Linux怎么监控系统流量使用情况 Linux网络抓包工具使用详解
Linux网络流量监控与抓包:工具定位与实战避坑指南
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
开门见山,先说结论:监控实时带宽用 iftop,排查具体进程占用用 nethogs,进行原始数据包深度分析则用 tcpdump。这三者各司其职,定位清晰,如果混用或者用错了场景,很容易得出错误的判断。
iftop:实时接口流量的观察者,但默认不关联进程
iftop 的核心原理是监听网卡的数据包,并通过 libpcap 库进行实时汇总统计。这意味着它能快速、直观地展示IP或端口级别的实时吞吐速率,但它天生就“看”不到背后的进程ID或进程名。这里有个常见的误解:以为加上 -p 参数就能看到进程。其实不然,那个 -p 指的是“混杂模式”,跟进程毫无关系。
- 权限是前提:运行必须加上
sudo,否则会遭遇socket: Operation not permitted错误。 - 关闭DNS解析:使用
-n参数,可以避免额外的DNS查询拖慢工具响应速度,甚至干扰流量统计的准确性。 - 显示端口号:使用
-P(大写)参数,会显示具体的端口号(如:443),而不是服务名称(如:https),信息更直接。 - 过滤技巧:如果想只监控特定网段,可以使用
-F 192.168.1.0/24。但要注意,iftop本身不支持按端口过滤,如果需要锁定某个端口的流量,通常需要先用tcpdump过滤抓包,再将文件交给iftop或其它工具分析。
nethogs:进程维度的流量追踪器,但视野限于本机
nethogs 的独特价值在于,它能将网络流量直接绑定到具体的 pid 和 command 上。这对于排查“哪个进程在偷偷上传/下载”这类问题非常高效。不过,它并不对所有网卡流量进行聚合统计,而是显示每个活跃进程的实时速率,也无法像 iftop 那样按照连接对流量进行排序。
- 权限问题再现:安装后首次运行如果提示
Unable to open /dev/tty,这通常是因为没用sudo,请直接使用sudo nethogs。 - 指定监控接口:默认监听第一个非回环接口,要指定具体网卡,命令如
sudo nethogs eth0。 - 交互操作:运行时,按
m键可以循环切换速率显示单位(KB/s, KB, B),按r键可以反向排序,按q键退出。 - 缺乏历史记录:它本身不记录历史数据,也不支持保存日志。如果需要留存记录,可以尝试通过重定向输出实现,例如:
sudo nethogs -t eth0 > /tmp/nethogs.log 2>&1。
tcpdump:原始数据包诊断专家,生产环境需慎用
必须明确,tcpdump 并非实时监控工具,而是一个强大的诊断工具。它直接输出原始字节流,不进行任何聚合或美化。如果无节制地抓包,很容易刷爆终端屏幕,甚至因为巨大的IO操作拖慢系统或撑满磁盘。因此,关键在于学会使用过滤器精准缩小范围,切忌“先抓了再说”。
- 经典组合命令:
sudo tcpdump -i eth0 -nn -c 100 port 443。这个命令只抓取100个发往或来自443端口(HTTPS)的包,-nn避免了域名和端口名解析,效率更高。 - 控制抓包体积:使用
-s 96参数可以截断数据包(只抓取每个包的前96字节),这对于分析TCP头部和HTTP头部信息通常已经足够,能显著减小文件大小。 - 保存与分析分离:使用
-w /tmp/out.pcap将抓取的包保存为文件,然后下载到本地用 Wireshark 等图形化工具进行深入分析。尽量避免在服务器上直接使用-A参数以ASCII形式打印包内容,这极易导致刷屏甚至失去连接。 - 精准诊断:如果目标是排查TCP连接问题(如丢包、重传),可以针对性抓取相关标志位的数据包,例如:
tcpdump -i eth0 'tcp[tcpflags] & (tcp-rst|tcp-syn) != 0',这比无差别全抓要高效得多。
别忘了底层:网卡状态与统计采样粒度
需要警惕的是,上述所有工具的数据都依赖于内核提供的统计信息。而底层网卡驱动的特性或卸载功能(如LRO/GRO)可能会影响统计结果的实时性和准确性。举个例子,iftop 显示接收流量突然飙升,但查看 /proc/net/dev 里对应接口的字节计数却变化不大,这很可能是GRO(通用接收卸载)合并了数据包,导致统计出现了延迟。
