在Linux下怎么看网络流量

1 使用 iptraf

iptraf是一个实时查看网络流量的文本屏幕界面工具。

如果系统没有安装

如果是 RHEL，那么就去找安装盘中的 iptrafrpm 包安装；

如果是 CentOS，那么用 yum install -y iptraf 进行安装

iptraf是一个文本全屏幕界面，操作起来比较简单明了。最好使用 putty 来看，SecureCRT可能显示乱码。

它提供了很多统计方式：

（1）IP traffic monitor

（2）General interface statistics

（3）Detailed interface statistics

如果跟上 -B 参数，还可以后台执行，把数据保存到文件中，位于 /var/log/iptraf 目录。

2 sar

如果系统没有安装，

如果是 RHEL，那么就去安装盘中找 sysstatrpm 包安装；

如果是 CentOS，那么用 yum install -y sysstat 安装。

sysstat是一个工具包,包含有几个很有用的系统检测程序,iostat,mpstat和sar

Turbolinux的各个版本上,都包含这个工具包

iostat用于输出CPU,I/O系统和磁盘分区的统计信息可以用来分析磁盘I/O,带宽等信息

mpstat用于输出CPU的各种统计信息 可以用来分析程序运行时在内核态和用户态的工作情况

sar用于定时搜集系统的各种状态信息然后可以对系统各个时间点的状态进行监控

sar有很多用途，如果要来监控网络流量，使用下面的命令行方式：

sar -n DEV interval count

其中，interval是统计时间间隔，以秒为单位；count是总共统计几次，如果为0就不断的统计直到 Ctrl+C 打断，否则执行count次就退出。

比如：sar -n DEV 1 4

比如：sar -n DEV 10 0

IFACE：LAN接口

rxpck/s：每秒钟接收的数据包

txpck/s：每秒钟发送的数据包

rxbyt/s：每秒钟接收的字节数

txbyt/s：每秒钟发送的字节数

作为一名维护生产环境Linux服务器的系统管理员，在有些情况下，你需要根据地理位置，有选择性地阻止或允许网络流量。比如说，你遇到了拒绝服务攻击，这些攻击主要源自在某一个国家注册的IP地址。在其他情况下，出于安全方面的原因，你又想要阻止外国来历不明SSH登录请求；或者贵公司对在线视频拥有发行权，因而只可以分发给某些国家；或者由于地域限制方面的公司政策，你需要防止本地主机将文档上传到非美国远程云存储系统。

所有这些场景都需要能够安装一个防火墙，可以按国别对流量进行过滤。有几种方法可以做到这一点。举例说，你可以使用TCP包装器(TCP wrapper)，针对个别应用程序(比如SSH、NFS和httpd)设置有条件的阻止。其缺点是，你想要保护的那个应用程序在开发当初必须支持TCP包装器。此外，TCP包装器并非普遍出现在不同的平台上(比如说，Arch Linux已停止对TCP包装器的支持)。另一种办法就是，利用基于国家的GeoIP信息来设置ipset，然后将它运用于iptables规则。后一种方法更有希望，因为基于iptables的过滤与应用程序无关，而且易于设置。

我在本教程中将介绍另一种基于iptables的GeoIP过滤机制，这种机制实施了xtables-addons。有些读者对它还不熟悉，所以有必要先介绍一下，xtables-addons是一套面向netfilter/iptables的扩展。xtables-addons内含了一个名为xt_geoip的模块，该模块扩展了netfilter/iptables的功能，可以根据来源/目的地国家，过滤、NAT或管理数据包。如果你想使用xt_geoip，不需要重新编译内核或iptables，只需要构建xtables-addons模块，并使用当前的内核构建环境(/lib/modules/`uname -r`/build)。也不需要重启。一旦你构建并安装好了xtables-addons，xt_geoip立即就可以与iptables结合使用。

至于xt_geoip和ipset之间的区别，官方来源(http://xtables-addonssourceforgenet/geoipphp)提到，xt_geoip在内存占用空间方面少于ipset。不过在匹配速度方面，基于散列的ipset可能具有优势。

在本教程其余部分，我会演示如何使用iptables/xt_geoip，根据来源/目的地国家，阻止网络流量。

将Xtables-addons安装到Linux上

下面介绍如何编译xtables-addons，并将它安装到不同的Linux平台上。

想构建xtables-addons，你就需要先安装几个依赖程序包。

·将依赖程序包安装到Debian、Ubuntu或Linux Mint上

$ sudo apt-get install iptables-dev xtables-addons-common libtext-csv-xs-perl pkg-config

