关机器上是比较有用的。(译注:可以统计某一IP的所有流量)
显示端口
S或D 用来显示或关闭端口显示,S用来负责源地址,D用来负责目标地址
p 则用来显示或关闭端口号的显示。
显示模式(DISPLAY TYPE)
主机之间的通讯有四种显示模式,topif用t键在这四种模式下循环,这四种显示模式依次是:
(1)用两行显示双向连接,发送和接收的流量分别计算,这是默认的显示方式
(2)用一行显示接收和接收的总流量
(3)用一行显示发送的流量
(4)用一行显示接收的流量
显示排序(DISPLAY ORDER)
在默认的情况下,按照第二列,也就是10s内平均的一半那列排序。可以用1,2,3分别对第1列、第2列、第3列进行排序。用<对源地址进行排序,用>来对目的地址进行排序。
显示过滤(DISPLAY FILTERING)
l键可以输入一个POSIX方式的正规表达式,用来对显示的主机名进行过滤。这对于只想显示指定主机流量的时候很有用。提醒,这要比过滤代码更晚一些(注1),并且不影响对实际流量的捕捉。显示过滤的时候,不影响下方总量的显示。(注1:两个地方不明确:过滤代码和later,不明白所指到底是哪一个意思)
暂停/冻结显示(PAUSE DISPLAY / FREEZE ORDER)
P将暂停当前屏幕显示。
o将冻结当前屏幕排序。在默认的情况下,屏幕只显示排在最前头的几个条目,后面可能还有隐藏的条目,用本命令把屏幕排序冻结后,你可以翻到下一屏去查看后面隐藏的条目。
翻屏(SCROLL DISPLAY)
j和k是翻屏键,可以在屏幕冻结的时候进行翻屏。
过滤代码(FILTER CODE)
f键允许在iftop运行的时候修改过滤代码,警告:这将会导致无法预料的结果。