- 验证基准:要确认真实的吞吐量,最可靠的是查看
cat /proc/net/dev中的原始字节计数,这是内核最底层的计数器。 - 稳定与实时的权衡:像
vnstat这类工具,其数据库是基于对/proc/net/dev的定时采样生成的,因此它的数据比iftop更稳定,能反映趋势,但实时性就相对较弱。 - 容器环境差异:在容器环境中,
docker stats或podman top看到的网络数据来源于cgroup的net_cls控制器统计,这与宿主机上通过iftop看到的、经过完整网络栈的流量数值可能存在差异,因为统计的路径和节点不同。
相关攻略
菁优网在线答题草稿纸功能需通过教师启用且仅在微信 QQ内置浏览器中可用;点击右上角“草稿纸”按钮调出悬浮面板,支持拖拽、缩放与手写;首次点击面板激活输入,切换焦点可往返试题与草稿;清空操作不可撤销,建议截屏保存。 很多同学在菁优网答题时,都遇到过这样的困扰:需要打个草稿、列个算式,却找不到地方下笔。
新版Notepad++工具栏图标调整指南:从模糊到清晰的终极方案 很多用户升级到新版Notepad++后,会发现工具栏图标要么太小看不清,要么放大后模糊一片。这背后其实是一个常见的误解:你以为界面里的“大图标”开关是万能的,但实际上,从v8 6版本开始,它的作用已经变了。 新版 Notepad++(
Linux网络流量监控与抓包:工具定位与实战避坑指南 开门见山,先说结论:监控实时带宽用 iftop,排查具体进程占用用 nethogs,进行原始数据包深度分析则用 tcpdump。这三者各司其职,定位清晰,如果混用或者用错了场景,很容易得出错误的判断。 iftop:实时接口流量的观察者,但默认不关
Basechain 快讯:区块速度提升与全新功能震撼上线 各位社区成员,好消息又来了!关于 Basechain 缩短区块时间的传闻终于被证实,同时一系列令人期待的新功能也正式亮相,整个 Pi 生态正变得更具活力。一起来看看都有哪些变化。 AI 入驻:Pi 应用工作室启动 Pi 的核心团队正在人工智能
电脑怎么压缩文件?自带解压工具使用方法 (2026 最新) 想把一堆文件整理得小巧些,方便发送或保存?其实不用到处找软件,Windows系统自己就藏着几手好用的压缩功夫。下面这四种方法,从点点鼠标到敲敲命令,总有一款适合你。 一、使用右键菜单创建 ZIP 压缩文件夹 这大概是最省心的方法了。Wind
热门专题
热门推荐
比特币价格追踪:为何一款优秀的实时行情App已成为刚需? 比特币的价格波动,始终牵动着全球投资者的神经。随着数字资产日益融入主流视野,能够实时、精准地掌握行情,不再只是一种便利,而是决策的关键前提。市场节奏快、变化瞬息万变,依赖传统网页刷新显然已经跟不上节奏。正因如此,一批专注于比特币实时价格查询的
一、游戏背景与目标 《灵画师:精绝古城》的故事舞台,设定在那座传说中充满神秘气息的精绝古城。在这里,你将化身为一位果敢的探险家,深入古城腹地,目标很明确:一步步解开环环相扣的谜题,探明那些被时光掩埋的隐秘,直到最终通关,亲手揭开古城背后令人震撼的真相。 二、角色与技能 游戏提供了多个角色选择,每个角
阵容核心思路解析 在金铲铲之战S16赛季中,六皮霸王龙阵容凭借其卓越的坦度和控制能力,成为上分的热门选择。这套阵容的精髓在于,将“霸王龙”作为核心主坦置于前排,利用其强力的范围技能同时打出高额伤害和群体眩晕,有效打乱敌方阵型。只要前排能够稳固承伤,后排的辅助与输出便可获得安全的发挥空间,从而牢牢掌控
热血封神传奇新手怎么玩?2024最新入门升级攻略 刚刚进入《热血封神传奇》这个宏大世界,是否感觉有些迷茫?别担心,这份专门为新手玩家打造的超详细上手攻略,将帮助你快速理清思路,从零开始平稳度过新手期,高效提升战力,轻松享受游戏乐趣。 第一步:职业选择与角色创建 游戏之旅始于角色创建,职业选择将奠定你
奥佳华按摩椅解除儿童锁绝大多数情况下无需密码,操作简洁直观 先说一个核心判断:解除奥佳华按摩椅的儿童锁,其实比你想象的要简单得多。根据奥佳华2024年官方用户手册以及像OG-7508、OG-7608、OG-8508这些主流机型的实测反馈,整个过程通常不需要密码。用户只需要在遥控器或机身控制面板上,找