·将依赖程序包安装到CentOS、RHEL或Fedora上

CentOS/RHEL 6需要先安装EPEL软件库(面向perl-Text-CSV_XS)。

$ sudo yum install gcc-c++ make automake kernel-devel-`uname -r` wget unzip iptables-devel perl-Text-CSV_XS

编译和安装Xtables-addons

从官方网站(http://xtables-addonssourceforgenet)下载最新的xtables-addons源代码，然后构建/安装它，如下所示。

$wget http://downloadssourceforgenet/project/xtables-addons/Xtables-addons/xtables-addons

-210tarxz

$ tar xf xtables-addons-210tarxz

$ cd xtables-addons-210

$ /configure

$ make

$ sudo make install

请注意：如果是默认情况下已启用SELinux的基于红帽的系统(CentOS、RHEL、Fedora)，有必要调整SELinux策略，如下所示。要不然，SELinux会阻止iptables装入xt_geoip模块。

$ sudo chcon -vR --user=system_u /lib/modules/$(uname -r)/extra/ko

$ sudo chcon -vR --type=lib_t /lib64/xtables/so

为Xtables-addons安装GeoIP数据库

下一步是安装GeoIP数据库，xt_geoip将用到该数据库，用于IP与国别映射。很方便的是，xtables-addons源程序包随带两个帮助脚本，可分别用来从MaxMind下载GeoIP数据库，并将它转换成xt_geoip可识别的二进制格式。这些脚本位于源程序包里面的geoip文件夹下面。按照下列说明，即可构建GeoIP数据库，并将它安装到你系统上。

$ cd geoip

$ /xt_geoip_dl

$ /xt_geoip_build GeoIPCountryWhoiscsv

$ sudo mkdir -p /usr/share/xt_geoip

$ sudo cp -r {BE,LE} /usr/share/xt_geoip

据MaxMind声称，其GeoIP数据库的准确性达到998%，数据库更每月都更新。为了确保本地安装的GeoIP数据库内容最新，你就需要设置每月执行的计划任务，以便每月更新一次本地GeoIP数据库。

阻止来自或发往某个国家的网络流量

一旦xt_geoip模块和GeoIP数据库都已安装好，你就可以立即使用iptables命令中的geoip匹配选项。

$ sudo iptables -m geoip --src-cc country[,country] --dst-cc country[,country]

你想要阻止的国家使用两个字母ISO3166代码来指定，比如说US(美国)、CN(中国)、IN(印度)和FR(法国)。

比如说，如果你想阻止来自也门(YE)和赞比亚(ZM)的入站流量，下面这个iptables命令就能实现。

$ sudo iptables -I INPUT -m geoip --src-cc YE,ZM -j DROP

如果你想阻止发往中国(CN)的出站流量，只要运行下面这个命令。

$ sudo iptables -A OUTPUT -m geoip --dst-cc CN -j DROP

匹配条件也可以被“抵消”，只要将“!”放在“--src-cc”或“--dst-cc”的前面。比如说：

如果你想在服务器上阻止所有非美国的入站流量，可以运行这个命令：

$ sudo iptables -I INPUT -m geoip ! --src-cc US -j DROP

针对Firewall-cmd用户

像CentOS/RHEL 7或Fedora这一些发行版已将iptables换成firewalld，作为默认防火墙服务器。在这类系统上，你同样可以利用xt_geoip，使用firewall-cmd阻止流量。上面三个例子可以用firewall-cmd来改写，如下所示。

$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip --src-cc YE,ZM -j DROP

$ sudo firewall-cmd --direct --add-rule ipv4 filter OUTPUT 0 -m geoip --dst-cc CN -j DROP

$ sudo firewall-cmd --direct --add-rule ipv4 filter INPUT 0 -m geoip ! --src-cc US -j DROP

结束语

我在本教程中介绍了iptables/xt_geoip，这是一种简单方法，可以根据来源/目的地国家，对网络数据包进行过滤。如果需要的话，可以将这件有用的武器部署到你的防火墙系统中。最后提醒一句，我应该提到：基于GeoIP的流量过滤并不是在你服务器上阻止某些国家的万无一失的方法。GeoIP数据库天生就不准确/不完整，如果使用***、Tor或任何受到危及的中继主机，就很容易欺骗来源/目的地国家。基于地域的过滤甚至会阻止本不该被禁止的合法流量。明白这个局限性后，再决定将它部署到你的生产环境中也不迟。

