目录

一、iftop简介

二、安装iftop命令

2.1 命令查看测试环境系统信息

2.2 查看iftop版本与命令帮助

三、iftop的基本使用

3.1 直接使用iftop命令

3.2 iftop的显示说明

3.3 指定监控某块网卡

3.4 显示某个网段进出封包流量

3.5 按照流量排序

3.6 过滤显示连接

3.7 快捷键

---

一、iftop简介

---

iftop命令是一种网络监测工具，它类似于Linux中的其他监测工具，如top、iotop等。但iftop是一个独立的命令，并不依赖于其他工具或服务。

iftop命令可以帮助我们查看服务器上网络接口的实时流量情况，包括流入和流出的数据量、数据包数量、流量占用比例等信息。此外，iftop还具有过滤、排序功能，用于更好地监测特定网络流量。

---

二、安装iftop命令

---

如果你的系统没有安装iftop命令，你需要使用如下命令来安装：

yum install  iftop -y

2.1 命令查看测试环境系统信息

---

2.2 查看iftop版本与命令帮助

---

显示版本iftop, version 1.0pre4

参数释义列表：

参数	释义
-h	显示帮助。
-n	不执行主机名DNS解析(即直接显示IP地址而不是主机名)
-N	不执行端口转换成服务操作（直接显示端口数字）
-p	运行在混杂模式（此时会显示整个网段中其他主机`部分`流量）
-b	不显示流量的图形条
-B	采用字节(bytes)显示带宽
-a	采用以包为单位的带宽
-i	监听在指定网络接口
-f	使用过滤代码来选择计数的数据包（默认是none，但是只计算IP包）
-F	IPv4 显示网络的in/out数据流
-G	IPv6 显示网络的in/out数据流
-l	打开屏幕过滤功能，输入要过滤的字符。比如输入相应IP地址，回车后，屏幕就只显示这个IP相关的流量信息。
-p	显示端口
-m	设置带宽等级的上限
-c	指定替代的配置文件
-t	使用不带ncurses 的文本界面，并将输出打印到STDOUT
-o 2s	第一列排序 (2s traffic average)

---

三、iftop的基本使用

---

3.1 直接使用iftop命令

---

直接输入iftop，默认监控的是第一块网卡。

可以使用 iftop 命令的 -n 选项，禁用主机名的解释。如果在正在运行的 iftop 会话中可以按 n 键打开或者关闭主机名的 DNS 解释。

3.2 iftop的显示说明

---

• 第一部分

iftop 输出最上面的一行，此行信息是流量刻度，用于显示网卡带宽流量。

• 第二部分

1. 中间的<= =>这两个左右箭头，表示的是流量的方向。
2. 其中又分别分为左、中、右三列。左列和中列，记录了哪些 IP 或主机正在和本机的网络进行连接。其中，中列的“=>”代表发送数据，“<=”代表接收数据，通过这个指示箭头可以很清晰地知道两个 IP 之间的通信情况。
3. 最右列又分为三小列，这些实时参数分别表示外部 IP 连接到本机 2 秒内、10 秒内和 40 秒内的平均流量值。

• 第三部分

分割线最下面的一部分，用来统计网卡流量信息。

TX：发送流量
RX：接收流量
TOTAL：总流量
Cumm：运行iftop到目前时间的总流量，也就是累计值
peak：流量峰值
rates：分别表示过去 2s 10s 40s 的平均流量

3.3 指定监控某块网卡

---

iftop -i ens33

3.4 显示某个网段进出封包流量

---

iftop -F 192.168.2.110/24

3.5 按照流量排序

---

iftop可以按照流量大小对连接进行排序，从而帮助我们快速识别占用带宽较多的连接。通过按流量排序，我们可以发现网络中的瓶颈和异常情况。

排序方式

-o 2s：按第一列排序（2秒平均流量）

-o 10s：按第二列排序（10秒平均流量）【默认】

-o 40s：按第三列排序（40秒平均流量）

-o source：按源地址排序

-o destination：按目标地址排序

仅与-t选项同时使用的以下选项

-s num：在num秒后打印一次文本输出后退出

-L num：要打印的行数

示例： 网卡ens192 排序时间间隔 10s，在4秒后打印输出后退出

 iftop -n -i ens192 -o 10s -s 4  -t

• -n选项表示只显示IP地址而非主机名，
• -t选项表示在每一次更新后自动清除屏幕
• -s 选项表示每4秒更新一次
• -i 指定要监控的网口

3.6 过滤显示连接

---

我们可以使用iftop指令的过滤功能，只显示特定源IP地址或目标IP地址的连接。这对于定位特定主机的流量情况非常有用，帮助我们快速筛选和分析特定连接。

示例：

iftop -n -P -i ens192 -f "src port 1019"基于端口的过滤
iftop -f "port 80,443" 
基于IP基础和端口的过滤
iftop -f "src host 192.168.1.100 and dst port 80"
iftop -f "dst host 8.8.8.8"

• -n 显示主机IP地址，而不是解析的主机名
• -P 显示端口
• i 执行网卡
• -f 过滤数据包

3.7 快捷键

---

当你进入 iftop 会话时，你可以使用以下快捷键，切换 iftop 的显示方式或者按 f 添加过滤器。

• h：显示帮助菜单
• n：开启 / 关闭主机名的 DNS 解析，如果可以 iftop 可以将 IP 地址解释为主机名则显示主机的名称，否则显示 IP 地址。
• N：开启 / 关闭服务名称的解释，例如，本地主机连接远程的主机的 443 端口，iftop 将会在远程主机 IP 地址后面添加服务的名称 www.myfreax.com:https。
• p：开启 / 关闭目标和源端口的显示
• P：暂停刷新屏幕，注意：
• 这仅仅暂停主要窗口部分的刷新，屏幕底部的统计值依然自动刷新。
• s：显示或者隐藏源主机的 IP 或主机名。
• S：显示 / 关闭源端口。
• t：切换显示发送和接收流量的三种方式，第一种是仅显示发送的流量，第二种是仅显示接收的流量，同时发送和接收的流量，也就是启动时的默认模式。
• T：显示 / 关闭发送与接收流量统计，这将会在 2s 10s 40s 速率之前添加一列显示累计值。
• q：退出 iftop

排序

• j / k：分别是向下和向上滚动，当屏幕不足以显示所有连接时。
• <：通过源名称的排序。
• >：通过目标名称排序。
• 1/2/3：通过第一，第二，第三列进行排序。
• o：冻结排序方式，由于 iftop 是不断滚动所有连接，关闭 iftop 滚动连接，可以按 o 键。

---

参考原文链接：Linux下iftop指令详解_linux iftop-CSDN博客

原文链接：Linux系统之iftop的基本使用_linux iftop-CSDN博客