不是木马，是设置问题，下面是流量的控制方法

一、Linux 流量控制过程分二种：

1、队列控制 即 QOS, 瓶颈处的发送队列的规则控制，常见的有 SFQ PRIO

2、流量控制 即带宽控制 , 队列的排队整形， 一般为 TBF HTB

二、Linux 流量控制算法分二种：

1、无类算法 用于树叶级无分支的队列，例如：SFQ

2、分类算法 用于多分支的队列，例如：PRIO TBF HTB

三、具体实现：

1 在网卡上建立 以SFQ算法的限流

#tc qdisc add dev eth0 root handle 1: sfq

SFQ 参数有 perturb( 重新调整算法间隔 ) quantum 基本上不需要手工调整 :

handle 1: 规定算法编号 可以不用设置由系统指定

#tc qdisc sh dev eth0 显示算法

#tc qd del dev eth0 root 删除 注 : 默认 eht0 支持 TOS

2 在网卡建立以 TBF算法的限流

#tc qd add dev eth1 root handle 1: tbf rate 256kbit burst 10000 latency 50ms

速率 256kbit 突发传输 10k 最大延迟 50ms

#tc -s qd sh dev eth1 统计

#tc qd del dev eth1 root 删除

3 在网卡建立 PRIO

#tc qdisc add dev eth0 root handle 1: prio

# 此命令立即创建了类 : 1:1, 1:2, 1:3 ( 缺省三个子类 )

#tc qdisc add dev eth0 parent 1:1 handle 10: sfq

#tc qdisc add dev eth0 parent 1:2 handle 20: tbf rate 20kbit buffer 1600 limit 3000

注 : 此为 TBF 限速的另一写法 , 前文有讲解

#tc qdisc add dev eth0 parent 1:3 handle 30: sfq

4 WEB 服务器的流量控制为 5Mbps,SMTP 流量控制在 3Mbps 上 而且二者一共不得超过 6Mbps, 互相之间允许借用带宽

#tc qdisc add dev eth0 root handle 1:0 cbq bandwidth 100Mbit avpkt 1000 cell 8

#tc class add dev eth0 parent 1:0 classid 1:1 cbq bandwidth 100Mbit rate 6Mbit weight

06Mbit prio 8 allot 1514 cell 8 maxburst 20 avpkt 1000 bounded

这部分按惯例设置了根为 1:0, 并且绑定了类 1:1 也就是说整个带宽不能超过 6Mbps

#tc class add dev eth0 parent 1:1 classid 1:3 cbq bandwidth 100Mbit rate 5Mbit weight

05Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000

#tc class add dev eth0 parent 1:1 classid 1:4 cbq bandwidth 100Mbit rate 3Mbit weight

03Mbit prio 5 allot 1514 cell 8 maxburst 20 avpkt 1000

建立了 2 个类 注意我们如何根据带宽来调整 weight 参数的 两个类都没有配置成"bounded", 但它们都连

接到了类 1:1 上 , 而 1:1 设置了"bounded" 所以两个类的总带宽不会超过 6Mbps 别忘了 , 同一个 CBQ 下面的子

类的主号码都必须与 CBQ 自己的号码相一致 !

#tc qdisc add dev eth0 parent 1:3 handle 30: sfq

#tc qdisc add dev eth0 parent 1:4 handle 40: sfq

缺省情况下 , 两个类都有一个 FIFO 队列规定 但是我们把它换成 SFQ 队列 , 以保证每个数据流都公平对待

#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 80 0xffff flowid

1:3

#tc filter add dev eth0 parent 1:0 protocol ip prio 1 u32 match ip sport 25 0xffff flowid

1:4

6 过滤器过滤示例

#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip dport 22 0xffff flowid 10:1

在 10: 节点添加一个过滤规则 , 优先权 1: 凡是去往 22 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1

#tc filter add dev eth0 protocol ip parent 10: prio 1 u32 match ip sport 80 0xffff flowid 10:1

在 10: 节点添加一个过滤规则 , 优先权 1: 凡是来自 80 口 ( 精确匹配 ) 的 IP 数据包 , 发送到频道 10:1

#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2

在 eth0 上的 10: 节点添加一个过滤规则 , 它的优先权是 2: 凡是上二句未匹配的 IP 数据包 , 发送到频道 10:2

#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip dst 4321/32 flowid 10:1

去往 4321 的包发送到频道 10:1 其它参数同上例

#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 1234/32 flowid 10:1

来自 1234 的包发到频道 10:1

#tc filter add dev eth0 protocol ip parent 10: prio 2 flowid 10:2

凡上二句未匹配的包送往 10:2

#tc filter add dev eth0 parent 10:0 protocol ip prio 1 u32 match ip src 4321/32 match

ip sport 80 0xffff flowid 10:1

可连续使用 match, 匹配来自 1234 的 80 口的数据包